한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주> 

 

 

[뉴스투데이=김한경 안보전문기자] 신종회 엔씨소프트 상무는 우리나라를 대표하는 보안 전문가 중 한 사람이다. 한국인터넷진흥원(KISA) 보안기술표준팀장 출신인 그는 마이크로소프트 코리아 이사, 아마존 웹 서비스 상무 등을 거쳐 2019년부터 엔씨소프트에서 근무하고 있다. 엔씨소프트는 당시 게임별로 나뉜 여러 개 개발망과 서버접근망, 인터넷망 등 망분리가 이뤄진 상태여서 업무 환경에 대한 임직원의 불만과 생산성 저하가 크게 우려되는 상황이었다.

 

신 상무는 이에 대한 해법으로 제로트러스트(Zero Trust) 도입을 추진했다. 제로트러스트란 “그 무엇도 검증 전에는 신뢰해선 안 된다”라는 개념의 새로운 보안체계이다. 전체 시스템에서 안전한 영역이나 사용자가 없다는 것을 기본 전제로 사용자 인증을 강화하고, 기기 보안상태의 지속 검증과 최소한의 접근 권한을 부여하며, 사용자의 이상 행위 상시 모니터링 및 중앙에서 통합 접근통제를 수행하는 방식이다. 

 

그는 1단계로 2020년까지 제로트러스트 개념을 기반으로 사용자, 기기, 클라우드 서비스에 대한 보안통제 구현을 완료하였다. 이 과정에서 데이터·서비스를 중요도에 따라 분류한 후 차등적인 보안정책 적용이 필요하다는 사실을 인식하게 됐고, 참고할만한 다양한 사례를 찾았으나 국내에서 찾기는 어려웠다. 결국, 엔씨소프트가 제로트러스트 구현 우수 사례가 되는 것을 목표로 설정했고, 이에 대한 공로를 인정받아 지난해 과학기술정보통신부로부터 ‘2023년 정보보호대상’을 수상했다. 

 

엔씨소프트는 2021년부터 AI 서비스를 포함한 클라우드 서비스의 안전한 사용과 글로벌 협업환경 마련을 목표로 제로트러스트 2단계 구축을 진행 중이다. 현재 데이터·서비스 등급 분류는 85%가량 진행됐으며, 올해 안에 등급 분류가 완료되면 각 등급에 따라 차등적인 보안정책을 적용해 나갈 계획이다. 특히, 등급이 가장 높은 최고기밀의 경우 중앙집중화된 사용자 행위 통제 방안을 추가로 적용할 예정이다. 또한, 사용자 이상 행위 분석·대응체계도 AI를 활용해 고도화하는 중이다. 

 

기자는 지난 23일 뉴스투데이와 국방혁신기술보안협회가 국회에서 공동 주관한 ‘2024 K-방산혁신포럼’ 이후 신 상무를 별도로 만나 엔씨소프트의 제로트러스트 도입과 관련해 궁금한 몇 가지를 질문했다. 국내에서 가장 앞서 제로트러스트를 구축해본 그의 경험은 향후 망분리 제도 개선과 함께 방산업체에 제로트러스트 구축이 진행될 때 여러모로 도움이 될 수 있다고 생각했기 때문이다. 

 

신 상무는 “제로트러스트는 망 밖의 사용자는 신뢰하지 않다가 망 안에 들어오면 신뢰하는 전통적인 네트워크 경계 방식에서 벗어나 사용자 위치와 관계없이 신뢰를 지속 확인하는 강화된 사이버보안 패러다임”이라며 “제로트러스트 도입으로 망분리가 없어지는 것이 아니며, 유연한 업무 환경을 만들기 위한 보완 방안으로 이해해야 한다”고 설명했다. 그러면서 “엔씨소프트의 제로트러스트 구현 여정이 망분리 개선의 축소판으로써 좋은 사례가 될 수 있을 것”이라고 덧붙였다. 다음은 그와의 일문일답.

 

Q. 신 상무가 직접 경험한 제로트러스트란 어떤 것이며, 제로트러스트의 성공적 구현을 위해 필요한 것은 무엇인가?    

 

A. 제로트러스트는 기술이라기보다 사이버보안을 위한 설계방식의 변화라고 할 수 있으며, 망분리 환경을 대체하는 개념이 아닌 망분리의 한계를 개선하기 위한 보안방식으로 보는 것이 바람직하다. 그리고 성공적 구현을 위해서는 조직의 사용자, 기기, 데이터·서비스에 대한 세부적인 이해와 함께 데이터·서비스 분류체계 마련이 필요하며, 단일 솔루션이 부재함으로 컨소시엄 기반의 솔루션 도입을 검토하는 것이 필요하다.

