통신사·커머스·플랫폼 '제로 트러스트' 도입되나…법제화 신호탄

내부자도 신뢰 않는 모델 '제로 트러스트'
국회 최민희 과방위원장 발의로 법제화 출발
정보통신서비스 제공자 도입·중소기업 지원
중요도 높은 비쟁점 법안...소위 상정 예상돼
"사후 대응 아닌 제로 트러스트로 미리 차단"
"국내 솔루션 장려해 업계 성장도 도모해야"

[파이낸셜뉴스]'아무도 신뢰하지 않는다'는 보안 모델 '제로 트러스트'의 법제화에 신호가 켜졌다. 제로 트러스트는 모두에게 최소한의 정보 접근 권한만 주며 정보 접근 시 신원 증명이나 권한 등을 지속 검증하는 개념이다. 국내에선 과학기술정보통신부 산하 인터넷진흥원(KISA)이 '제로 트러스트 가이드라인 2.0'을 제작해 알리고 있는 수준이다.

미국의 경우 공공기관 등을 중심으로 제로 트러스트 보안 정책이 확산되는 상황이다.

11일 의안정보시스템에 따르면 최민희 국회 과학기술정보방송통신위원회 위원장(더불어민주당)이 지난해 12월 26일 제로 트러스트 보안 체계 구축 의무 및 지원 사항을 담은 '

'정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 대표 발의했다. 22대 국회 과방위에와 정무위원회에 접수된 첫 사례다. 법안은 통신사, 커머스, 플랫폼 등 정보통신서비스 제공자가 제로트러스트 보안 체계 구축을 위해 노력하도록 규정하고 중소기업이 체계 도입 시 필요한 경비를 정부가 지원할 수 있는 내용을 담고 있다.

국회 입법조사처에 따르면 2024년 한 해 동안 접수된 기업 침해 사고 신고 가운데 84%는 중소기업에서 발생했다. 반면 정부의 제로트러스트 도입 지원 사업 예산은 2024년 62억원에서 2025년 56억원, 2026년 45억원으로 해마다 감소하는 추세다.

최민희 의원은 "SKT 유심 해킹, KT·롯데카드 해킹, 쿠팡 개인정보 유출 사고는 사이버 보안이 곧 국민의 생명줄임을 보여줬다"며 "사고 이후 대응하는 구조로는 한계가 있으니 제로 트러스트로 미리 차단해야 한다"고 강조했다. 정부도 필요성에 공감하는 모습이다. 과학기술정보통신부는 지난해 SKT와 KT 해킹 조사 결과를 발표하며 각 사에 제로 트러스트 도입이 필요하다고 밝힌 바 있다. 업계는 쿠팡에도 제로 트러스트 도입을 강조할 것으로 예측하고 있다.

과기정통부는 지난 2024년 12월 △기존 단계 △초기 단계 △향상 단계 △최적화 단계 등 4단계로 성숙도를 구분한 '제로 트러스트 가이드라인 2.0'을 마련한 상태다. 다만 발의된 법안과 해당 성숙도 단계는 무관하다. 법이 통과될 경우 국회와 정부가 협의를 거쳐 세부 기준을 다시 구체화할 예정이다.

제로 트러스트 법제화가 국내 보안 업계에도 호재가 되도록 지원 정책을 함께 설계해야 한다는 목소리도 나왔다.

2024년 시장조사업체 가트너에 따르면 구글과 마이크로소프트 등 세계 기업 63%가 제로 트러스트를 도입했지만 국내는 확산이 더딘 상황이다. 시장조사업체 그랜드뷰리서치에 따르면 오는 2030년 글로벌 제로 트러스트 시장은 134조원 규모로 성장할 예정이지만 한국 시장은 4조원 규모에 머무를 전망이다.

보안업계 관계자는 "고객사들 중 정의, 기준, 정부 지원 근거 등이 명확하지 않아 제로 트러스트 도입에 어려움을 겪는 경우가 많았는데 법제화된다면 내실 있게 기업들도 추진할 수 있을 것"이라며 "국내 솔루션을 도입하는 기업에 정부가 바우처를 주는 등의 방법으로 보안업계 성장도 도모할 수 있다"고 설명했다.

kaya@fnnews.com 최혜림 기자