과거의 보안은 성벽을 쌓는 것과 같았습니다. 방화벽과 VPN이라는 튼튼한 성벽을 세우고, 그 안으로 들어온 사용자와 시스템은 비교적 신뢰하는 방식이었습니다. 하지만 클라우드와 원격 근무가 일상화되면서 기존의 경계는 점점 흐려지고 있습니다. 외부 공격뿐만 아니라 내부 계정 오남용, 권한 관리 실패, 공급망 취약점 등 다양한 보안 리스크도 함께 커지고 있습니다. 이러한 변화에 대응하기 위한 보안 접근 방식으로 '제로 트러스트(Zero Trust)'가 주목받고 있습니다.
최근 전자신문은 2025년 4월 SK텔레콤 유심 해킹 사고 이후를 되돌아보며, AX 시대 보안 패러다임 전환의 필요성을 짚었습니다. 기사에서는 제로 트러스트를 단순한 보안 기술이 아닌 기업 전반에 적용해야 할 보안 원칙으로 설명했습니다. 특히 클라우드 네이티브 환경에서 발생하는 공급망 공격 등 복합적인 위협에 대응하기 위해서는 보안 체계 전반의 변화가 필요하다고 강조했습니다.
이처럼 제로 트러스트는 이제 선택이 아닌 필수 과제가 되고 있습니다. 하지만 이 새로운 보안 원칙을 실제 비즈니스 환경에 적용하는 일은 결코 쉽지 않습니다. 어떤 영역부터 점검해야 하는지, 어떤 솔루션을 어떻게 조합해야 하는지 고민하는 기업도 많습니다. 이번 콘텐츠에서는 이러한 기업들을 위해 제로 트러스트 기반 보안 체계를 구축하는 데 도움이 되는 3가지 핵심 보안 솔루션을 제안합니다.
💡플래티어와 함께 구축하는 제로 트러스트 보안 생태계
플래티어는 공급망 보안부터 개발 프로세스, 안전한 내부 커뮤니케이션에 이르기까지 제로 트러스트 원칙을 적용할 수 있는 보안 포트폴리오를 갖추고 있습니다.
① 공급망의 첫 단계부터 검증 강화: Chainguard (안전한 공급망 솔루션)
제로 트러스트는 소스 코드와 라이브러리 단계에서부터 시작되어야 합니다. 오늘날 기업의 애플리케이션은 내부에서 직접 작성한 코드만으로 만들어지지 않습니다. 오픈소스 라이브러리, 컨테이너 이미지, 외부 패키지 등 다양한 구성 요소가 함께 사용됩니다. 문제는 이러한 외부 구성 요소가 항상 안전하다고 단정할 수 없다는 점입니다. 공격자는 개발자가 신뢰하고 사용하는 외부 이미지나 패키지를 오염시켜 내부 시스템에 침투할 수 있습니다. 이를 '소프트웨어 공급망 공격'이라고 합니다.
Chainguard는 이러한 공급망 보안 위협에 대응하기 위한 솔루션입니다. 검증된 컨테이너 이미지와 소프트웨어 구성 요소를 기반으로 개발자가 보다 안전한 환경에서 개발을 시작할 수 있도록 지원합니다. 사용자는 이미지와 구성 요소의 출처와 상태를 확인하고, 알려진 취약점에 대한 리스크를 줄일 수 있습니다. 이는 “외부 소스도 그대로 신뢰하지 않고 검증한다”는 제로 트러스트의 기본 원칙을 공급망의 첫 단계에 적용하는 방식입니다. Chainguard를 통해 기업은 개발 초기 단계부터 보안 리스크를 줄이고, 더 안전한 소프트웨어 공급망 기반을 마련할 수 있습니다.
② 개발 전 과정에 보안 내재화: GitLab (DevSevOps 플랫폼)
진정한 제로 트러스트는 보안팀만의 역할로 완성되지 않습니다. 개발자와 운영자, 보안 담당자가 함께 개발 전 과정에서 보안을 고려해야 합니다. GitLab은 소스 코드 관리부터 빌드, 테스트, 배포에 이르는 CI/CD 파이프라인 전반에 보안 검증 과정을 내재화할 수 있는 DevSecOps 플랫폼입니다. 코드가 작성되고 배포되기까지의 과정에서 보안 점검을 자동화하고, 조직의 기준에 맞는 개발 프로세스를 운영할 수 있도록 지원합니다.
