위 그림은 지금까지 보안체계는 성을 중심으로 성안에 거주하는 사람들은 믿을 수 있는 사람이며 외부사람들은 신원을 확인해서 출입을 통제하는 시스템이었다. 

이런 보안시스템을 유지하다보니 많은 문제점이 발생되었다. 오히려 믿었던 내부 사람들에 의한 정보유출이 많아졌고, 기술 및 다양한 기기 발달로 예를 들면 비행기를 타고 공중으로, 땅굴을 파서 지하로 성안에 침투할 수 있는 등 보안문제가 커졌다. 

2014년부터 2015년까지 두 차례에 걸쳐, 미국 연방정부의 인사관리처(US Office of Personnel Management, OPM)에서 대량의 개인정보 유출사고가 발생하였다. 미국 역사상 최악의 해킹 사례 중 하나로 기록된 이 사고에서, 대략 2,150만명에 해당하는 직원 및 가족의 개인정보가 유출, 사이버보안에 대한 새로운 대책이 필요했다.

미 하원 감독개혁위원회(Committee on Oversight and Government Reform)는 2015년 4월부터 2016년 9월까지 약 1년 5개월간의 조사 후 채택한 보고서에서 해킹의 원인과 영향 등을 분석한 후 연방정부의 정보보안 및 IT 아키텍처를 제로트러스트 모델로 이행할 것을 촉구하였다. (미국의 철저한 사후조사 및 원인분석은 우리가 배울점이다. 기술문제는 필히 기술로 해결해야 한다. 구호나 정책으로 해결할 수 없다)

 제로트러스트 모델 적용을 위해 20년8월까지 연구한 결과 미 국가표준기술연구소(NIST : National Institute of Standards and Technology)에서 기업 및 연방기관이 적용할 보안아키텍처를 발표하였다. 

NIST가 연구하여 발표한 Zero Trust 개념은 보안을 지켜야할 사람이나 기기들에 대한 Trust(신뢰)가 Zero(영점)이므로 항상 신뢰를 점검해야 보안을 유지할 수 있다는 개념이다. (조직생활을 해온 경험자로서 사람의 마음은 언제든지 변할 수있으므로 안전을 위해 늘 확인하는 것은 올바른 결정이라 생각된다. 그래서 미군은 주요 비밀 취급자에게는 거짓말 탐지기 검사를 정기적으로 실시한다) 

2021년 5월 바이든 대통령은 ‘국가 사이버보안 개선’에 관한 행정 명령을 통하여, 연방 정부가 제로트러스트 사례를 채택해야 하며 각 정부 기관장들은 NIST 표준·지침을 따르는 제로트러스트 아키텍처 도입 계획을 60일 이내에 개발하도록 지시하였다.

제로트러스트의 개념을 간단히 설명하면 공항에서 비행기를 타려면 여권을 갖고 티켓을 구매한 자만이 출입 및 탑승할 수 있듯이 확실한 신원보증 된 사람만이 네트워크(네트워크에 접속못함 => 해킹할 수 없음)에 접속할 수 있도록 하는 개념이다.

즉, 여권갖은 사람만 공항에 출입할 수 있는 것과 같은 개념이다. (과거는 일단 네트워크에 접속한 후 신원확인=> 네트워크에 접속이 되면 해킹이 가능)

제로트러스트는 신원이 불확실할 사람은 네트워크에 접속할 수 없게 할 뿐 만 아니라 네트워크에 접속 했더라도 인가된 업무이외는 하지 못하도록 철저하게 추적관리하는 시스템이라고 할 수있다. 

사이버세계에서 신속한 실행은 승패를 좌우할 수 있다. 대통령 행정명령을 받은 미 국방부는 실행전략을 발표, 2024년 8월까지 제로트러스트 구축목표를 세웠다.  

대한민국은 어떻게 제로트러스트를 추진하고 있는가 ?

사이버전사 육성에 대한 글을 쓰면서 가장 크게 느낀점은 몰라서 못하는 것이 아니라 알고도 하지 못하는 것이 대한민국의 현실이 아닐까 ?

왜 대한민국은 이미 검증된 기술도입이 늦는가 ? 이 문제를 해결해야 사이버전사를 제대로 육성할 수 있다고 생각된다. 

미국은 바이든 대통령 행정명령  제로트러스트 구축 지시를 21년 5월에 실시하였고  국방부 및 각 연방정부 : 24년 말까지  완료목표로 추진중인데...

대한민국은 전쟁이 나면 사이버전을 누가 지휘할까 ?

사이버전 지휘를 받아서 임무를 수행할 사이버전사를 어떻게 운영하고, 이런 운영 을 맡고 있는 책임자는 누구인가 ? 

이런 질문에 대한 답이 명확하게 정리가 되어야 사이버 전사를 육성할 수있다.  정말 냉철하게 우리 현실을 분석해서 제대로된 대안을 준비해야할 시기라고 판단이 된다.