한국CISO협의회 주최로 더프라자호텔에서 개최...공공기관 및 기업 CISO들 대거 참석
신종회 엔씨소프트 CISO ‘제로 트러스트 아키텍처 구현 사례로 보는 성공적인 ZT 구현방안’ 발표
진강훈 시스코코리아 시스템엔지니어링 총괄부사장 “보안 탄력성 갖추려면 보안 전략의 전환 필요해”

[보안뉴스 김영명 기자] ‘아무 것도 신뢰하지 않는다’는 의미를 내포한 제로 트러스트(Zero Trust)는 보안 분야에서 가장 핵심적인 키워드로 주목받고 있다. 최근 정부에서도 ‘제로 트러스트’를 국가 정보보호 패러다임으로 전환하기 위한 논의의 장이 마련되기도 했다. 이러한 가운데 15일 서울 플라자호텔에서 열린 제122차 CISO포럼에는 CISO 60여명이 참석해 제로 트러스트와 보안 탄력성 등 최신 보안 이슈에 대해 공유하고 소통하는 뜻깊은 자리가 마련됐다.


개회사에서 한국CISO협의회 이기주 회장은 “지난 달 ISEC 2022와 함께 개최된 CISO 워크숍 때 진행된 라운드테이블 세션에서 많은 참석자들이 다양한 업종에서의 보안이슈에 대해 진지하게 토론하고 발표하는 걸 보면서 보안인력들의 폭과 깊이가 크게 확장됐다는 생각이 들었다”고 말했다. 이어 “12월에는 그간 진행해왔던 CISO 대상을 확대해 1년 간 CISO들의 노고를 격려하는 CISO 어워드 행사를 개최할 예정”이라고 덧붙였다.

신종회 엔씨소프트 정보보안센터장, “성공적인 제로 트러스트는 성숙도를 높여가는 것”
첫 번째 주제발표는 신종회 엔씨소프트 정보보안센터장(CISO)이 ‘제로 트러스트 아키텍처 구현 사례를 통해 살펴보는 성공적인 제로 트러스트 구현 방안’에 대해 발표했다.

신종회 정보보안센터장은 “성공적인 제로 트러스트 구현은 완성체가 아니며, 제로 트러스트 성숙도에 대해 그림을 그려나가는 과정”이라며 “제로 트러스트는 조직의 특성이나 보안 체계 등을 조금 더 선진화해 나가는 모델로 받아들이는 것으로 이 자체가 목표가 되는 것은 아니”라고 말했다.

신종회 센터장은 “제로 트러스트의 중요성은 현재 우리 회사가 보안의 어느 단계에 와 있고, 어떻게 어디까지 나아갈지 계획을 세우는 것이 중요하다”며 “엔씨소프트는 2019년부터 지난해까지 3년간 제로 트러스트를 구현해온 과정을 ‘스테이지 1’이라고 명명했다”고 말했다.

엔씨소프트에서 제로 트러스트 보안을 위한 첫 번째 모티베이션은 ‘생산성·편의성 향상을 위한 망 통합, 보안성을 유지하라!’였다. 엔씨소프트는 과거에 망 분리를 잘 구현해 놓았는데, 이 같은 조치는 여러 대의 컴퓨터를 사용하는 것에 따른 망간 데이터 이동, 인터넷망을 별도로 사용하는 것에 대한 인터넷 접근의 어려움 등이 있었다고 말했다. 또한, 여러 대의 PC를 갖추는 데 따른 비용 소모와 직원들의 불편도 상당했다고 말했다.

두 번째 모티베이션은 ‘팬데믹, 신뢰된 업무환경 제공으로 생산성을 높여라!’라고 말했다. 해커는 관리자 계정을 먼저 탈취하고, 일단 내부망에 들어온 이후에는 다양한 악성행위를 수행할 수 있고 말했다. 신종회 센터장은 “특히, 코로나19 팬데믹으로 재택근무로의 근무환경이 변화됐다”며 “사용자 및 기업자산은 내트워크 경계 안에 존재해 왔지만, 클라우드와 모바일 등 재택근무를 위한 새로운 보안 모델이 필요했다”고 제로 트러스트의 도입배경을 설명했다.

코로나19 팬데믹과 제로 트러스트를 빗대어 설명한 것도 눈길을 끌었다. 코로나19 팬데믹 이전에는 여권과 비자만 있으면 어느 나라나 갈 수 있었지만, 팬데믹 이후로 입국 방역 체계가 바뀌며 여권과 비자 외에도 건강이상 여부, 일정 기간 격리 여부 등을 체크하는 새로운 체계가 만들어졌다는 것. 제로 트러스트도 내부망을 들어왔다고 무사 통과가 아니라 OTP나 생체인증 등 2차 인증을 통해 검증을 강화하고, 보안 프로그램 설치 여부 등 다양한 조건을 체크하고 내부망에서도 끊임없는 모니터링을 통해 이상 여부를 지속적으로 체크해야 한다는 것이다. 또한, 등급에 따른 데이터 서비스 및 접근 권한 분류를 통해 고위험군은 제로 트러스트 원칙에 따라 △사용자 인증강화 △기기 검증 △권한 관리 △로깅·모니터링 △통합·중앙화 시스템 등 5가지 기본원칙을 갖추는 게 중요하다고 설명했다.