 

Q. 엔씨소프트 외에 전사적으로 제로트러스트를 도입한 회사가 국내에 있는가? 엔씨소프트가 최초라면 어떤 효과를 얻었는가?    

 

A. 국내 몇몇 기업에서 일부 도입했다는 이야기는 들었지만, 엔씨소프트와 같이 전사적으로 도입된 사례는 보지 못한 것 같다. 엔씨소프트는 23년도에 글로벌 ESG 평가기관인 모건스탠리캐피털인터내셔널(MSCI)로부터 국내 최고 등급인 ‘AA’ 평가를 받았고, 리스크 평가에서도 글로벌 게임 기업 53개 중 2위에 올랐다.

 

이러한 평가는 엔씨소프트가 제로트러스트 도입을 통해 고객과 회사의 중요 정보를 보호하기 위한 적극적인 활동을 펼친 점이 주효했다고 생각한다. 더불어, 직원 만족도 조사에서 95%가 긍정적인 평가를 해주었고 IT 중복투자 비용도 45%가량 절감했다. 또한, 팬데믹 기간 중 전사 재택근무 시에도 보안 무사고를 달성했다. 

 

Q. 제로트러스트를 도입하는 과정에 가장 어려웠던 점은?    

 

A. 앞서 이야기 드린 바와 같이 도입에 참고할 만한 사례를 거의 찾아볼 수 없었다. 이에 우리 스스로가 우수 사례가 되어 보자고 목표를 설정했고, 도입 과정 하나하나에 개척정신으로 임했다. 제로트러스트 도입을 고려하고 있는 기관·기업들이 비슷한 어려움을 겪지 않도록 도입 과정에서 얻은 경험과 노하우를 적극적으로 공유해 오고 있다.  

 

Q. 데이터 분류체계 마련의 가장 큰 걸림돌은 무엇이었나?    

 

A. 회사에 어떤 유형의 데이터와 서비스가 있는지 전수 조사를 진행하는 것이 매우 어려웠다. 조사가 진행되는 순간에도 새로운 서비스가 도입되거나 폐기되는 라이프사이클을 지니고 있었기 때문이다. 그래서 효율적인 조사를 위해 모든 부서를 대상으로 대면 인터뷰를 진행하되 전수 조사가 아닌 유형별 샘플링 방식의 조사를 진행했고 유형별 분류체계를 만들기 위해 집중했다. 최종적으로 4단계(최고기밀-기밀-대외비-공개)의 분류기준을 정했고, 2년여간 조사가 진행돼 현재 85%가량 이루어진 상태다.  

 

Q. 컨소시엄 기반의 솔루션이 필요하다고 했는데 국내 보안업체만으로 가능한가?    

 

A. 국내 보안업체들만으로도 충분히 가능하다고 본다. 실제로 정부 부처에서 컨소시엄 기반의 제로트러스트 실증사업을 지난해에 진행하기도 했다. 다만, 규모의 경제 측면이나 글로벌 시장 진출 등에 있어 아무래도 글로벌 기업의 영향력이 높은 것은 사실이기 때문에 상황에 따라 상호 윈윈할 수 있는 전략도 필요하다. 

 

글로벌 기업이 로컬 시장에 특화된 서비스를 제공하거나 기업이 자체 개발해 운영 중인 서비스를 고려해서 표준화된 솔루션을 제공하기는 쉽지 않기 때문이다. 이러한 측면에서 강점을 지닌 국내 보안업체와 글로벌 기업 간의 파트너 전략은 효과적일 수 있다고 생각한다.

 

Q. 제로트러스트 구현 측면에서 방산업체와 게임사 간에 유사한 점이 있다면?  

 

A. 방산업체와 게임사 간에 유사성이 크게 없을 것 같지만, 개발업무나 협력사와의 협업 환경 등을 살펴보면 유사성이 매우 높은 것을 알 수 있다. 개발업무에 있어서 개발자들은 인터넷과 클라우드 서비스를 통해 오픈소스의 사용이나 AI 서비스와 같은 최신 기술을 활용하려는 니즈가 매우 높다. 개발 속도와 생산성이 높아지기 때문이다. 

 

협력사와의 공조도 정보유출에 대한 우려가 상당해 각종 보안대책을 마련한 후 협력을 진행하기 때문에 신속한 협업이 이뤄지지 못하는 경우가 많다. 제로트러스트 구현은 이러한 점을 해결하기 위한 좋은 방안이 될 수 있었고, 엔씨소프트가 구현 과정에 경험한 노하우는 방산업체들의 망분리 환경 개선에도 많은 도움이 될 것으로 보인다.   

 

---

◀ 신종회 프로필 ▶ 엔씨소프트 정보보안센터장, 前 아마존 웹 서비스(AWS) 상무, 前 마이크로소프트(MS) 코리아 이사, 前 한국인터넷진흥원(KISA) 보안기술표준팀장, 2023년 정보보호대상(과기정통부 장관상), 2020년 올해의 CISO상(과기정통부 장관상), 고려대 컴퓨터학 박사