최영철 SGA 솔루션즈 대표, “방산업체의 IT 보안체계는 제로 트러스트 아키텍처(ZTA) 표준 기반의 RMF 형태로 구축돼야”
한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주>
[뉴스투데이=김한경 안보전문기자] 최영철 SGA 솔루션즈 대표는 지난 2월 23일 ‘AI 강군 육성을 위한 방산보안의 과제와 해법’이란 주제로 열린 ‘2024 K-방산혁신포럼’에서 “방산업체의 IT 보안체계는 제로 트러스트 아키텍처(ZTA) 표준 기반의 RMF 형태로 구축돼야 하며, 이렇게 구축된 IT 보안체계는 NIST SP 800-71의 기술적 보안체계를 만족하게 됨으로써 자연스럽게 CMMC 수준을 만족할 수 있게 된다”라고 주장했다.
NIST(National Institute of Standard and Technology)는 미국 국립표준연구소이며, SP 800-71은 CMMC의 주요 인증 평가요소의 기반이 되는 표준이다. 최 대표는 “국방부와 방산업체는 IT 보안시스템 구성 시 RMF, CMMC, ZTA를 동일 선상에 놓고 IT 보안체계의 거버넌스와 컴플라이언스 제도를 만들어야 한다”면서 “국방부는 미국처럼 ZTA 참조모델을 만들고 방산업체는 단계별로 ZTA 구현에 빠르게 착수할 필요가 있다”라고 강조했다.
통합 IT 보안기업인 ‘SGA 솔루션즈’는 2002년 ㈜레드게이트로 설립됐고, ㈜비씨큐어를 흡수합병한 후 ㈜레드비씨로 사명을 바꾸었으며, 2015년 코스닥 상장 후 현재의 사명으로 변경했다. 7∼8개 보안업체와 M&A를 거쳐 만들어온 현재의 회사는 시스템 보안, 응용 보안, 엔드포인트 보안 등 기존 사업영역에 제로 트러스트 보안, 클라우드 보안까지 아우르는 통합 정보보안 솔루션으로 사업영역을 확대해 차세대 IT 보안 시장을 선도하고 있다.
기자는 포럼 당시 이 대표의 주장과 관련해 좀 더 깊은 얘기를 듣고 싶어 지난 19일 회사를 직접 방문했다. 한국인터넷진흥원(KISA) 출신인 최 대표는 그동안 회사가 성장해온 과정을 설명하면서 앞으로 지향할 사업 방향에 대한 생각도 털어놨다. 모든 제품을 직접 개발해온 SGA 솔루션즈는 연구개발 및 기술인력이 전체 인력의 80%를 차지하며, 이런 축적된 역량을 바탕으로 현재 제로 트러스트 보안과 클라우드 보안에 역점을 두고 사업을 추진 중이다.
최 대표는 “클라우드가 도입되고 미국이 국가 단위에서 행정명령을 내려 제로 트러스트를 추진하면서 보안기술이 통합 또는 결합하는 환경이 조성되고 있다”면서 “국내 기업들은 이것을 어떻게 바라보고 다뤄야 할지 몰라 좌고우면하는 상황인데, 우리처럼 통합 정보보안 솔루션을 가진 보안업체가 그 힘을 발휘해야 할 단계에 있다”며 정부의 제로 트러스트 보안 실증사업을 이미 수행한 사실도 밝혔다. 다음은 그와의 일문일답.
Q. 방산업체의 IT 보안체계는 제로 트러스트 아키텍처(ZTA) 표준 기반의 RMF 형태로 구축돼야 한다고 주장했는데, 정확한 의미가 무엇인가?
A. NIST가 2020년 발표한 제로 트러스트 아키텍처 표준(SP 800-207)에는 제로 트러스트 보안시스템 구축 시 RMF(Risk Management Framework)를 구현 방법론으로 제시하고 있다. RMF는 IT시스템을 구축하거나 소프트웨어를 개발할 때 준비(Prepare), 분류(Categorize), 선택(Select), 구축(Implement), 평가(Assess), 인가(Authorize), 모니터(Monitor) 등 7단계의 순환 과정으로 업무를 수행하는 방식이다.