기업 보안에 있어 주된 위협 요인으로는 △관리자 계정 악용 △유출된 패스워드 △기본·취약 패스워드 사용 등 신원 위반(Identity Breach)이 42%를 차지했다. 또한, 보안사고를 막을 수 있는 방지책으로는 신원 보안(Identity Security)이 68%, 엔드포인트 보안 8% 등으로 조사됐다.

이와 관련 신종회 센터장은 “엔씨소프트의 제로 트러스트의 추진전략은 2019~2021년 진행된 1단계에서 제로 트러스트 구현이 요구되는 4대 시나리오를 정립하고, 이에 필요한 공통기능과 기술요소가 무엇인지 식별해 제로 트러스트 적용 수준을 측정 가능하도록 하고, 그 효과를 사전에 이해관계자들이 인지할 수 있도록 하는데 초점을 맞췄다”고 말했다.

올해 시작한 엔씨소프트의 제로 트러스트 2단계는 구현 원칙 기반으로 보안 아키텍처를 수립하는 것이다. 2단계의 세부 진행사항은 사용자의 정보에 따라 접근통제를 설정하고, WEB·APP·System 등 3단계에서의 권한을 다르게 설정하는 것 등이 포함됐다.

신종회 센터장은 “제로 트러스트를 도입한 이후 직원 만족도가 95% 증가, IT 중복투자 비용도 45%가 절감됐다”며, “글로벌 ESG 평가기관 서스테이널리틱스의 ESG 리스크 평가에서 엔씨소프트의 정보보안은 글로벌 상위 1%로 평가 받았다. 제로 트러스트의 성공적 구현을 위해서는 조직의 서비스·데이터, 사용자, 엔드포인트에 대한 세부적인 이해와 서비스 분류체계 거버넌스 수립이 필요하다”는 말로 강연을 마쳤다.


진강훈 시스코 총괄부사장, “비즈니스의 변화는 보안 탄력성의 근간 돼야”
두 번째로 진강훈 시스코코리아 시스템엔지니어링 총괄부사장이 ‘하이브리드 업무 환경을 위한 보안 탄력성’을 주제로 발표를 이어갔다.

진강훈 총괄부사장은 “최근 비즈니스는 그 어느 때보다 빠르게 변화하고 있다”며 “비즈니스는 금융 탄력성, 운영 탄력성, 공급망 탄력성, 조직 탄력성 등으로 구분할 수 있는데 이 모두는 보안 탄력성이 근간이 되어야 한다”고 말했다.

보안 탄력성은 예측 불가능한 위협이나 변화에 대응해 기업의 모든 활동에 영향 없이 비즈니스를 지속할 수 있도록 보호하며, 이를 계기로 더욱 강한 기업을 만들 수 있는 역량을 갖추는 걸 의미한다. 전 세계는 모든 사람이 네트워크로 연결되는 새로운 환경에 직면하고 있으며, 이를 통해 △비즈니스가 에코 시스템으로 운영되며 비즈니스의 경계가 흐려지고 △끊임없이 확장되는 수십억 개의 연결은 더욱 빠르게 공유하고 접속할 수 있으며 △하이브리드 업무 시스템으로 업무 패턴도 끊임없이 변화하고 있기 때문이다.

진강훈 시스코코리아 총괄부사장은 “하이브리드 업무환경에서는 데이터센터에서 클라우드·SaaS로의 변화, WAN에서 SD-WAN으로의 변화, 민첩한 환경에서 데브옵스(DevOps)로의 변화, VM에서 컨테이너로의 변화, 서버·클라이언트에서 모바일로의 변화 등 다양한 IT 현실로 보안 탄력성을 갖추는 게 더욱 어려워지고 있다”며 “보안 탄력성을 갖추려면 보안전략의 전환이 필요하다”고 강조했다.

보안 탄력성을 위한 5가지 지침으로 진 총괄부사장은 △더 많이 보기 △다음 상황 예측 △올바른 조치 실행 △격차 해소 △지속적인 개선 등을 설명했다. 첫 번째로 ‘더 많이 보기’에서는 수십억 개의 신호를 활성화해 에코시스템 전반의 텔레메트리를 활용하고, 모니터링과 필터링을 활성화해야 한다. 두 번째로 ‘다음 상황 예측’에서는 공유된 인텔리전스 정보를 수용해 실행 가능한 인텔리전스 및 전문지식을 갖춰 사전에 대비해야 한다. 세 번째로 ‘올바른 조치 실행’에서는 위험 기반 상황을 분석하고 지속적인 신뢰를 평가해 중요도에 따라 우선순위를 지정해야 한다. 네 번째로 ‘격차 해소’에서는 사용자·장치·네트워크·응용 프로그램 등 에코시스템 전반에 걸친 방어를 위해 개방형 플랫폼을 활용해야 한다. 다섯 번째는 ‘지속적인 개선’으로 오케스트레이션, 자동화를 통해 더 빠른 피드백을 받을 수 있도록 구성해 효율을 극대화하는 것이 중요하다는 설명이다.

진강훈 총괄부사장은 “보안 탄력성을 갖추기 위해서는 기존의 포인트 솔루션의 ‘예방’에서 ‘탐지·대응·복구’로, ‘사일로화’에서 ‘통합’으로, ‘알림·위협 중심’에서 ‘상황 중심’으로 변화 등 보안 전략의 전환이 중요하다”고 강조했다.

한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>