정부가 ‘제로트러스트(ZeroTrust)’ 안착을 위해 나서자 국내 보안 기업들도 합종연횡을 시작했다. 제로트러스트는 ‘절대 믿지 말고 항상 검증하라(Never Trust, Always Verify)’는 원칙을 기반으로, 모든 접속을 경계하고 체계적 확인 절차를 거치는 보안 모델이다.
23일 업계에 따르면 지니언스는 최근 ‘제로트러스트 전략 2.0′을 발표하며 퓨쳐텍정보통신의 지분 100%를 취득했다고 밝혔다. 퓨쳐텍정보통신은 보안소켓계층(SSL) 가상사설망(VPN) 전문 기업인데 지니언스는 퓨쳐텍정보통신의 강점을 활용해 자사 ZTNA(Zero Trust Network Access) 솔루션을 고도화하겠다는 목표다.
이글루코퍼레이션과 프라이빗테크놀로지는 업무협약(MOU)을 맺고 제로트러스트에 특화한 관제·보안 대응 자동화 정책 지원 서비스를 개발하기로 했다. 프라이빗테크놀로지는 코어 기술과 상호 연결·제어 알고리즘, 이글루코퍼레이션은 보안 운영·분석 노하우를 제공하고 협력 체계를 구축한다는 계획이다. 안랩, SGA솔루션즈, 소프트캠프 등도 각각 제로트러스트 보안 모델을 내놓고 있다.
제로트러스트 보안 모델은 세계 각국에서 새로운 보안 패러다임으로 자리잡고 있다. 기존의 보안모델은 해커가 IT 시스템 입구만 통과하면 내부 서버나 데이터베이스(DB) 등을 둘러볼 수 있는 구조였다. IT 자산 각각의 요소에서 인증을 따로 진행함으로써 시스템을 지키도록 하는 게 제로트러스트 보안 모델의 특징이다. 서버, 컴퓨팅 서비스·데이터 등을 각각 분리해서 보호하는 것이다. 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다.
미국은 지난 2014년과 2015년 두 차례에 걸쳐 미국 연방정부 인사관리처에서 개인정보 유출사고가 생기자 미국 하원 감독개혁위원회가 앞장서 해킹사고 방지를 위한 제로트러스트 모델 전환 노력을 권고했다. 2021년에는 행정명령을 통해 연방정부의 제로트러스트 도입을 공식화했다. 싱가포르도 사이버보안 현대화 전략으로 제로트러스트 도입 원칙을 발표했으며, 영국과 일본도 제로트러스트 관련 정책을 잇따라 밝혔다.
국내에서도 제로트러스트 모델을 안착하기 위한 노력이 이어지고 있다. 정부는 올해 제로트러스트 보안 모델 확산지원, 컨설팅 등에 55억원 이상을 투입할 예정이다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 제로트러스트 도입·확산 시범사업 4개 과제에 총 45억원을 투입하는데, 지난해 2개 과제에 총 10억원을 투입했던 것과 비교하면 규모가 대폭 늘어났다. 기업과 공공기관이 제로트러스트를 실제 업무 환경에 적용할 수 있도록 수요 기업·기관을 솔루션 공급기업과 매칭하고 운영 예산을 지원할 예정이다.
한국정보보호산업협회(KISIA)는 작년부터 한국제로트러스트위원회(KOZETA) 활동을 주도하고 있다. 지난해 3월 발족 당시 8곳이었던 KOZETA 회원사는 현재 50곳을 넘어섰다. 기업들의 관심이 늘어난 것으로 해석된다.
시장조사업체 가트너는 ‘2024년 제로 트러스트 도입 현황’을 통해 전 세계 기업의 63%가 제로 트러스트 전략을 완전히 또는 부분적으로 도입했고, 제로 트러스트 전략을 구현한 기업의 78%는 사이버 보안 예산의 25% 미만을 투자하고 있다고 밝혔다. 시장조사업체 마켓앤마켓에 따르면 글로벌 제로트러스트 보안 시장 규모는 지난해 311억달러(42조원)에서 2028년 679억달러(92조원)로 커질 전망이다.