미국 바이든 행정부는 2022년 1월 행정명령을 통해 제로 트러스트를 사이버 보안 주요원칙으로 결정했으며, 이에 따라 미국 국방부는 2022년 7월 제로 트러스트 구현계획인 ‘제로 트러스트 참조 아키텍처(Zero Trust Reference Architecture)’를 발표했다. 우리 국방부도 미국처럼 자체 ZTA 참조모델을 만들어야 하며, 이를 기반으로 방산업체의 IT 보안체계도 구축할 필요가 있다.
Q. 지난해 KISA의 ‘제로 트러스트 보안 모델 실증 지원사업’에 선정돼 수행한 것으로 알고 있다. 어떤 내용의 사업이며 사업 결과 무엇을 얻었나?
A. 이 사업은 과학기술정보통신부(이하 과기정통부)가 2023년 7월 발간한 제로 트러스트 가이드북 1.0의 6가지 기본철학과 ▲강화된 인증 체계 ▲마이크로세그멘테이션 ▲네트워크 인프라 및 소프트웨어 정의 등 3가지 핵심원칙에 입각해 개념적으로만 정리됐던 제로 트러스트 보안 적용 프로세스의 보안 모델을 실제로 구현하면서 효과성을 검증하는 것이 목표였다.
SGA솔루션즈는 통합 제로 트러스트 모델을 설계하고 솔루션 연동을 기획했으며, 사용자 통합 엔드포인트 보안솔루션 공급 및 구축, 기업 자원에 대한 시스템 보안 기능과 논리적 마이크로세그멘테이션 환경 구축을 담당했다. 이 사업을 통해 회사는 통합 풀스택(Full-Stack) 제로 트러스트 아키텍처 시스템을 확보했고, 고객사와 협업을 통해 제로 트러스트 컨설팅 및 구축 방법론도 확보했다.
Q. 국방부가 미국처럼 ZTA 참조모델을 만들려면 어떻게 해야 하나?
A. 미국 국방부의 제로 트러스트 아키텍처(ZTA) 참조모델에는 2023년부터 2027년까지 자체 제로 트러스트 아키텍처를 어떻게 설계하고 구현할지에 대한 내용이 상세하게 포함돼 있다. 하지만 우리는 아직 ZTA 참조모델 도입에 대한 검토가 진행되지 않고 있다.
2023년 7월 과기정통부는 NIST SP 800-207을 기반으로 ‘제로 트러스트 가이드라인’을 발간했는데, 국내 환경을 고려해 기업이나 기관이 제로 트러스트 아키텍처를 구현할 수 있는 주요 구성요소와 기준점을 제시했다. 이 가이드라인을 토대로 국방부도 전체 IT 환경과 자산을 분석하고 최적화된 제로 트러스트 아키텍처 구현 방법을 정의해 설계하면 자체 ZTA 참조모델을 만들 수 있다.
Q. 미국이 제로 트러스트 구현 표준으로 제시한 NIST SP-800-207에 따른 ‘제로 트러스트 보안 솔루션’을 2022년에 이미 출시했다. 어떤 제품인가?
A. SGA솔루션즈는 시스템 보안, 엔드포인트 보안, 응용 보안, 클라우드 보안 등 전방위 보안 분야의 원천 기술을 기반으로 다양한 보안솔루션 라인업을 갖추고 있다. 이러한 원천 기술과 제품을 기반으로 지난해 5월 ‘SGA ZTA’라는 이름의 제로 트러스트 보안 솔루션을 출시했다.
‘SGA ZTA’는 NIST SP 800-207과 과기정통부의 ‘제로 트러스트 가이드라인 1.0’을 구현할 수 있는 제로 트러스트 아키텍처 프레임워크 솔루션으로 근본적 신뢰 거부, 강력한 인증, 동적 접근제어, 지속적 검증 등 제로트러스트 7대 원칙을 토대로 개발됐으며, 국내 최초로 프론트엔드에서 백엔드까지 모두 연동·연계할 수 있는 풀스택 제로 트러스트 보안솔루션이다.
