제로트러스트 시장 활짝…보안업계에 MSP까지 가세

지난 14일, 금융위원회(위원장 고승범)가 전격 발표한 ‘금융분야 클라우드 및 망분리 규제 개선방안’에 대해 금융 및 클라우드 서비스 사업자 등 대체적으로 환영하는 분위기다.

금융위는 이번 발표에서, ▲클라우드 이용이 가능한 ①업무 범위를 명확히 하고 ②중복되거나 유사한 이용절차를 정비하고 ③사전보고를 사후보고로 전환하는 개선을 마련했다. 

아울러 금융위는 ▲일률적∙획일적으로 적용돼 온 망분리 규제를 개발∙테스트 분야 등 부터 단계적으로 완화하는 방안을 발표했다.

우선, 금융 및 관련 업계에서는 오는 2023년부터 시행이 예상되지만, 올해도 일부 규제가 완화될 것으로 예측했다. 

금융위의 이번 규제완화로 금융권에서는 먼저, 개발환경(데브옵스 등), 비중요업무환경(인사, 그룹웨어), 데이터 앤 AI(Data & AI) 분석의 도입 추진이 빨라 질 것이라는 전망했다.

업계 한 관계자는 “클라우드와 망분리 규제 완화가 연계성을 갖고 있기 때문에, 금융회사들은 ▲망분리 요건 완화로 개발 & 분석 업무의 도입이 활성화 ▲망분리 SaaS 부분 규제 완화로 비중요업무 영역 중 SaaS 솔루션에 대한 적극적인 검토에 나설 것으로 예상된다”고 전했다.

클라우드 서비스 사업자(CSP), 클라우드 MSP(Managed Service Provider) 등 영향도 적지 않아보인다.

앞서 설명한 혜택 외에 CSP는 그동안 안전성 평가에 소진했던 시간과 비용을 대폭 절감할 수 있게 됐다는 점이다. 

이번 규제완화에서 금융위는 CSP 안전성 평가항목을 141개에서 54개로 축소했다.

특히, CSP가 가장 환영하는 규제완화는 대표평가제 도입.

기존에는 특정 금융회사(A)가 특정 클라우드(a)를 이용하기 위해 CSP 평가를 했더라도 다른 금융회사(B)가 동일한 클라우드(a)를 이용하기 위해서는 별도의 CSP평가를 수행하는 불편함이 있었다.

‘대표 평가제’ 도입으로, 금융보안원이 금융회사를 대표해 CSP(a)를 평가하고 금융회사(A, B)는 금융보안원의 평가결과를 활용할 수 있도록 개선됐다. 

안전성평가 항목 축소로 대표평가 수행이 원활하게 될 것으로 보여지고, 고객 도입 절차 간소화로 고객 지원 업무 단순화가 전망된다. 

망분리 규제 완화로 제로트러스트 시장도 본격 개화할 것으로 보인다.

최근, 보안분야 핵심 키워드로 떠오르고 있는 ‘제로 트러스트 네트워크 액세스(ZTNA)’ 관련 수혜가 예상된다.

‘제로 트러스트(Zero Trust)’란 내·외부의 어떤 접근에 대해서도, 적법한 인증절차 없이는 신뢰하지 않겠다는 의미.

앞서 2020년 8월 미국 국립표준연구소(NIST)는 ‘제로 트러스트 아키텍처’를 작성했고, 여기서 제로 트러스트 원칙 7가지를 제시한 바 있다.

이를 요약하면 ▲‘선(先) 인증 후(後) 접속’ 방식을 적용하고 ▲최소한의 권한만 부여하며 ▲동일 네트워크 내에 횡적 이동을 금지하고 ▲내·외부 동일한 보안 요구사항을 충족하며 ▲동적 위험관리 및 지속적 신뢰 재평가 등이다. 

미 CSA(Cloud Security Alliance)는 제로 트러스트 아키텍처 구현을 위한 최상의 기술이 ‘소프트웨어 정의 경계(SDP, Software Defined Perimeter)’라고 밝힌 바 있다. 

SDP는 미국 국방성 GIG프로젝트(Global Information Grid, 모델명: 블랙코어-Black Core)를 모델링해 미국 CSA(Cloud Security Alliance)에서 상용화를 추진한 보안 프레임워크다.

국내에서는 2019년부터 엠엘소프트(대표 이무성)가 ‘티 게이트 SDP’ 솔루션으로 시장을 공략중이다. 

규제완화 발표 이후 클라우드 MSP 베스핀글로벌(대표 이한주)도 제로트러스트 시장 진출을 선언하는 등 국내외 업체들의 관련 시장 공략이 보다 확산될 전망이다. 

<김동기 기자>kdk@bikorea.net