제로트러스트, 선택 아닌 필수…펜타시큐리티의 통합 보안 전략

[아이뉴스24 정진성 기자] 모바일 기기와 IoT의 급속한 확산, 클라우드 기반의 재택·원격 근무 활성화로 인해 기업 보안 환경은 빠르게 변화하고 있다. 더 이상 내부와 외부를 단순히 구분하는 전통적 경계 기반 보안 모델로는 사이버 위협에 효과적으로 대응하기 어려운 시대다. 네트워크 경계가 허물어지면서, 신뢰 기반에서 벗어나 '검증 중심'의 새로운 보안 패러다임이 절실해지고 있다.

이러한 변화에 발맞춰, 한국인터넷진흥원(KISA)은 2024년 12월 '제로트러스트 가이드라인 2.0'을 발표했다. 이 가이드라인은 단순한 개념 소개를 넘어 기업들이 실제 도입하고 적용할 수 있는 단계별 성숙도 모델과 평가 기준을 제시한다. 기존 단계부터 초기, 향상, 최적화 단계까지 총 4단계로 보안 수준을 평가하여, 각 기업이 자사 환경에 맞는 맞춤형 보안 전략을 수립할 수 있도록 돕는다.

그러나 많은 기업들이 제로트러스트를 '4단계를 달성해야 완성되는 보안 모델'로 오해하는 경우가 있다. 제로트러스트는 특정 솔루션의 도입만으로 완성되는 것이 아니라, 조직의 구조, 산업군, 자산 분포에 따라 유연하게 설계되어야 하는 '전략적 보안 아키텍처'다.

최근 글로벌 시장에서도 제로트러스트의 중요성이 부각되고 있다. 시장 조사 기관 마켓앤마켓 보고서에 따르면, 전 세계 제로트러스트 보안 시장은 2023년 약 311억 달러에서 2028년까지 약 677억 달러로 성장할 것으로 전망되며, 연평균 16.8%의 높은 성장률을 기록할 것으로 예상된다.

또한 IBM의 2023 데이터 유출 보고서는 한 건의 데이터 유출 사고당 평균 피해 비용이 약 435만 달러에 이르며, 원격 근무 환경에서는 그 비용이 평균 100만 달러 이상 증가하는 것으로 나타나, 기존 보안 모델의 한계를 여실히 보여준다.

이와 같은 시장 및 위협 환경의 변화 속에서 펜타시큐리티는 선제적으로 '제로 트러스트 레디'라는 통합 보안 전략을 제시하며, 기업들이 단계별로 제로트러스트 아키텍처를 구축할 수 있도록 지원하고 있다. 펜타시큐리티의 접근법은 단일 벤더 체계 내에서 모든 주요 보안 요소를 아우르기 때문에, 솔루션 간 연동 최적화와 보안 정책의 일관성 유지, 그리고 패치 및 유지보수의 통합 관리로 운영 효율성을 극대화할 수 있다는 강점이 있다.

제로트러스트 관점에서 보호해야 할 기업망의 핵심 요소는 총 6가지로 구성된다. 첫째, 식별자(신원)는 사용자와 기기의 신원을 정확히 파악해 세분화된 접근 제어를 가능하게 하며, 단순 인증이 아닌 지속적인 검증을 기반으로 한다. 둘째, 기기 및 엔드포인트는 접속 기기의 보안 상태를 실시간 점검하여 신뢰할 수 있는 단말기만 허용함으로써, 초기 접근 단계부터 위협을 차단한다. 셋째, 네트워크는 유무선 및 클라우드 전반을 세분화해 불필요한 접근을 제한하고, 이상 행위를 빠르게 식별할 수 있도록 설계돼야 한다.

넷째, 시스템은 클라우드 인프라와 서버 등 핵심 IT 자원에 대해 다중 인증과 위험 기반 접근 제어를 적용하여 고도화된 방어 체계를 마련해야 한다. 다섯째, 애플리케이션은 업무용 소프트웨어에 대한 보안 강화와 안전한 데이터 통신을 통해 내부·외부 위협을 모두 방지한다. 마지막으로 데이터는 기업의 가장 중요한 자산으로, 암호화와 세밀한 접근 정책을 통해 유출이나 위·변조로부터 철저히 보호돼야 한다. 이 여섯 가지 요소는 상호 연동되어 작동함으로써, 제로트러스트 아키텍처의 실질적 효과를 극대화한다.

