제로트러스트와 공급망 보안, 기존 보안체계의 한계를 뛰어 넘다
미국 바이든 정부, 제로트러스트 도입에 팔 걷어...CISA와 NIST 각기 관련 지침 발표

[보안뉴스 원병철 기자] 2021년 5월, 미국 바이든 행정부의 ‘국가 사이버보안 개선에 대한 행정 명령(EO14028)’은 ‘제로트러스트(Zero Trust)’라는 이슈를 전 세계적 보안이슈로 끌어올렸고, 2020년 솔라윈즈 사건과 2021년 카세야 사건은 ‘공급망 보안’의 중요성을 인식시켜준 사건이었다. 우리나라 역시 지난 10월 26일 ‘제로트러스트·공급망 보안 포럼’ 발족식을 열고, 기존 보안체계의 한계를 뛰어 넘는 신보안체계 마련에 나섰다.


우리나라의 이러한 움직임의 중심에는 바로 염흥열 순천향대학교 정보보호학과 교수가 있다. 염흥열 교수는 전기통신분야 국제표준기구인 ‘국제전기통신연합 전기통신표준화 부문(ITU-T, International Telecommunication Union-Telecommunication Standardization Sector)’의 보안 국제표준 연구그룹인 ‘SG17(Study Group 17)’의 의장으로 국제 보안 표준분야의 세계적 석학이다. 또한, 개인정보보호위원회 비상임위원이며, 개인정보보호위원회와 한국인터넷진흥원이 설립한 ‘개인정보 기술포럼’ 의장이기도 하다. 여기에다 이번에 발족한 제로트러스트·공급망 보안 포럼의 운영위원장을 맡고 있다. 이에 <보안뉴스>는 염흥열 운영위원장을 직접 만나 설립배경과 진행사항, 앞으로의 계획에 대해 들어봤다.

보안뉴스 : 반갑습니다. 운영위원장님. 먼저 포럼 발족에 대해 듣고 싶습니다.
염흥열 운영위원장 사이버보안 환경이 변화하면서 과기정통부와 KISA는 2022년 초 사이버보안 패러다임 전환 연구반을 만들어 미국과 영국 등 사이버보안 선진국의 사례를 분석했습니다. 이를 통해 우리나라 산업에 맞는 보안모델과 가이드라인의 필요성을 깨달았고, 5개 세부 연구반 중 가장 필요하다고 판단된 제로트러스트와 공급망 보안 연구반을 포럼으로 승격시켰습니다.

제로트러스트가 나온 것은 오래됐지만, 명확하게 정의된 것은 아직 없습니다. 사실 너무 많은 거죠. 다만 컨텍스트, 즉 상황과 환경에 따라 다를 수 있기 때문에 공통적으로 쓸 수 있는 제로트러스트의 정의가 필요하다고 생각합니다.

보안뉴스: 명확한 정의가 없다고 하셨는데요, 좀 더 쉽게 설명해주실 수 있을까요?
염흥열 운영위원장 예를 들면, 조직에 어떤 정보가 있을 때 이 정보에 접근할 수 있는 권한을 조직원들에게 세부적으로 나눠서 제공하자는 겁니다. 정보가 꼭 필요한 조직원에게만 제공하고, 제공하는 것도 전체를 제공할 것인지, 얼마만큼의 시간동안만 제공할 것인지, 조직원임을 인증하는 것도 정보에 접근할 때마다 할 것인지 등등. 결국 정말 중요한 정보는 접근하는 조직원들도 믿지 말고 여러 방면에서 살펴봐야 한다는 말입니다.

보안뉴스: 제로트러스트가 갑자기 부각된 이유는 뭘까요?
염흥열 운영위원장 환경의 변화를 들 수 있습니다. 우선 코로나19로 인해 급격한 비대면 환경이 대두됐고, 재택근무가 늘어났습니다. 게다가 디지털 전환이 이뤄지면서 클라우드를 사용하는 조직들이 생겼죠. 예전에는 회사 내부에서 주요 정보시스템에 접근했는데, 이제는 외부, 나아가 클라우드를 사용하게 되면서 내부와 외부의 경계가 느슨해졌습니다. 보안 환경을 강화할 수밖에 없었고, 이에 따른 대안으로 떠오른 것이 바로 제로트러스트입니다.

