법제화 시동 건 '제로 트러스트'… 통신사·커머스 도입 주목

법안에 주요 플랫폼 대상 규정
'해킹사고' SKT·KT·쿠팡 거론
보안업계 등 정부 뒷받침 필요

'아무도 신뢰하지 않는다'는 보안 모델 '제로 트러스트'의 법제화에 신호가 켜졌다. 제로 트러스트는 모두에게 최소한의 정보 접근 권한만 주며 정보 접근 시 신원 증명이나 권한 등을 지속 검증하는 개념이다. 국내에선 과학기술정보통신부 산하 인터넷진흥원(KISA)이 '제로 트러스트 가이드라인 2.0'을 제작해 알리고 있는 수준이다.

미국의 경우 공공기관 등을 중심으로 제로 트러스트 보안 정책이 확산되는 상황이다.

11일 의안정보시스템에 따르면 최민희 국회 과학기술정보방송통신위원회 위원장(더불어민주당)이 지난해 12월 26일 제로 트러스트 보안 체계 구축 의무 및 지원 사항을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 대표 발의했다. 22대 국회 과방위에와 정무위원회에 접수된 첫 사례다. 법안은 통신사, 커머스, 플랫폼 등 정보통신서비스 제공자가 제로트러스트 보안 체계 구축을 위해 노력하도록 규정하고 중소기업이 체계 도입 시 필요한 경비를 정부가 지원할 수 있는 내용을 담고 있다.

국회 입법조사처에 따르면 2024년 한 해 동안 접수된 기업 침해 사고 신고 가운데 84%는 중소기업에서 발생했다. 반면 정부의 제로트러스트 도입 지원 사업 예산은 2024년 62억원에서 2025년 56억원, 2026년 45억원으로 해마다 감소하는 추세다. 최민희 의원은 "SKT 유심 해킹, KT·롯데카드 해킹, 쿠팡 개인정보 유출 사고는 사이버 보안이 곧 국민의 생명줄임을 보여줬다"며 "사고 이후 대응하는 구조로는 한계가 있으니 제로 트러스트로 미리 차단해야 한다"고 강조했다. 정부도 필요성에 공감하는 모습이다. 과학기술정보통신부는 지난해 SKT와 KT 해킹 조사 결과를 발표하며 각 사에 제로 트러스트 도입이 필요하다고 밝힌 바 있다. 업계는 쿠팡에도 제로 트러스트 도입을 강조할 것으로 예측하고 있다.

제로 트러스트 법제화가 국내 보안 업계에도 호재가 되도록 지원 정책을 함께 설계해야 한다는 목소리도 나왔다. 2024년 시장조사업체 가트너에 따르면 구글과 마이크로소프트 등 세계 기업 63%가 제로 트러스트를 도입했지만 국내는 확산이 더딘 상황이다.

보안업계 관계자는 "고객사들 중 정의, 기준, 정부 지원 근거 등이 명확하지 않아 제로 트러스트 도입에 어려움을 겪는 경우가 많았는데 법제화된다면 내실 있게 기업들도 추진할 수 있을 것"이라고 말했다.

kaya@fnnews.com 최혜림 기자