[디지털투데이 황치규 "규제 변화와 AI 기술 진화로 인해 보안 패러다임이 바뀌고 있으며, 제로 트러스트·제로 CVE(Common Vulnerabilities and Exposures: 보안 취약점 노출)  점점 중요해지고 있다. 제로 트러스트와 제로 CVE를 위해서는 제로 옵스(Zero Ops) 역량을 갖춰야 한다."

한국레드햇 성희경 이사가 AI 시대 보안 키워드로 제로 트러스트와 제로 CVE를 키워드로 제시했다.

성 이사는 28일 오후 한국레드햇이 잠실 롯데월드타워에서 개최한 레드햇 앤서블 오토메이트 2026 행사에서 달라진 보안 환경에서 제로 트러스트와 제로 CVE가 중요해지는 배경과 이를 지원하기 위한 레드햇 전략을 공유했다.

그에 따르면  3월 정부가 키보드 보안 같은 설치형 소프트웨어를 폐지하도록 금융사에 요청하면서 금융권 보안 패러다임이 크게 바뀌는 양상이다.

그는 "단순히 프로그램 몇 개가 사라지는 것이 아니라 보안 책임과 패러다임이 소비자 단말에서 금융사 서버로 옮겨졌다는 의미"라며 "과거에는 소비자 단말에 보안 모듈을 설치해 책임이 분산돼 있었지만 지금은 위험 기반 보안 체계로 규제 방향이 전환되고 있다. 앞으로는 금융사 서버에서 지속적으로 취약점을 검증하고 자동화 기반 지능형 서버 관리 체계로 운영하는 방식이 보안의 본질이 될 것이다"고 강조했다.

금융사 입장에선 서버를 어떻게 안전하게 운영하느냐가 핵심 과제가 될 것이란 얘기다.

그는 새로운 보안 체계에 두 축으로 제로 트러스트(Zero Trust)와 제로 CVE를 제시했다. 제로 트러스트 관련해 그는 "기존 보안 모델은 네트워크 경계선 안쪽을 신뢰 영역으로 간주했는데, 한번 권한을 획득한 침입자가 내부 서버와 데이터 사이를 자유롭게 이동하는 이른바 측면 이동 공격에 속수무책이었다. 제로 트러스트 핵심 철학은 '절대 신뢰하지 않고 항상 검증하는 것"이라고 설명했다.

그는 제로 트러스트 핵심 원칙으로 4 가지를 꼽았다.  ▲모든 접근을 거부하고 검증 ▲망을 포함해 네트워크 위치와 무관하게 보안 적용 ▲자원 접근은 마이크로 세그먼트(Micro Segment) 단위로 엄격하게 통제, ▲ 사용자 기반 실시간 보안 정책 적용이 그것이다.

제로 CVE에 대해서는 취약점 노출 시간을 최소화하는 보안 운영 전략이라고 강조했다.

성 이사는 5월초 공개된 리눅스 커널 취약점 사례를 들며 "과거에는 취약점이 공개된 후 실제 공격으로 이어지기까지 몇 개월이 걸렸지만 AI 기반 도구 확산으로 그 간격이 며칠, 몇 시간으로 줄어들고 있다"면서 "제로 트러스트로 접근을 통제하더라도 커널 단위 취약점이 존재하면 OS 레벨에서 권한이 탈취될 수 있기 때문에 지속적인 취약점 대응 체계가 별도로 필요하다"고 말했다.
 그에 따르면  기업들이 제로 트러스트와 제로 CVE가 보안 전략을 내재화하기 위해서는 '제로 옵스(Zero Ops)' 운영 전략이 가장 현실적인 접근이다.

성 이사는 "제로 트러스트와 제로 CVE 전략  모두 지속 운영이 가능해야 한다는 것을 강조하고 있다. 반복적인 수작업만으로는 이를 유지하기 점점 더 어려워지기 때문에 정책 기반 보안 자동화가 필요하다"면서 "제로 옵스는 사람을 배제하자는 개념이 아니다. 운영자 역할을 반복 수작업에서 정책 설계, 검증, 예외 판단 같은 고부가 업무 중심으로 전환하는 것이 핵심"이라고 설명했다.

성희경 이사는 제로옵스를 효과적으로 가동하는 사례로 글로벌 금융사인 JP모건을 예로 들었다.

그에 따르면 JP모건은 2014년 대규모 보안사고 이후 제로 트러스트 기반 아키텍처 전환을 선언했다. 다중 인증 강화, 접근 권한 세분화, AI 기반 실시간 탐지, 보안 운영자동화를 확대했고 레드햇 APP를 활용해 38만개 이상 운영 자동화를 표준화하고 감사·컴플라이언스(Compliance) 대응 체계도 강화했다. 성희경 이사는 "실제 운영 환경에서 지속성을 유지하기 위해 정책과 대응을 자동화할 수 있는 엔터프라이즈 자동화 플랫폼이 필요하다는 것을 보여주는 사례"라고 말했다.

레드햇이 제시하는 AAP 기반 제로옵스 운영 모델은 관찰, AI 기반 판단, 통제된 실행 세 단계로 구성된다. 관찰 단계에서는 고객 인프라와 보안 시스템 전반 로그, 이벤트, 알림을 실시간으로 수집한다. 판단 단계에서는 AI가 위험도와 조치 우선순위를 분석하고 작업 계획서와 앤서블(Ansible) 플레이북을 자동 생성한다. 

성희경 이사는 "금융권은 보안 정책상 망 분리를 하기 때문에 퍼블릭 AI 서비스 사용이 어렵다"면서 "최근 내부 대형언어모델(LLM)이나 폐쇄형 AI 플랫폼을 구축해 운영 환경에서 함께 사용하려는 검토가 확대되고 있다"고 전했다.

 실행 단계에서는 AAP 기반 역할 기반 접근 제어(RBAC), 계정 인증 정보 통제, 승인 절차, 실행 이력 감사 추적을 포함해 통제된 방식으로 조치를 수행한다.

성희경 이사는 제로 옵스 도입을 단계적으로 접근할 것을 권고했다. 초기에는 CVE 점검과 결과 보고, 이벤트 기반 알림 연계 같은 반복 업무 자동화로 규제 대응을 표준화하고 하고 이후 AAP 운영 범위를 확대해 AI 기반 운영 자동화를 강화하고, 장기적으로는 지속적인 위협 탐지·검증이 반복되는 제로 옵스 운영 체계로 확장하는 코스가 현실적이라는 설명이다. 그는 "얼마나 많이 자동화했느냐가 아니라 얼마나 신뢰할 수 있고 통제 가능한 운영 체계를 만들 수 있느냐가 핵심"이라면서 "제로 옵스는 한번 달성하고 끝나는 목적지가 아니라 지속적인 운영 방식 변화"라고 강조했다.

• "조직 간 파편화 없애야 엔터프라이즈급 IT자동화 구현 가능"
• 비싼 AI 서버 없이 인프라 성능 검증…KAIST, '가상 시험장' 개발
• SKT, 7월부터 '통합요금제' 낸다...'전 국민 안심 데이터' 도입
• 사토시홀딩스 주주 KB증권, 사토시홀딩스 주식등의 수 81만1633주 감소…총 지분율 3.75%
• 사실상 지배주주 KB증권, KB제33호스팩 주식 보유 변동