‘신뢰’가 중요한 세상, 사이버 세상에서는 ‘무신뢰’가 중요
이글루코퍼레이션, 제로트러스트 구현의 성공 조건 분석
SIEM 솔루션 필수, XDIR 도입이 현실적인 방안으로 제시

[보안뉴스 김영명 기자] 탐정의 대명사 셜록 홈즈의 명언인 “나는 결코 예외를 두지 않는다. 예외는 규칙을 반증하는 것이다”는 사건을 마주할 때 모든 가능성을 철저히 조사해야 한다는 원칙주의적인 태도를 대변하는 말이다. 홈즈의 예외 없는 이러한 원칙은 현대 보안 세계에서도 여전히 유효한 듯하다.


통합보안 기업 이글루코퍼레이션은 최근 제로트러스트 구현을 위한 성공 조건에 대해 상세하게 분석했다. 이에 앞서 지난해 7월 과학기술정보통신부는 ‘제로트러스트 가이드라인 1.0’을 발표했다. ‘예외를 두지 말 것’이라는 명제를 전제로 하는 보안 방법론인 ‘제로트러스트(Zero Trust)’는 조직 내부와 외부를 구분해 내부자에게는 높은 신뢰도를 부여했던 전통적인 경계 기반 보안과는 달리, 모든 접근을 잠재적 보안 위협이라 바라보는 방식이다.

최근 디지털 전환 시대에 접어들면서 모바일, 태블릿 PC, IoT 등 기존보다 더욱 다양한 스마트 디바이스가 업무 영역에 들어왔으며, 코로나19 팬데믹으로 비대면 근무 환경이 확산됐다. 비대면 근무의 확산은 클라우드 서비스의 보편화로 이어졌으며, IT 환경의 복잡도는 크게 증가했다. IT 환경이 빠르게 변화하면서 경계 구분은 무의미해졌고 모두를 의심하는 제로트러스트의 생태계에 힘이 실렸다.

제로트러스트 성공 조건, SIEM에 있다
제로트러스트는 ‘비신뢰’를 전제로 하기 때문에 끊임없는 검증과 평가가 핵심이다. 그룹 내부의 네트워크, 시스템, 리소스에 접근하려는 모든 사용자와 기기의 인증은 지속해서 수행하고, 신뢰 수준 평가를 기반으로 최소 권한을 부여하는 등의 세밀한 접근 제어가 필요하다. 물론 반복적인 검증을 거친 접근이더라도 지속적인 모니터링은 반드시 동반되어야 한다.

제로트러스트 보안 체계의 성공적인 구현을 위해 가장 중심이 되는 것은 ‘보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM)’ 솔루션이다. SIEM은 오늘날 기하급수적으로 생성되는 데이터를 실시간으로 수집하고 분석해 보안 위협을 신속히 탐지하고 대응하도록 돕는다. 제로트러스트 환경에서는 모든 활동과 트래픽을 지속해서 감시하고 검증해야 하기 때문에 SIEM이 제공하는 중앙 집중화된 모니터링 기능과 이를 통한 가시성 확보는 필수다. 모든 접근 주체와 조직망에 신뢰 수준을 끊임없이 검증하고 관리하는 데 핵심 역할을 수행한다.

다음으로 중요한 건 제품 간 연동 가능성이다. 제로트러스트는 단일 솔루션이나 서비스로 구현될 수 없다. 공격이 발생 가능한 구역마다 최적화된 보안 기술을 방패처럼 세우는 일이 성공적인 제로트러스트 보안의 기초가 된다. 제로트러스트를 도입하려는 조직들은 보안 환경 진단을 토대로 조직에 최적화된 제로트러스트 아키텍처를 설계한 뒤, 우선순위에 부합하는 보안 솔루션을 구축하고, 이에 대한 운영·관리를 수행하는 순으로 진행해야 한다. 아무리 기술이 뛰어난 솔루션이라도 다른 보안 제품과 연동되지 않는다면, 도입 대상에서 멀어질 수밖에 없다.

제로트러스트 실현의 현실적인 방안 ‘XDIR’
제로트러스트 보안에는 정답이 없다. 따라서 제로트러스트 보안 도입의 여정에 한 발짝 더 가까워질 수 있는 현실적인 방안으로 제시되는 것이 ‘확장형 탐지 조사 대응(eXtended Detection, Investigation, and Response, XDIR)’ 체계다.

XDIR은 다양한 보안 기능들의 통합을 바탕으로 포괄적인 관점에서 보안 운영의 효율성을 향상시키는 아키텍처다. 이름 그대로 탐지, 조사, 대응의 유기적인 연계를 통해 보다 확장된 보안 기능을 제공한다고 생각하면 이해가 쉽다. 단편적인 보안 솔루션들을 결합해 여러 보안 도구와 기술에서 데이터를 수집하고 분석해 한층 포괄적이고 신속한 보안 운영 및 위협 대응이 가능하도록 한다. 한 마디로 핵심 보안 영역을 결합해 종합적인 위협 탐지 및 대응체계를 구축하고, 조직에게 전체 환경에 대한 통합된 시야를 제공해 준다. 아무것도 신뢰할 수 없는 IT 환경 속의 복잡한 보안 운영을 보다 수월하게 수행하도록 가장 중심에서 돕는 역할을 한다.


한편 이글루코퍼레이션의 ‘SPiDER ExD(스파이더 이엑스디)’는 고급 수집-분석-대응-확장 기능을 통합적으로 제공하는 차세대 SIEM으로, 이기종 솔루션 간의 연동 및 최신 보안 기능 확장을 통해 사고 모니터링부터 분석, 탐지, 대응을 포괄하는 보안 운영 워크플로를 지원한다. 기업은 스파이더 이엑스디를 토대로 XDIR 체계를 구축할 수 있다. 각 조직의 니즈에 맞춰 보안 위협 데이터 수집 범위를 확장하고, 생성형 AI 등의 탐지·조사 기법을 추가하며 보안 운영 및 위협 대응 업무의 자동 수행을 통해 전체 공격 표면을 포괄하는 가시성 확보가 가능하다.

이글루코퍼레이션 관계자는 “네트워크, 클라우드 등 구역별 대표 보안 솔루션들을 하나씩 도입하다 보면 제로트러스트 보안을 실현할 수 있을 것이라는 생각을 하게 된다”며 “구색 맞추기 식의 무분별한 도입은 오히려 관리 업무의 급증과 대응 프로세스의 복잡성을 심화시킬 뿐”이라고 말했다. 이어 “이를 해결하기 위해 XDIR과 같은 체계적인 접근이 더욱 주목받고 있다”며 “단편적인 기술의 통합을 넘어 전체 보안 체계의 유기적인 작동을 가능하게 하고 보안의 효율을 높여 조직의 접근 방식을 재정립하는 일이 중요해진 시점”이라고 설명했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>