주의 : 본문에는 여러 가지 동심 파괴의 요소들이 묘사되어 있습니다
제로트러스트라는 개념을 크리스마스 산타클로스 이야기에 빗대어 보니

[보안뉴스 문가용 기자] 크리스마스에는 많은 일들이 일어난다. 눈이 내리기도 하고, 화롯불이 타기도 하며, 거리마다 캐럴들이 울려 퍼지고, 아이들은 선물에 대한 기대감으로 눈을 하루 종일 반짝거린다. 하지만 보안 전문가들에게 크리스마스란 여러 시스템에서 공격이 발생하는 때이다.


현재 크리스마스의 눈처럼, 보안 업계에 소복소복 쌓이고 있는 소식은 바로 제로트러스트(Zero-Trust)다. 누구도 믿지 않고, 모두가 엄중한 접근 통제 규칙을 따라야 한다는 개념의 제로트러스트는 침투를 막고, 침투가 발생하더라도 피해를 최소화시키는 효과를 가지고 있다. 크리스마스의 산타클로스라도 일단 굴뚝에서 비밀번호부터 입력해야 한다는 것이다.

보안 업체 버섹(Virsec)의 부회장인 윌리 레흐터(Willy Leichter)는 “지난 수십 년 동안 우리는 산타에게 아무런 보안 절차를 요구하지 않았다”며 “산타와 함께 집안으로 떨어져 내리는 온갖 유해 물질들까지도 같이 허용하고 있었던 것”이라고 말한다. “마찬가지로 누군가의 입장을 당연시 해버리는 것에는 반드시 대가가 따르게 되어 있습니다.”

또 다른 보안 업체 벡트라(Vectra)의 부회장인 케빈 슈(Kevin Sheu)는 “산타가 가족 구성원 중 가장 어리고 순진하며 세상을 잘 모르는 이에게서부터 초대된다는 것도 기억해야 한다”고 지적한다. “심지어 이 어리고 순진하며 세상을 잘 모르는 녀석은 자신을 더 취약하게 만들 수 있는 물건들의 목록을 넘길 수도 있습니다. 보안을 안에서부터 취약하게 만드는 것이죠.”

그렇다면 현대 보안의 관점에서 우리는 산타를 어떻게 맞이해야 할까? 보안 업체 트립와이어(Tripwire)의 보안 총괄인 타일러 레굴리(Tyler Reguly)는 “일단 배경 검사부터 해야 한다”고 말한다. “산타와 사슴들은 24시간 동안 전 세계 곳곳을 돌아다니죠. 그렇다면 우리 집 굴뚝에 도달하기 직전에 어디에 있었는지부터 알고 싶을 것 같습니다. 어떤 경로를 통해 왔으며, 산타 자신의 고향은 어디고, 어떤 성격이나 능력을 가졌는지도 말이죠. 우리 집 안으로 들이는 건데, 당연히 모든 걸 샅샅이 알고자 했을 것입니다.”

레굴리의 배경 조사는 산타 자신에게서만 끝나지 않는다. “산타라는 인물에 대해 들어보면 일단 공급망이 의심되죠. 도대체 그 많은 물건을 어디서 얻어내냐는 겁니다. 또한 산타의 일을 하려면 직원이나 파트너사가 많을 것이 예상됩니다. 그렇다면 어느 날 갑자기 우리 집에 들어오는 낯선 물건들의 정체도 파악해야 안전하겠죠? 저는 산타의 비즈니스와 공급망, 파트너사에 대한 모든 것도 검사해야만 굴뚝을 통과시킬 수 있을 것 같습니다.”

슈는 “제로트러스트의 개념에 입각해서 산타 문제를 봤을 때, 1회성 검사와 통과로는 불충분할 수 있다”고 지적하기도 한다. “그는 매년 같은 시간에 한 번 집에 옵니다. 한 번 인증 과정을 통과했다고 하더라도 남은 1년 동안 어디서 뭘 하다 오는지 알 수가 없습니다. 그러므로 그는 올 때마다 인증 과정을 통과해야 하고, 우리는 그의 행적들까지도 매번 검사해야 합니다. 즉 아무 것도 믿지 못하는 것이죠. 게다가 북극에서 출발한 사람과 우리 집 굴뚝 위에 도착한 사람이 동일 인물인 걸 어떻게 확신하나요? 산타 트래커 같은 것이 있어도 도움이 될 것입니다.”

보안 업체 놈쉴드(NormShield)의 CSO인 밥 말리(Bob Maley)의 경우도 산타의 독특하고 미스터리어스 한 공급망을 문제 삼는다. “산타라는 존재는 결국 우리가 상상도 못할 거대한 공급망의 제일 끝단에 위치한 일부 요소일 뿐입니다. 그가 끄는 썰매가 어떤 과정으로 만들어지는지, 북극 썰매 안전 표준에 입각한 것인지, 사슴들은 지붕을 망가트리지 않을 정도로 잘 훈련되어 있는지, 확인되어야 할 사항이 너무나 많습니다.”

