최영식_-_경제전망대.jpg
최영식 쉬프트정보통신(주) 대표이사·(사)판교1조클럽협회장
전 세계적인 패닉을 불러왔던 코로나19 사태 이후 2년, 급격한 디지털 트랜스포메이션으로 인해 비대면 경제가 활성화된 이후 IT보안은 떼려야 뗄 수 없는 전제조건이 되고 있다. 그 과정 속에서 기관과 기업 그리고 사회적으로는 결국 '제로 트러스트'가 가장 안전한 보호 방법이라는 것이 증명되고 있다.

제로 트러스트는 '아무것도 신뢰하지 않는다'는 의미로 전체 시스템에서 안전한 영역, 사용자가 없다고 보고 내부 자원에 접속하는 모든 것을 철저히 검증하는 사이버 보안 모델을 말한다. 기술적으로는 엄격한 ID 확인 프로세스를 기반으로 하는 네트워크 보안 모델이며, 프레임워크는 인증되고 권한이 부여된 사용자와 디바이스만 애플리케이션 및 데이터에 접속하도록 허용하고, 동시에 인터넷의 최신 위협으로부터 애플리케이션과 사용자를 보호하는 개념이다.

제로 트러스트 보안 정책은 가장 먼저 금융산업 내에서 두드러지고 있다. 현재 국내 경제활동인구(2천853만명, 지난 10월 기준) 대비 약 105%가 오픈뱅킹 가입자이고 중복 포함 가입자 수는 1억1천명, 등록계좌 수만 해도 2억1천만개에 육박하고 있는 실정이기 때문에 더욱 그렇다. 


내부 자원에 접속, 인증·권한부여
암호화·보안분석으로 단계별 검증
정부, 데이터 흘러가는 경로·과정


현 금융산업은 코로나19 이후 핀테크 기업을 기점으로 비대면 거래가 일반화되었다. 핀테크 기업들을 통해 별도 제휴 없이 모든 금융회사에 접근이 가능하고 이체·송금분야에서 획기적인 비용절감 성과를 올렸다. 금융회사는 전 국민을 대상으로 서비스 제공을 통한 신규 고객을 확보할 수 있고 핀테크 기업과의 경쟁·협력을 통한 신규 비즈니스 기회를 창출했다. 금융소비자는 하나의 앱으로 금융서비스를 원스톱으로 이용할 수 있고, 고객 니즈에 맞는 다양한 상품 등장으로 금융서비스 선택의 폭이 넓어졌다.

그러나 더욱 지능화되는 사이버 공격 유형과 가장 많이 그 대상이 되고 있는 금융권을 중심으로 제로 트러스트 보안에 대한 경각심이 필요하다. 최근 발생하는 대다수 유형의 해킹 피해는 지능형 공격이다. 사용자의 디바이스를 악성 코드에 감염시키고, 그 디바이스가 내부 시스템에 연결될 때 악성 코드를 전염시키는 방식이다. 이와 같은 공격은 피해가 발생한 이후에 사고를 인지할 수 있기 때문에 소 잃고 외양간 고치는 격이다.

기존 보안이 네트워크 단계에서 외부의 공격을 차단하던 '경계 중심의 보안'이었다면, 제로 트러스트는 내부 자원에 접속하는 모든 것을 인증·권한부여, 암호화, 보안 분석을 통해 단계별로 검증하는 방식이기 때문에 더욱 그렇다.

이와 같이 제로 트러스트 정책이 필요불가결해진 상황에서 정부는 그동안의 성과를 바탕으로 오픈뱅킹을 넘어 오픈파이낸스로의 발전을 위한 향후 추진방향을 마련해 나가고 있다. 정부는 참여 기업 및 유관 기관과 함께 모든 참여기관을 대상으로 사전·사후 보안점검을 체계화하고 테마 점검, IT리스크 합동훈련(참여·유관 기관, 보안전문가), 비정상계좌(사고신고계좌 등) 출금통제기준 마련 등 전반의 보안관리를 강화하고 있으며, 백업센터 운영 등을 통해 보안 사고에 대응한 데이터 복원력을 확보하고, 전산장애 대비 신속 대응체계 마련 및 이용자 편익 증진을 위한 시스템 개선 등을 추진 중에 있다.

어떻게 신뢰할 수 있는지 고민하고
지속적인 모니터링·업데이트 필요


그러나 정부가 주도하고 있는 상기와 같은 정책과 더불어 디지털전환 시대의 데이터 보안체계를 어떻게 할 것인지 또한 주요한 사안으로 꼽히고 있는 만큼, 이 과정에서 데이터가 흘러다니는 경로 또는 과정을 어떻게 신뢰할 것인지, 믿을 수 있는 데이터인지에 대한 고민 등 데이터 전략 분야에서 고민해야 할 부분들이 아직 남아 있는 상황이다.

기존보다 더욱 강화된 제로 트러스트 보안 모델을 적용하기 위해서는 네트워크 인프라와 시스템 전환은 물론, 정책과 규제 해결, 유지 관리를 위해 지속적인 모니터링과 업데이트가 필요할 것이라 보고 정부 주도를 통해 금융산업뿐만 아니라 데이터 보안이 주요한 모든 산업을 대상으로 제로 트러스트를 구축해 나아가야 할 것이다.

/최영식 쉬프트정보통신(주) 대표이사·(사)판교1조클럽협회장