[뉴스투데이=임종우 기자] "제로트러스트는 전통적인 망분리 방식에서 벗어나 더 강화된 사이버 보안을 이끌 패러다임입니다"

신종회 엔씨소프트 정보보안센터장은 23일 '2024 K-방산혁신포럼'에서 이 같이 말했다.

이날 국회의사당 의원회관 제1소회의실에서 개최된 '2024 K-방산혁신포럼'은 'AI 강군 육성을 위한 방산보안의 과제와 해법'을 주제로 안규백 더불어민주당 의원(국회 국방위원회 소속)이 주최하고 뉴스투데이와 국방혁신기술보안협회가 공동 주관했다.

신 센터장은 이날 포럼에서 '망분리 보안 환경 개선을 위한 제로트러스트 적용 사례'를 주제로 발표를 진행했다.

제로트러스트란 전체 시스템에서 안전한 영역이나 사용자가 전무하다는 것을 기본 전제로, 내부자 여부와 관계 없이 인증 절차 및 신원 확인 등을 철저히 검증하고 접속 권한을 부여한 뒤에도 접근 범위를 최소화하는 보안 시스템을 말한다.

엔씨소프트는 보안을 위해 개발망과 서버접근망, 인터넷망 등을 분리하는 망분리 환경을 구축했는데, 망간 데이터 이동의 불편과 타 부서와의 커뮤니케이션, 원격 근무 제한 등의 문제가 발생하면서 이에 대응하고자 제로트러스트를 도입하게 됐다.

엔씨소프트는 지난 2019년부터 제로트러스트 도입을 추진했으며, 2020년 일차적으로 기기와 사용자에 대한 제로트러스트 기반 보안통제 시스템이 구현됐다. 지난 2021년부터는 AI를 포함한 클라우드 서비스의 안전한 사용과 글로벌 협업 환경을 마련하기 위한 목표로 '2단계 제로트러스트' 구축을 추진하고 있다.

신 센터장은 "제로트러스트 구축 과정에서 보안 효율성을 위해 데이터·서비스 분류 체계가 마련돼야 했다"며 "오픈된 정보와 최고기밀 정보가 함께 있다면 보안 기준을 최고기밀에 맞춰야 하는 만큼 비효율성이 강조되는 문제가 있다"고 지적했다. 

그는 이어 "엔씨소프트는 지난해까지 약 85% 수준의 데이터 분류를 완료했으며, 올해 안으로 모든 데이터의 분류를 마칠 것"이라며 "추후 최고기밀 등 고위험군 데이터에 관련해선 접근 시에도 중앙에서 사용자 행위를 통제할 수 있는 추가 보호 대책을 적용할 것"이라고 설명했다.

데이터 분류 외에도 제로트러스트 구축상 단일 솔루션 기능의 한계와 구현 사례 부족 등의 문제도 나타났다.

신 센터장은 "다른 구현 사례를 참고하려고 했으나 찾기가 어려웠다"며 "이에 엔씨소프트가 제로트러스트를 이끄는 우수 사례가 되는 것으로 목표를 설정했다"고 언급했다.

엔씨소프트는 제로트러스트 구현의 영향으로 글로벌 ESG(환경·사회·지배구조) 평가기관인 모건스탠리캐피털인터내셔널(MSCI)로부터 최고 등급인 'AA'를 받았고, 리스크 평가 정보보안 및 개인정보 부문에선 글로벌 게임 기업 53개 중 2위에 오르기도 했다.

직원 만족도 조사에서도 응답자 중 95%가 긍정적으로 평가했으며, IT 중복투자 비용은 약 45% 절감됐다. 또한, 팬데믹 기간 중 전사적인 재택근무 시에도 보안 무사고를 달성했다

신 센터장은 제로트러스트가 기술이기보다 사이버보안을 위한 설계 방식의 변화라 할 수 있으며, 망분리 환경을 대체하는 개념이 아닌 망분리의 한계를 개선하기 위한 보안 방식으로 보는 것이 바람직하다고 평가했다.

신 센터장은 "제로트러스트는 망 밖에 있을 때 신뢰하지 않다가 망 안에 들어오면 무조건적인 신뢰를 주는 전통적인 네트워크 경계 방식에서 벗어나 더 강화된 사이버 보안의 패러다임"이라며 "제로트러스트 도입으로 망분리가 없어지는 것이 아니며, 유연한 업무 환경을 만들어가기 위한 대체 방안으로 이해할 필요가 있다"고 설명했다.

그는 이어 "제로트러스트가 망분리 혁명을 이끄는 과정에서 엔씨소프트의 여정이 하나의 축소판으로써 좋은 사례가 될 수 있을거라 생각한다"며 "발표를 마무리하는 키워드로 '망분리, 그때는 맞고 지금은 틀리다'를 제시하겠다"고 강조했다.

‘2024 K-방산혁신포럼’은 국회 국방위원회 소속 안규백 더불어민주당 의원이 주최하고 뉴스투데이와 국방혁신기술보안협회가 공동 주관하며 방위사업청과 한국방위산업진흥회 등이 후원했다.