[디지털데일리 김보민기자] 국내 두 번째 제로트러스트 가이드라인이 출격을 앞두고 있다. 개념 정의를 넘어 성숙도 모델에 대한 도입 방법론이 제시될 것으로 예상되는 가운데, '체감하기 어렵다'는 평가가 나온 기존 1.0 버전의 한계를 넘어설 수 있을지 주목된다.

27일 업계에 따르면 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)은 이번달 학계를 대상으로 제로트러스트 2.0 최종본을 검토하는 작업을 추진했다.

새 가이드라인은 11월 마지막 주 초에 공개될 예정이었지만, 추가 작업이 이어지며 발표가 늦어진 것으로 전해진다. 다만 '연내 공개'가 예고된 만큼, 두 번째 가이드라인은 12월 중 베일을 벗을 전망이다.

제로트러스트는 '누구도 믿지 말고 경계하라'는 의미의 보안 원칙으로, 외부뿐만 아니라 내부에서 발생할 수 있는 위협을 사전에 차단하는 것이 골자다.

새 가이드라인은 기존에 예고된 참조모델과 실태조사 대신, 강화된 제로트러스트 성숙도 모델을 핵심으로 다룰 전망이다. 미국 사이버보안 전담기관 CISA(Cybersecurity & Infrastructure Security Agency)이 제시한 최신 성숙도 모델을 착안한 내용이 담긴 것으로 알려졌다. 성숙도 모델에 대한 체크리스트가 포함됐을 가능성도 점쳐지고 있다.

기존 1.0 버전이 기본 개념과 주의사항을 소개하는 데 집중했다면, 이번 가이드라인은 한 단계 나아가 제로트러스트 도입과 확산에 도움이 될 만한 내용을 담는 셈이다. 가이드라인 1.0은 제로트러스트 기본 원리와 아키텍처 보안 모델, 도입 절차, 구현 사례 등 국내외 동향과 개념을 소개한 바 있다.

관계기관 또한 새 가이드라인 출격에 맞춰 도입 전략을 소개하는 자리를 준비하고 있다. 한국정보보호산업협회(KISIA)는 한국제로트러스트위원회(KOZETA) 주관으로 다음 달 4일 '제로트러스트 구축전략 콘퍼런스'를 개최한다. 새 가이드라인을 소개하는 시간과 더불어 민간 컨소시엄별 제로트러스트 보안 전략을 소개하는 세션이 이어질 예정이다. 현장에는 실증사업에 참여하는 파이오링크, 모니터랩, 프라이빗테크놀로지, 지니언스, 이니텍, SGA솔루션즈 컨소시엄을 비롯해 소프트캠프도 발표자로 참여한다.

제로트러스트 도입에 관심을 보이고 있는 업계에서는 '두 번째 가이드라인을 기다렸다'는 반응과 동시에, '1.0 버전에서 아쉬웠던 점이 보완될지 살펴봐야 한다'는 반응이 공존하고 있다. 첫 가이드라인이 발표된 이후 1년이 넘는 시간이 지났지만 사업 운영에 있어 큰 변화를 체감하지 못하고 있거나, 현업 담당자가 개념적 차원에서 제로트러스트를 이해하지도 못하고 있다는 의견도 나오고 있다.

첫 가이드라인이 나온 직후에는 가이드라인 1.0이 대형 엔터프라이즈 업체의 입장에서 작성됐다는 의견이 제기되기도 했다. 보안 위협에 취약하지만 예산과 인력을 투입하는 데 한계가 있는 작은 규모의 기업에게는 가이드라인 하나 만으로 제로트러스트를 습득하기 어렵다는 취지였다. 규제(컴플라이언스) 차원에서 제로트러스트를 강제하는 것 또한 아니라, '왜 제로트러스트가 필수인지 모르겠다'고 반응하는 곳도 다수다.

때문에 이번 가이드라인은 1.0 버전의 한계를 보완하되, 업계가 실제 부응할 수 있는 내용을 담았는지가 관건이 될 전망이다. 한국은 지난해 1.0 발표를 시작으로 제로트러스트 분야에서 걸음마를 뗀 상태다. 반면 미국은 2020년 미국표준기술연구소(NIST)가 제로트러스트 아키텍처를 발표한 것을 시작으로 연방정부 차원에서 도입을 본격화한 상태다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -