‘디지털 신뢰’란 점차 빠르게 디지털화되고 있는 각종 비즈니스와 사회를 이루는 가장 기본적인 요소다. 웹사이트의 SSL 암호화, 로그인 관리, 디바이스와 서비스, 애플리케이션에 이르는 다양한 요소의 인증을 통해 불법적인 접근을 차단하고, 인증된 접속에 꼭 필요한 권한만 부여한다는 것은 클라우드 등으로 인한 공격 표면이 확장되고, IoT로 인해 접속하는 디바이스가 급격하게 증가하는 현재의 디지털 환경을 안전하게 만들기 위한 기반이 되기 때문이다.

특히 이런 디지털 신뢰는 최근 많은 보안 업체들이 주창하고 있는 ‘제로 트러스트’의 기반이 되고 있다. 모든 것을 의심하고, 확실하게 인증된 요소에게만 접속을 허용하기 위해서는 바로 인증 프로세스, 그리고 인증 관리가 핵심이다.

특히 최근 웹사이트에서부터 소프트웨어, 신원확인, 콘텐츠와 디바이스 보호 등 조직에 필요한 다양한 디지털 신뢰를 강화하기 위한 플랫폼인 ‘디지서트 원(Digicert ONE)’을 선보이고 드디어 국내 영업에 나서고 있는 디지서트코리아 나정주 지사장을 만나 국내외 디지털 신뢰 관련 주요 트렌드와 디지서트의 전략에 대해 들어봤다.

디지서트가 말하는 디지털 신뢰란 무엇이고, 지금 이 시점에 디지털 신뢰가 중요한 이유는 무엇인가?

‘초연결’ 사회가 시작되면서 디지털 신뢰는 그 연결을 안전하게 받쳐주는 중추적인 역할을 하게 됐다. 특히 업계 표준이나 규정 준수 요구의 확대와 보안 위협의 진화에 따라 디지털 신뢰가 주목받고 있으며, IoT, 클라우드, 등의 기술 발전이 빠르게 이뤄지면서 디지털 신뢰 관리의 필요성이 높아지고 있다.

디지털 신뢰는 단순히 보안 기술만으로 이룰 수 있는 영역이 아니고, 컴플라이언스와 거버넌스가 필요한 영역이다. 디지털 신뢰란 연결된 세상을 보호하기 위한 토대이며 고객, 직원 그리고 파트너에게 온라인 비즈니스 절차와 소통이 안전하다는 확신을 주기를 원하는 조직에 필수적인 요소다.

디지털 신뢰는 고객 유치를 가속하고 직원 생산성을 개선하며 디지털 혁신을 촉진하는 동시에 비즈니스에 중요한 애플리케이션의 장애, 침해 공격 범위와 신뢰 상실로 인한 고객 이탈의 위험을 감소시킨다.

디지털 신뢰는 ▲표준 ▲규정 준수와 운영 ▲엔터프라이즈 신뢰 관리 ▲생태계 신뢰 확장이라는 4가지 요소로 구성된다.

표준은 특정한 기술이나 산업에서 신뢰를 얻기 위해 필요한 요구 사항을 정의하는 기준을 말하며, 규정 준수와 운영은 신뢰를 구축(신원 확인, 무결성 및 암호화를 통해)하는 디지털 인증서를 생성하거나 검증하며 이같은 인증서가 표준 기관에서 정한 요구 사항을 충족함을 보장하는 규제 준수와 운영을 의미한다.

또한 엔터프라이즈 신뢰 관리는 기업이 인증서 수명 주기를 성공적으로 관리하고 인증서의 사용을 중앙 집중식으로 확인, 제어할 수 있는 신뢰 관리를 말하며, 마지막으로 생태계 확장은 소프트웨어, 기기나 콘텐츠의 경우처럼 더욱 복합적인 공급망 전체로 신뢰를 확장하는 연결된 신뢰를 뜻한다.

최근 기업의 IT 환경은 클라우드는 물론이고 각종 그레이 IT로 인해 가시성 확보, 관리가 점점 힘들어지고 있다. 이런 상황에서 대한 디지서트의 해법은 무엇인가?

기술의 발전은 IT 전문가들이 기업 경계에서 보안에 대해 생각하는 방식을 변화시켰다. 생산 공정의 각종 기계나 유틸리티, 산업 인프라와 같이 과거에는 IT와 격리돼 독자적으로 운영되던 OT 영역이 IT와 통합되기 시작하면서 IT 분야에서와 동일한 사이버 공격이 시도되고 있다. 또한 애플리케이션과 서비스가 클라우드로 이동하면서 사용자 액세스 모델이 바뀌고, 온디맨드 오케스트레이션, 서버리스 컴퓨팅, 분산 데이터 아키텍처로 전환되고 있다. 이처럼 경계를 무너뜨리면서 증가하고 있는 접점으로 인해 기존의 기업 경계에 대한 개념이 흔들리고 있으며, 기업은 사용자, 애플리케이션, 기업 보안에 대한 기본 가정을 재구성하고 있다.

기업들은 물리적 또는 가상 경계에 의존해 신뢰할 수 있는 대상과 그렇지 않은 대상을 정의할 수 없기 때문에 제로 트러스트 보안 정책을 채택하고 있다. 제로 트러스트 보안 접근 방식은 네트워크, 애플리케이션, 서비스에 대한 모든 액세스를 인증해야 하며, 이 때문에 신원이나 접속 관리자에 대한 요구가 크게 증가하고 있다.

경계가 없는 환경에서는 보안을 유지해야 하는 대상의 수와 유형도 증가한다. 이 때문에 PKI 관리자의 역할은 기존의 TLS 웹 보안을 넘어 조직 전반에서 새롭게 확장되는 사용 사례를 관리해야 한다. 네트워크나 운영 기술 보안 관리자는 디바이스 ID를 프로비저닝하는 방법뿐 아니라 디바이스의 변조 방지 기능 강화, 디바이스 간 통신 보안, 디바이스의 네트워크 연결 방식 관리, 레거시와 신규 디바이스의 통합이나 상호 인증, 위협 모니터링 등 운영 중인 디바이스를 보호하는 방법도 고려해야 한다.

디지서트 원과 트러스트 라이프사이클 매니저는 각각 어떤 역할을 하고 둘 사이에는 어떤 관계가 있는가?

디지서트 원은 디지털 신뢰 강화를 위한 플랫폼으로, 웹사이트, 기업 접근이나 커뮤니케이션, 소프트웨어, 신원확인, 콘텐츠와 디바이스에 대한 보호를 수행하며 조직에게 광범위한 공공, 민간의 신뢰 수요에 대한 중앙화된 가시성과 제어 기능을 제공한다.

디지서트 트러스트 라이프사이클 매니저(DigiCert Trust Lifecycle Manager)는 디지서트 공개 신뢰(public trust) 발급 기능에 CA(인증기관)에 제약 없는 인증서 관리와 PKI 서비스를 하나로 통합한 솔루션이다. 이를 통해 기업의 인증서 환경에 대한 중앙화된 가시성과 제어 기능을 제공하고, 기업의 디지털 신뢰 인프라를 빈틈없이 관리할 수 있도록 지원한다.

디지서트 트러스트 라이프사이클 매니저는 인증서 수명주기 관리와 디지서트 공개 신뢰 발급 기능을 통합해 제공하는 것이 특징으로, 기업의 보안 정책에 따른 PKI 사용 사례 관리를 지원한다.

또한 기업의 인증서 환경에 대한 중앙화된 가시성과 제어 기능을 제공해 비즈니스 중단 리스크를 감소시킬뿐 아니라, 기업 전반에서 걸쳐 신원 확인과 액세스 보호 기능을 제공한다. 특히 간편하게 기존의 비즈니스 시스템과 프로세스와 통합할 수 있다는 것이 장점이다.

최근에는 IT/OT 통합에 대한 관심이 높아지고 있다. 디지서트는 이런 부분에 대해 어떻게 대응해 나가고 있는가?

오늘날 보안 관리자는 IT/OT 통합과 관련해 PKI와 인증서 구축 비용 등 다양한 문제에 직면하고 있다.