물론 역사적으로 산타로 인한 피해 규모는 늘 작아왔다. 리스크 수준은 꽤나 낮은 편이라고 볼 수 있다. 그러나 “그렇다고 해서 무료 입장권을 내주는 건 제로트러스트나 보안의 원리에 어긋나는 것”이라고 말리는 주장한다. 레굴리는 “출발하는 사람이 누구이며 어떤 물건을 가지고 있는지, 언제 어디에 도착할 예정인지를 미리 상호 간에 약속하고 도착지에서는 몇 시간 전 출발했던 당사자가 맞는지를 확인해야 합니다. 그러한 소통이 명확하고 투명하게 이뤄져야 신뢰할 수 있게 됩니다.”

그렇게 엄격한 과정을 거쳐 산타가 통과될 것이 예상된다면, 집 내부 공간을 활짝 열어두어도 괜찮을까? 제로트러스트 모델 아래에서는 안 된다. 레굴리는 “누군가 혹은 무언가가 산타의 뒤에 바짝 붙어 굴뚝을 통과할 수 있다는 것에도 주의해야 한다”고 말한다. “그 누군가 혹은 무언가가 산타를 따라 집안에서 계속해서 움직인다면 큰 피해가 발생할 수 있습니다. 그러므로 산타 자신도 집안에서 자유롭게 움직일 수 없도록 집 공간을 분리시켜야 합니다. 특정 공간에 들어가려면 아무리 산타라도 다시 한 번 인증을 거치도록 해야 한다는 것이죠.”

슈 역시 “산타가 제 아무리 집안에 발을 들여놓았다고 해도, 크리스마스 트리 근처에만 접근할 수 있도록 해야 한다”고 말한다. “산타가 할 일은 선물을 놓고 나가는 것뿐입니다. 부엌에 들어가 냉장고에서 음식을 꺼내 먹거나, 주인 집 안방에 들어가 잠시 침대를 공유하는 건 허락되지 않은 일입니다. 집안에서 산타가 여기 저기 휘젓지 못하도록 하는 것이 집안을 보다 안전하게 지킬 수 있는 방법입니다. 망분리...혹은 방분리가 필요하다는 겁니다.”

레흐터는 “일각에서는 산타가 너무 빨리 나타났다가 사라져서 도저히 추적할 수 없다고 하는데, 요즘의 발전된 보안 솔루션들로서는 가능하다”고 말한다. “따라서 이런 솔루션들로 집안을 무장해 산타가 혹시 지정되지 않은 공간으로 이동하거나 평소보다 탈출 시간이 오래 걸리면 굴뚝이 자동으로 닫혀 그가 빠져나가지 못하도록 해야 합니다. 그렇다면 아침에 일어나 산타를 조사할 수 있겠죠.”

심지어 나쁜 아이와 착한 아이를 구분해놓은 산타의 목록도 의심의 대상이 된다. “이 목록이 산타가 하룻밤 동안 하는 모든 일들의 근간이 되죠. 하지만 애초에 이 목록을 만든 자는 누구일까요? 정말 나쁜 아이와 착한 아이를 구분할 수 있는 존재가 만든 걸까요? 아님 그냥 4살짜리가 아무렇게나 연필을 굴려서 만든 것일까요? 부모들의 의견은 얼마나 반영된 걸까요?” 슈의 설명이다. “결국 이 목록의 타당성과 무결성, 투명성도 확인해야 산타의 비즈니스가 가진 유효성도 확인할 수 있습니다.”

게다가 이 목록이 어디론가 유출되었다면, 그 영향은 크리스마스에 지대한 영향을 미칠 수 있다. 말리는 “산타가 그 목록을 스마트폰에 저장하고 있었다면 어떨까요? 요즘 모바일 해킹 공격이 상당히 자주 일어나고 있는데, 산타라고 안전하라는 보장은 없죠. 산타의 장비 역시 검사를 통해 충분히 안전하다는 판명을 받아야 나쁜 아이와 착한 아이 목록에 대한 신뢰가 조금 생길 것입니다.”

이런 ‘살벌한’ 제로트러스트 세상에서 산타는 여전히 산타의 일을 할 수 있을까? 위 전문가들은 모두 ‘그렇다’고 답한다. “하지만 적당한 위험 평가가 전제되어야 합니다. 산타의 비즈니스와 행적, 공급망에는 여러 가지 위험 요소들이 따라붙을 가능성이 존재합니다. 반대로 역사적인 기록을 봤을 때 산타가 진짜 위해를 가하거나, 산타 때문에 피해가 발생할 확률은 극히 낮습니다. 그러니 리스크를 평가해야 한다는 겁니다. 그런 후에 정말 돈과 시간을 투자해 제로트러스트 모델을 도입할 것인지 결정해야 합니다.” 말리의 설명이다.

또한 리스크 평가 이후 제로트러스트에 투자하기로 결정했다면 아이들에게도 그 사실과, 그로 인해 예상되는 결과를 설명해줘야 한다. “아이들에게 아마도 산타가 여러 가지 사정 때문에 오지 못할 것 같다는 말을 해야 할 겁니다. 하루 밤 안에 모든 아이들에게 선물을 나눠줘야 하는 산타가 여러 통제 장치를 통과할 시간은 없을 거니까요. 산타가 오지 못한다는 말을 크리스마스 당일에 할 수 있을 것인가 말 것인가... 그 리스크 또한 냉정하게 평가해 결정을 내리는 것이 현명하지 않을까 합니다. 저라면 그런 상황에 처하기는 싫습니다만.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>