‘보안이 곧 경쟁력’표방기존 ‘경계 기반’ 보안 체계의 한계 지적SKT 해킹 사고로 공식화SKT 7천억부터 KT 1조 투자 LGU+도 올해 1천억원 집행
  • ▲ ⓒGOOGLE Gemini
    ▲ ⓒGOOGLE Gemini
    SK텔레콤의 사이버 침해 사고 이후 통신업계 최대 화두는 ‘제로 트러스트(Zero Trust)’가 될 전망이다. SKT는 물론 KT, LG유플러스까지 앞다퉈 ‘제로 트러스트’ 보안 체계 도입을 본격화하고 있기 때문이다. 

    16일 통신업계에 따르면 주요 통신 3사는 모두 ‘제로 트러스트’ 체계 도입을 공식화했다.

    ‘제로 트러스트’는 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 의미의 새로운 사이버 보안 체계다. 

    기존 ‘경계 기반 보안(Perimeter Security)’ 모델이 악의를 품은 공격자가 신뢰 구간 외부에 있고 신뢰 구간 내부의 사용자는 믿을 수 있다는 전제로 네트워크 내부와 외부를 구분해 외부로 공격을 차단하는 방식이었다면 ‘제로 트러스트’ 정반대다. 네트워크 경계와 관계없이 아무도 신뢰하지 않는 것을 전제로 하기 때문에 네트워크 내부와 외부를 구분 않고 모든 요청을 의심하고 검증해 최소의 권한만 부여, 각각의 자원을 보호하는 체계다. 

    쉽게 말해 ‘경계 기반 보안’ 체제에서는 내부자에게 높은 신뢰를 부여하고 있기 때문에 한번 인증된 기기나 사용자의 트래픽이 내부의 다양한 정보에 접근이 가능한 반면 ‘제로 트러스트’는 내부 침투가 이뤄지더라도 각각의 정보에 접근권한이 제한돼 내부 전파가 불가능한 구조를 가지게 된다.

    SKT의 사례가 대표적이다. SKT의 지난 4월 해킹은 공격자가 초기 외부 인터넷 연결 접점이 있는 시스템 관리망에 침투한 이후 고객 관리망 서버, 코어망까지 침투해 악성코드를 설치해 대규모로 고객 정보를 빼냈다. 내부 네트워크를 의심하지 않는 ‘경계 기반 보안’이 가진 한계를 고스란히 보여줬다는 평가를 받는다.

    실제 모바일, IoT 기기, 클라우드 등 디지털 트랜스포메이션 도입이 확산되면서 ‘제로 트러스트’는 보안 체계의 새로운 표준으로 자리잡는 중이다. 미국 정부는 이미 지난 2021년 ‘국가 사이버 보안 개선을 위한 행정명령’을 통해 사이버보안 표준으로 정하고 있고 국제 표준화 움직임까지 보이고 있다. 국내에서도 과학기술정보통신부와 한국인터넷진흥원(KISA)이 지난해 12월 ‘제로 트러스트 가이드라인 2.0’을 발표한 바 있다.

    통신업계가 앞다퉈 ‘제로 트러스트’를 선언한 것도 이런 흐름과 무관하지 않다. SKT는 최근 해킹 사고 이후 올해 매출 가이던스를 17조8000억원에서 17조원으로 하향 조정했다. 영업이익도 수천억원대 감소가 불가피할 것으로 전망되고 있다. 보안의 중요성이 기업의 사활과 직결된다는 위기감이 높아진 이유다.

    실제 SKT는 지난 4일 이번 해킹 사고를 계기로 향후 5년간 7000억원을 보안에 투자하겠다는 계획을 밝히기도 했다. 특히 ‘제로 트러스트’ 기반 정보보호 체계를 구축하고 인증·권한 관리, 망 세분화, AI기반 통합보안관제, 암호화 등 정보보호 수준을 높이기 위한 기술적 조치를 이어가겠다는 계획도 밝혔다.

    KT는 여기서 한발 더 나아가 지난 15일 5년간 1조원 보안 투자 계획을 공개했다. 이중 상당한 무게를 둔 것은 ‘제로 트러스트’ 모니터링 체계 강화다. 예정된 투자금만 약 3400억원 규모. 이 외에 글로벌 협업에 약 200억원, 보안전담 인원 충원에 약 500억원, 정보보호공시 수준 유지 및 개선에만 누적 6600억원이 예정됐다.

    LG유플러스도 지난 8일 ‘정보보호백서 2024’을 통해 ‘제로 트러스트’ 전환 로드맵을 공개했다. 지난해 ‘제로 트러스트’ 컨설팅을 통해 회사에 적합한 ‘제로 트러스트 아키텍처(ZTA)’를 설계하고 구축-확산-안정화의 3단계 로드맵을 제시한 것. 올해는 첫 번째 단계로 단말 보안 강화, 접근제어 모델 정립, 조건부 접속 정책 확립 등을 목표로 하고 있다. LG유플러스는 중장기 보안 투자 규모를 공개하지 않았지만 지난해 보안 투자 규모인 828억원의 30%가 넘는 1000억원 이상을 투자하겠다는 포부를 밝혔다.

    업계 관계자는 “올해 국내에서 주요 기업들의 해킹 사건이 잇따르면서 보안에 대한 중요성이 어느 때보다 커지고 있다”며 “그동안 미온적이었던 ‘제로 트러스트’ 보안 체계의 도입도 최근 SKT 해킹 사고를 계기로 본격화 되고 있다”고 전했다.