디지서트 역시 여러 산업에서 커넥티드 기기와 같은 시장 표준을 마련하기 위해 협업을 하고 있다. 한 예로, 스마트 홈 기기에 대한 연동 표준인 매터(Matter)를 들 수 있다. 글로벌 표준 연합인 CSA(Connectivity Standards Alliance)에서 추진하고 있는 매터 표준은 안전하고 원활한 디지털 연결을 가능하게 하는 글로벌 표준이다. 제조업체는 매터 표준을 준수하는 루트를 통해 인증서를 발급해 스마트홈 기기에 디지털 신뢰를 구축할 수 있다. 디지서트는 PAA(Product Attestation Authority)으로도 알려진 매터 인증기관으로 승인받은 최초의 루트 인증기관(Certificate Authority)으로서, 스마트홈 제조사들이 매터 인증이 필요한 제품의 신속한 시장 출시를 할 수 있도록 지원하고 있다.

IoT나 IIoT 비즈니스 생태계에서 디바이스를 보호하려면 지속 가능한 제로 트러스트 아키텍처를 설계하고 구현하기 위해 이기종 레거시와 신규 디바이스 전반에서 표준 기반 상호운용성이 필요하다. 이 때문에 디지서트는 보호된 키, 인증서, 신뢰할 수 있는 엔드투엔드 워크플로의 안전한 사용을 통해 기업들이 제로 트러스트 모델을 설계, 구현하고 디바이스를 안전하게 인증, 연결, 작동할 수 있는 기능을 제공한다.

인증, 그리고 암호화 관련 기업들에게 양자 컴퓨팅은 위기이면서 동시에 기회라는 얘기가 많다. 디지서트는 양자암호, 혹은 양자내성암호 관련 어떤 비전을 갖고 있는가?

양자 컴퓨팅은 암호 관련 기업에게 위기인 것은 사실이지만, 기존의 암호를 대체하려는 수요 또한 크게 증가할 것이기에 엄청난 기회가 될 수 있다.

디지서트의 ‘2019 양자내성암호 조사 보고서(Post-Quantum Crypto Survey)’에 따르면, IT 의사결정권자의 71%가 양자 컴퓨팅이 2025년까지 기존의 암호화 알고리즘을 깰 수 있다고 답했다. 이는 보안 조직에서 양자 컴퓨팅 이후의 세상을 위한 보안을 다시 생각해야 한다는 의미다. 양자내성암호(PQC)는 암호를 강화시켜 보안 침해의 가능성을 낮춰줄 수 있다. 하지만 많은 기업들이 자사가 배포한 암호에 대한 명확한 이해가 부족하기 때문에 새로운 취약점이 알려지면 여기에 노출된 모든 서버와 디바이스를 찾고 신속하게 업데이트하기 위한 사전 조치를 취하고자 할 것이다.

디지서트는 이미 수년 전부터 양자 컴퓨팅에 대응하기 위한 양자내성암호 (PQC; post-quantum cryptography) 기술을 4년 전부터 준비해 왔으며, 이제 상품화 단계에 거의 올라서 있다. 이미 기업에서 자체 시스템 내 테스트를 위한 하이브리드 인증서를 생성할 수 있게 해주는 PQC 툴킷을 발표한 바 있다.

향후 국내 시장 공략의 주요 타깃과 이를 위한 전략에 대한 소개 부탁한다.

디지서트코리아는 올해 SSL 인증서 비즈니스뿐만 아니라 PKI 영역으로 비즈니스를 넓혀나갈 계획이다. 이를 위해 최근 디지서트 원을 위한 신규 파트너로 한국전자인증과 SK네트웍스서비스를 영입했으며, 조만간 다른 업체와도 디지서트 원 관련 파트너 계약 발표를 준비하고 있다.

또한, 파트너 역량 강화를 위해 파트너에게 포괄적인 디지털 신뢰 솔루션 포트폴리오를 제공하는 신규 통합 파트너 프로그램, 파트너 포털과 디지서트 유니버시티(DigiCert University)를 통한 집중 교육과 지원을 제공하고 있다. 이를 바탕으로 향상된 고객 경험을 제공하기 위해 국내 고객에게 한국어 서비스와 맞춤형 솔루션, 서비스를 지원할 계획이다.

이밖에도 본사 차원에서 오라클(Oracle)과 OCI(Oracle Cloud Infrastructure) 환경에서 ‘디지서트 원’을 제공하기 위한 파트너십을 체결해 고객이 통합된 단일 아키텍처에서 사용자, 디바이스, 서버, 문서, 소프트웨어 등을 중앙에서 관리하고 보호할 수 있도록 지원하고 있다.