보안의 핵심 ‘제로트러스트’, 보안 기술을 넘어선 철학
美 연방 정부의 NIST SP 800-207 ‘제로트러스트 아키텍처’ 기반

[보안뉴스 이소미 기자] ‘제로트러스트(Zero Trust)’는 지난 해부터 보안 업계의 많은 관심을 한 몸에 받으며 핫한 키워드로 떠올랐다. 여기에서 ‘Trust(신뢰)’라는 단어는 보안 관점에서 상당한 의미를 갖는다. 신뢰가 곧 권한 위임이기 때문이다. 신뢰를 부여할 수록 위험이 증가되기 때문에 보안의 핵심은 ‘모든 종류의 접근을 신뢰하지 않는 것’, 즉, 제로트러스트가 중요해질 수 밖에 없다.


제29회 정보통신망 정보보호 컨퍼런스 2023(NETSec-KR 2023)에서 제로트러스트, 보안 패러다임의 변화 를 주제로 강연이 진행됐다. 가천대학교 이석준 교수는 제로트러스트 패러다임 전환과 가장 빠른 도입과 정책을 앞당긴 미 연방 정부에 대해 발표했다.

기존에 사용해 왔던 여러 가지 보안 방식들은 ‘경계 기반 보안’이었다. 기업 네트워크 내부 진입점 가운데 파이어월(Firewall), IDS와 같은 보안 체계를 구성해 외부 공격들에 대응하는 구조로 지금까지의 보안 방식을 적용해 왔다.

다만, 회사 내 원격 근무를 비롯해 코로나19 이후 재택근무 활성화와 모바일 기기 확산 등으로 기업망은 전보다 복잡해졌다. 협력업체 직원들이 접속해야 하는 경우와 IoT 등 다양한 기기의 접속으로 기업망 접근 방식이 형성됐다.

이처럼 기업이 하드웨어, 소프트웨어 등 모든 컴퓨팅 환경을 자체적으로 구축·운영·유지·관리하는 온-프레미스(on-premise) 환경에서 클라우드(cloud) 환경으로 전환되는 변화를 겪었다.

이같은 환경 변화로 다양한 형태의 공격들이 발생하고 그 규모도 더해졌다. 랜섬웨어 사이버 공격으로 핵무기 개발업체인 솔 오리엔스, 미 동부지역 송유관 콜로니얼 파이프라인 등이 공격을 받았다. 또 MS와 삼성의 보안 방벽까지 뚫은 해커집단 랩서스의 공격 사례도 유명하다.

수많은 보안 사고들의 1차 목표는 바로 ‘내부자’를 통한 기업망 내부 침투와 권한 탈취다. 즉, 타깃이 된 기업의 직원을 통해 기업의 파일공유·데이터베이스 서버에 접근하는 것이다. 이들은 △최초 침투 △내부망 침투 △데이터 유출의 단계로 이루어진다고 이 교수는 설명했다.

이러한 다양한 위협들을 막아낼 제로트러스트를 가장 빠르게 구현한 국가는 미국이다. 미 연방정부는 ‘NIST SP 800-207’ 보고서를 통해 ‘제로 트러스트 아키텍처’를 내놓았다. 핵심은 사이버 공격 방어를 장기적으로 방어해 목표에 도달하는 것이다. 이 원리를 7가지로 정리했는데 △모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주 △네트워트 위치에 관계없이 모든 통신 보호 △기업 리소스에 대한 접근 결정 △동적 정책으로 리소스에 대한 접근 결정 △모든 자산의 무결성 및 보안 상태 감시·조치 △모든 리소스의 인증·인가를 강력하게 점검 후 허용 △자산·네트워크·인프라 등 현 상태에 대한 정보 수집 등이다.

이어 이 교수는 국내에서도 국가 차원의 ‘제로트러스트’ 전환 체계 기반 구축을 마련하고 있다고 전했다. 지난 해부터 사이버보안 패러다임 전환 연구반을 통해 기술·제도 검토 및 경쟁력 강화 방안이 마련되고 있다. 미 연방정부도 제로트러스트 도입을 위해 개념 이해와 공감을 다졌던 것처럼, 국내 역시 △제로트러스트 아키텍처 내용 분석 기반의 개념 정립 △국내 도입 사례 소개 및 도입·확산 전략 △주요 제품·기술 경쟁력 확보 △시장 수요 분석 및 가이드라인 구성 △가이드라인 검토 등의 순으로 본격적인 패러다임 전환을 준비하고 있다.

이 교수는 “제로트러스트의 궁극적인 목표는 ‘모두 달성했다’가 아니라 ‘달성을 위해 이렇게 진화했다’고 얘기하는 것이 더 바람직한 접근”이라면서, “제로트러스트는 보안 기술적 접근이 아닌 철학적 접근으로 오랜 기간 이어나가야 할 개념”이라고 덧붙였다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>