펜타시큐리티는 각 요소 뿐 아니라 기업의 핵심 요소들을 단일 체계로 통합 관리할 수 있는 솔루션을 갖춘  기업 중 하나다

펜타시큐리티의 '제로트러스트 레디' 전략은 단일 벤더 체계 안에서 제로트러스트 아키텍처 전 영역을 아우르는 보안 솔루션을 통합 제공한다는 점에서 큰 강점을 갖는다. 특히 각 보안 요소별로 제공되는 핵심 솔루션들은 독립적인 기술력은 물론, 상호 연동을 통한 시너지까지 고려되어 설계돼 있다.

먼저, iSIGN은 사용자 인증을 담당하는 통합 플랫폼으로, SSO(싱글 사인온)를 기반으로 사용자 식별의 가시성을 높이고, 강력한 MFA(다단계 인증)를 통해 '누가 시스템에 접근하는가'를 실시간으로 검증한다. 단순 로그인 절차를 넘어서, 계정 탈취나 내부자 위협까지 대응 가능한 고도화된 접근 제어 체계를 구축할 수 있다.

WAPPLES와 Cloudbric은 네트워크 및 애플리케이션 계층에서의 접근과 흐름을 보호하는 핵심 역할을 한다. WAPPLES는 AI 기반의 지능형 WAAP(Web Application & API Protection) 솔루션으로, 웹 애플리케이션과 API 상의 비인가 접근 및 악성 트래픽을 정밀하게 탐지·차단한다. Cloudbric은 클라우드 기반 보안 SaaS 플랫폼으로, 네트워크와 시스템 단위에서의 접근 경로를 세분화하고 제어함으로써 클라우드 환경에서도 안전한 트래픽 관리가 가능하다.

마지막으로 D.AMO는 기업의 가장 핵심 자산인 데이터를 보호하는 전용 암호 플랫폼이다. 접근 권한과 정책을 기반으로 실시간 검증을 수행하며, 민감 데이터에 대해 강력한 암호화를 적용해 내부 유출이나 외부 침해로부터 데이터를 안전하게 지켜낸다.

이들 솔루션은 각각의 역할을 충실히 수행하는 동시에, 펜타시큐리티의 통합 보안 구조 안에서 유기적으로 연결되어 있다. 이를 통해 고객사는 별도의 연동 개발이나 운영 복잡성 없이도 제로트러스트 아키텍처의 전 과정을 안정적으로 구축하고 유지할 수 있으며, 통합 업데이트와 정책 일관성 유지, 보안 공백 최소화 등의 효과를 함께 얻을 수 있다.

대다수 기업들은 여러 벤더사의 보안 솔루션을 조합하여 제로트러스트 체계를 구성하지만, 이 경우 관리 복잡성, 연동 오류, 업데이트 불일치 등 운영 리스크가 증가하는 단점이 있다. 반면, 펜타시큐리티의 Zero Trust Ready 전략은 단일 벤더 내에서 모든 보안 요소를 통합 관리할 수 있도록 지원함으로써, 보안 정책의 일관성 유지와 운영 효율성, 비용 절감 효과를 동시에 달성하고 있다.

또한, KISA의 2023년 보안 실태조사에 따르면, 국내 기업의 약 71%가 클라우드 기반 업무 환경을 운영하고 있으나, 60% 이상이 아직 제로트러스트 체계 도입 경험이 없는 것으로 나타났다. 이러한 결과는 변화하는 보안 위협에 대응하기 위해 많은 기업들이 제로트러스트 전환에 적극 나서야 함을 시사한다.

펜타시큐리티는 앞으로도 KISA 제로트러스트 가이드라인 2.0을 기반으로, 각 기업의 보안 성숙도에 맞춘 단계별 솔루션을 유연하게 제공하며, 기업의 자산과 비즈니스 연속성을 보호하는 통합 보안 전략을 지속적으로 고도화해 나갈 계획이다.