이 솔루션은 ▲통합 엔드포인트 관리(UEM) ▲정책 결정 및 관리(ICAM) ▲정책 이행(PAM 게이트웨이) ▲엔터프라이즈 리소스 시스템 보안(Zero Trust Microsegmentaion) ▲정책 지원(PIP) 등을 제공하며, ▲강력한 신원 인증 ▲지속적 디바이스 검증 ▲동적 정책 적용 ▲엔터프라이즈 리소스 보호 등으로 다양한 클라우드 환경에서 구현할 수 있다.
Q. 망분리 정책이 개선되면 방산보안 차원에서 클라우드 보안과 제로트러스트 보안이 주목받을 것으로 보이는데, 적합한 제품이 있는지와 향후 개발이 필요한 부분은?
A. 먼저 클라우드 보호의 시작이라고 할 수 있는 클라우드 워크로드 보호 플랫폼(CWPP)이 있다. 2021년 출시한 ‘vAegis(브이이지스)’는 기존 제품으로는 제한되던 클라우드와 가상화 환경에 대한 위협 탐지, 가시성을 제공해 보안 사각지대를 방지하며, ▲호스트 기반 방화벽과 IPS ▲안티 멀웨어 ▲애플리케이션 제어 ▲무결성 감시 ▲로그 관리 기능 등을 제공한다.
2023년 출시한 ‘cAegis(씨이지스)’는 클라우드 네이티브 컨테이너 플랫폼 환경(DevSecOps)에서 보안 위협에 적극적으로 대응할 수 있는 솔루션으로 ▲컨테이너 이미지 보증 ▲컨테이너 플랫폼 접근제어 ▲컨테이너 런타임 보호 등 다양한 보호 기능을 통해 안전한 클라우드 네이티브 보안 환경을 구축할 수 있다.
망분리 정책이 개선되면 기존 보다 강화된 사이버 보안 체계 구현이 필수적이다. 전체적인 구조는 ZTA의 보안 사항이 접목되고, 클라우드 보안은 주요 구성요소로 사용될 것이다. 따라서 회사는 SGA ZTA와 Aegis(이지스) 시리즈를 통합해 온프레미스와 클라우드 환경을 동시에 보호할 수 있는 완전한 시큐리티 플랫폼 구현을 목표로 통합 개발을 추진해나갈 예정이다.
Q. 글로벌 수준과 비교할 때 한국 보안업체의 역량은 어느 정도이며, 앞으로 국내 보안제품이 해외로 진출하려면 어떤 방법이 있는지?
A. 최근 IT 보안 트렌드는 클라우드 보안과 제로 트러스트 보안이다. 클라우드 보안의 경우 과거에는 해외업체와 기술 격차가 있었던 것이 사실이나 이제는 글로벌 시장에서 해외업체와 경쟁할 수 있는 수준에 근접해 있다.
제로 트러스트 보안은 여러 기술이 자유롭게 연동·연계돼 구현해야 하므로 프레임워크가 중요한데, 해외업체들은 제로 트러스트 기술 경쟁을 치열하게 벌이면서 자사 기술을 중심으로 강력하게 밀어붙이고 있어 통합이 어려운 상황이다. 반면 국내에서는 경쟁 업체가 많지 않아 프레임워크만 잘 설계하면 해외업체보다 빨리 다양한 분야에서 제로 트러스트 성공 모델을 만들고 해외 진출도 가능하다고 생각한다.
◀ 최영철 프로필 ▶ SGA솔루션즈(주) 대표이사, 과기정통부 제로 트러스트 실증사업 책임자, 한국정보보호산업협회 클라우드보안협의체 의장, 한국정보보호학회 협력부회장, 한국디지털문서플랫폼협회 회장, 前 한국인터넷진흥원(KISA) 연구원, 성균관대 공학박사(컴퓨터공학)