예를 들어 코드가 커밋될 때마다 정적 분석과 동적 분석을 수행하고, 라이브러리 취약점이나 라이선스 규정 준수 여부를 확인할 수 있습니다. 또한 컨테이너 이미지 스캔, 의존성 점검 등 다양한 보안 검사를 파이프라인 안에서 자동화할 수 있습니다. 이를 통해 보안팀이 배포 직전에 수동으로 확인하는 방식에서 벗어나, 개발 과정 안에서 지속적으로 보안을 검증할 수 있습니다. 또한 사용자별 권한과 프로젝트 접근 권한을 세밀하게 관리해 '최소 권한 부여' 원칙을 실천할 수 있습니다.
GitLab은 제로 트러스트 관점에서 코드와 개발 프로세스를 지속적으로 검증하는 기반이 됩니다. 개발 속도를 유지하면서도 보안 검증을 자연스럽게 포함할 수 있다는 점에서, 현대적인 보안 체계 구축에 중요한 역할을 합니다.
③ 민감한 정보는 더 안전하게: Mattermost (폐쇄망 커뮤니케이션)
제로 트러스트에서 또 하나 중요한 영역은 커뮤니케이션입니다. 기업 내부에서는 개발 계획, 장애 대응, 고객 정보, 보안 이슈, 운영 정책 등 민감한 정보가 다양한 협업 채널을 통해 공유됩니다. 특히 금융, 국방, 공공, 핵심 R&D 조직처럼 보안 요구 수준이 높은 환경에서는 커뮤니케이션 솔루션을 선택할 때도 더 엄격한 기준이 필요합니다. 외부 인터넷과 분리된 폐쇄망 환경에서는 일반적인 SaaS 기반 협업 도구를 사용하기 어려운 경우도 많습니다.
Mattermost는 온프레미스 또는 격리된 프라이빗 클라우드 환경에 구축할 수 있는 기업용 협업 플랫폼입니다. 조직이 직접 통제할 수 있는 인프라 안에서 운영할 수 있으며, 사용자별·채널별 접근 권한을 세밀하게 관리할 수 있습니다. 이를 통해 기업은 내부 보안 정책에 맞는 커뮤니케이션 환경을 구성할 수 있습니다. 또한 GitLab과 같은 개발 도구와 연동해 폐쇄망 또는 통제된 환경에서도 개발·운영 조직의 협업 흐름을 이어갈 수 있습니다.
Mattermost는 제로 트러스트 관점에서 민감한 정보가 오가는 협업 공간을 조직의 통제 안에서 운영할 수 있도록 돕습니다. 누가 어떤 정보에 접근할 수 있는지, 어떤 환경에서 협업이 이루어지는지를 관리함으로써 보다 안전한 내부 커뮤니케이션 체계를 구축할 수 있습니다.
💡플래티어와 함께 한 걸음 더 앞서가는 제로 트러스트
제로 트러스트는 단일 솔루션 도입만으로 완성되는 목표가 아닙니다. 기업의 업무 환경과 보안 정책에 맞춰 지속적으로 점검하고 강화해야 하는 보안 운영 방식입니다. 플래티어는 Chainguard를 통해 공급망의 시작점을 검증하고, GitLab을 통해 개발과 배포 전 과정에 보안을 내재화하며, Mattermost를 통해 민감한 협업 환경을 안전하게 운영할 수 있도록 지원합니다.
각 솔루션은 서로 다른 영역을 담당하지만 공통적으로 '기본 신뢰'가 아닌 '지속적인 검증'을 중심에 둡니다. 공급망에서 시작해 개발 프로세스와 협업 환경까지 이어지는 보안 체계가 필요한 이유도 여기에 있습니다. 급변하는 보안 위협 환경 속에서 기업의 자산과 신뢰를 지키기 위해서는 기존의 경계 중심 보안만으로는 충분하지 않습니다. 이제는 모든 접점을 검증하고, 필요한 권한만 허용하며, 보안 원칙을 업무 흐름 전반에 녹여내는 접근이 필요합니다.
플래티어 IDT는 Chainguard, GitLab, Mattermost를 기반으로 기업 환경에 맞는 제로 트러스트 보안 전략 수립과 솔루션 도입을 지원합니다.
개발, 운영, 협업 환경 전반의 보안 체계를 점검하고자 한다면 플래티어 IDT와 함께 단계적인 전환 방안을 검토해 보시기 바랍니다.