예를 들면, 내부망과 외부망으로 나눠 있을 때 내부망에서는 사실 보안에 느슨한 경우가 있습니다. 그런데 비즈니스 환경이 변화하면서 재택근무나 원격근무가 증가하는 것은 물론 클라우드의 이용도 늘면서 이 내부망과 외부망의 경계가 느슨해진 것이죠. 이 때문에 이제는 단순히 망을 나누는 것이 아닌 모든 연결을 의심하자는 것으로 바뀌게 된 것입니다.

보안뉴스: 미국에서는 정부부처를 중심으로 발 빠르게 움직이고 있는데, 우리는 좀 늦은 게 아닐까 하는 걱정도 있습니다.
염흥열 운영위원장 아직은 시작단계라고 봅니다. 최근 CISA가 새로운 가이드라인을 만들면서 기존 네트워크에 어떻게 적용할 것인지에 대한 논의가 있었는데, 가이드라인에 맞는 네트워크를 만들거나 혹은 기존 네트워크 구조에 맞춰 제로트러스트를 적용하는 것에 대한 결정도 아직 못했다는 것이죠. 아직은 증명된 기술이 아니기 때문에 계속 여러 시도와 실증이 필요하고, 이를 토대로 보완해야 합니다.

개인적으로는 이를 R&D와 함께 진행해야 한다고 봅니다. 기관과 기업의 협업을 통한 공동연구를 진행해 그 결과를 표준화하고, 이를 바탕으로 다시금 실증을 해야 한다는 것이죠. 우리나라 역시 우리 산업에 맞는 보안모델과 가이드라인의 필요성이 제시되고 있으며, 이번 포럼 역시 이를 구체화하고, 보안 패러다임의 변화에 능동적으로 대응하기 위해 발족했다고 할 수 있습니다.


보안뉴스: 공급망 보안에서는 SBOM이 이슈입니다.
염흥열 운영위원장 지금까지 소프트웨어는 오픈소스를 이용하거나 라이브러리를 엮어서 하나의 시스템을 만드는 경우가 많았습니다. 문제는 하나의 컴포넌트에 취약점이 발생하면, 이를 이용한 모든 소프트웨어가 감염될 수밖에 없다는 점입니다. 이 때문에 취약점이 발생하면 어디에서 이것을 사용했는지를 찾아야 하는데, 이것을 일일이 찾는 것 자체가 힘들고, 이를 무시하거나 잊어버리면 제로데이가 되어 버리는 거죠. 이에 애초에 취약점이 없도록 하는 것이 중요하지만, 그렇지 못할 경우 도움이 될 수 있는 것이 바로 SBOM입니다.

SBOM은 Software Bill of Materials, 즉 소프트웨어 자재 명세서의 줄임말입니다. 소프트웨어에 이것을 만들어 어떤 컴포넌트로 구성됐는지 파악해 놓으면, 나중에 취약점이 발생했을 때 바로 확인해 대응할 수 있습니다. 물론 소프트웨어 자체가 취약점이 있다면 SBOM은 도움이 안 되겠죠. 이로 인해 개발단계에서 보안을 고려하고, 개발환경 자체도 안전한 환경으로 만드는 것이 필요합니다. 바이든 정부도 이 부분을 중요하게 보고 있고요.

보안뉴스: 중요한 시기에 포럼 운영위원장을 맡으셨는데요, 앞으로의 계획에 대해 말씀해 주십시오.
염흥열 운영위원장 제로트러스트·공급망 보안 포럼은 정부와 학계, 공공기관과 표준화전문가, 민간사업자 등 다양한 사람들이 모여 있습니다. 이들의 모든 견해가 잘 어우러진 결과물을 만들도록 돕는 것이 제 역할입니다. 이를 위해서 R&D 및 국제표준과 연결해 결과물이 정책적으로 연결되고 그 결과를 평가하며, 미비한 점은 다시 보완하고, 또 다른 모델을 만들고 하는 과정이 지속적으로 이뤄질 수 있도록 역할을 할 계획입니다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>