한컴위드, 제로트러스트 지속 인증 솔루션 '한컴 엑스씨오스' 출시

[경제일보] 한컴위드가 제로트러스트 보안 환경에 대응하는 지속 인증 솔루션 ‘한컴 엑스씨오스(Hancom xCAuth)’를 출시했다. 로그인 시점에 한 번만 사용자를 확인하는 기존 인증 방식에서 벗어나, 접속 이후 세션 전 과정에서 사용자 행위와 장치, 환경 정보를 실시간으로 분석해 신뢰도를 검증하는 것이 핵심이다.

한컴위드는 26일 사용자, 장치, 환경, 세션 정보를 AI 기반으로 분석해 위험도를 판단하는 지속 인증 솔루션 한컴 엑스씨오스를 선보였다고 밝혔다. 이 솔루션은 실내외 위치와 주변 환경 같은 물리적 맥락, 기기·네트워크·블루투스 등 디바이스 정보, 키스트로크 패턴·터치 제스처·안면 등 행위 및 생체 정보를 종합해 신뢰 지표를 정량화한다.

출시 배경에는 공공·금융 보안 체계 전환이 있다. 정부는 지난해 10월 범부처 정보보호 종합대책을 발표하며 IT 시스템 전수점검, 정부 조사 권한 강화, 정보보호 등급제, 최고경영자 책임 강화 등을 제시했다. 국가안보실을 중심으로 관계부처가 공동 수립한 대책으로, 보안을 비용이 아닌 투자로 전환하겠다는 방향도 담겼다.

공공부문에서는 기존 물리적 망분리 일변도에서 벗어나 데이터 중요도에 따라 보안 수준을 차등 적용하는 국가 망 보안체계(N2SF) 도입이 추진되고 있다. N2SF는 정보시스템을 기밀(Classified), 민감(Sensitive), 공개(Open) 등급으로 나눠 보안 통제를 달리 적용하는 방식이다. 정식 가이드라인에서는 보안 통제 항목이 확대되고 생성형 AI, 외부 클라우드, 무선랜 등 활용 모델도 제시된 것으로 알려졌다.

 
한컴 엑스씨오스는 이 같은 제로트러스트와 N2SF 흐름에 맞춰 설계됐다. 제로트러스트는 ‘신뢰하지 말고 항상 검증하라’는 원칙에 기반해 사용자와 단말, 네트워크, 애플리케이션 접근을 지속적으로 확인하는 보안 모델이다. 특히 공공·금융 분야는 설치형 보안 소프트웨어 의존도를 낮추면서도 인증과 접근통제 수준을 높여야 하는 과제를 안고 있다.

한컴 엑스씨오스의 차별점은 ‘지속적 신뢰 검증’이다. 사용자가 로그인한 뒤에도 AI가 환경 변화와 이상 패턴을 계속 평가한다. 위험 징후가 감지되면 동적 보안 정책에 따라 추가 인증을 요구하는 적응형 다중인증(MFA)을 적용한다. 반대로 위험도가 낮은 정상 사용 환경에서는 불필요한 반복 인증을 줄여 이용자 불편을 낮춘다.

민감한 생체 정보와 행위 데이터 보호를 위해 온디바이스 AI도 적용했다. 데이터 수집과 학습, 평가 과정을 사용자 단말에서 처리해 외부 전송에 따른 유출 위험을 줄이고 운영 비용 부담도 낮췄다는 설명이다.

한컴위드는 2026년 제로트러스트 도입 시범사업에도 참여한다. 회사는 ‘고위험 글로벌 업무 환경의 보안성 확보를 위한 SASE 기반 제로트러스트 모델’의 한 축으로 지속 인증 기술을 지원하고, 수요기업인 하나투어의 실제 업무 환경에 적용할 계획이다.

보안 포트폴리오도 AI 인증을 넘어 양자보안으로 확장하고 있다. 한컴위드는 미국 국립표준기술연구소(NIST) 표준 양자내성암호(PQC) 알고리즘을 포함한 암호모듈 검증을 통과했으며, 데이터 암호 제품군에 PQC를 적용했다고 밝혔다. 회사는 연내 저사양 임베디드용 경량 암호모듈과 무설치 방식의 웹 구간 암호 솔루션으로 적용 영역을 넓힐 계획이다.

양자내성암호는 양자컴퓨터가 기존 암호체계를 무력화할 가능성에 대비하는 기술이다. 한컴위드는 지난해부터 PQC 기반 암호모듈과 관련 제품군을 고도화해왔고, 국방 분야에서도 임베디드용 경량화 양자내성암호 모듈 개발 과제를 수행하고 있다.

이번 제품 출시는 한컴위드가 AI 인증과 양자보안을 차세대 보안 인프라의 두 축으로 삼겠다는 전략의 연장선에 있다. 공공기관과 금융권, 여행·제조·국방 등 외부 접속과 원격 업무가 많은 산업에서는 사용자가 ‘한 번 인증된 사람’인지보다 ‘지금도 정상적인 사용자’인지 확인하는 체계가 중요해지고 있다.

송상엽 한컴위드 대표는 “많은 고객이 제로트러스트의 필요성에는 공감하면서도 실제 구현 방식에서 어려움을 겪고 있다”며 “한컴 엑스씨오스는 사용자, 장치, 환경, 세션을 하나의 인증 흐름으로 연결하고 지속적인 위험도 평가를 실제 인증 집행으로 이어주는 제로트러스트 인증 체계가 될 것”이라고 말했다.

이어 “AI에 이어 양자가 새로운 보안 이슈로 부상하고 있는 만큼 AI 인증과 양자보안을 양대 축으로 기술과 서비스를 고도화해 국내를 넘어 글로벌 시장에서도 경쟁력 있는 보안 기업으로 자리매김하겠다”고 밝혔다.