'제로 트러스트' 어떠한 것도 신뢰할 수 없다
'제로 트러스트' 어떠한 것도 신뢰할 수 없다
  • 김태원 이글루시큐리티 컨설턴트
  • 승인 2019.05.02 09:47
  • 댓글 0
이 기사를 공유합니다

이글루시큐리티 보안컨설팅사업부 김태원 컨설턴트

"너 자신을 믿지 마. 의심하고 또 의심해." 

올 초 큰 인기를 끌은 드라마 ‘스카이캐슬’ 속 대사다. 입시 코디네이터인 김주영 선생은 자신이 담당하는 학생인 예서에 대한 정신적인 지배력을 높이기 위해 익숙한 유형의 시험 문제라도 허투루 넘기지 말고 정답을 맞게 선택했는지 끊임없이 의심하라는 말을 던진다. 김주영 선생의 악한 의도를 드러낸 이 중의적 표현은 정보 보안의 관점에서 볼 때 또 다른 의미로 해석될 수 있다. 바로 어떠한 것도 신뢰할 수 없다는 ‘제로 트러스트(Zero Trust)’ 모델이다.

제로 트러스트는 외부는 물론 그동안 신뢰하고 있었던 내부 요인 역시 잠재적인 위험 요소가 될 수 있다는 사실을 인지하고, 네트워크가 아닌 사용자 중심에서 모든 것을 검증하고 인증하는 적극적인 보안 방식을 의미한다. 

▲기업 시스템에 접속하고자 하는 사용자가 누구인지, ▲인가받은 기기로 안전한 경로를 통해 데이터에 접근하고 있는지, ▲특정 사용자에게 과도한 데이터 접근 권한이 주어지지는 않았는지 등 누가, 언제, 어디서, 무엇을, 어떻게 하는지 사용자의 신원과 행위 파악에 초점을 맞춘다.

김태원 이글루시큐리티 컨설턴트
김태원 이글루시큐리티 컨설턴트

 

클라우드, 모바일 등 차세대 IT 기술 확산과 더불어 제로 트러스트의 중요성은 점점 더 높아지고 있다. 임직원들이 기기와 위치의 제한 없이 다양한 애플리케이션을 활용해 기업 업무 시스템에 손쉽게 접속할 수 있게 되면서, 내부와 외부, 적과 아군의 경계를 구분하기가 더욱 어려워졌기 때문이다. 이에 ‘네트워크 경계 안과 밖의 경계를 떠나 무조건적인 신뢰를 해서는 안 된다’는 전제하에 사용자와 애플리케이션을 검증·관리·통제하고자 하는 움직임이 전 세계적으로 가속화되고 있는 추세다.

제로 트러스트는 단일한 보안 기술 도입만으로는 구현될 수 없는 복합적인 보안 방법론에 가깝다고 할 수 있다. 수많은 사용자의 업무와 역할, 사용하는 데이터·애플리케이션·기기에 대한 가시성이 확보되어야 하고, 입사/퇴사, 역할 및 근무 위치 등의 인사 변경 사항 역시 실시간으로 반영되어야 하기 때문이다. 더불어, 프로세스가 사용자 경험과 업무 생산성에 미치는 영향도 고려해야 하며, 공격자가 뚫고 들어올 수 있는 기업의 취약점과 최신 공격 기법에 대한 이해도 반드시 뒷받침될 필요가 있다.

제로 트러스트를 잘 구현한 예로 기기 인증, 사용자 인증, 접근 제어 3단계를 거치는 구글의 Beyond Corp를 꼽을 수 있다. Beyond Corp는 먼저 기기에 대한 정보 분석을 통해 기기의 신뢰성을 검증한 뒤, 변동 사항이 실시간 연동되는 사용자/그룹 DB 확인을 통해 접근하려는 사용자가 정상적인 임직원인지를 식별한다. 마지막으로, 기기와 사용자, 취약점 정보 등을 통합적으로 분석해 시스템 접속 요건을 최종적으로 결정한다. 만일 사용자의 OS 버전이 낮거나 보안 패치가 되지 않았다면 접속이 차단된다.

제로 트러스트, 어떻게 도입해야 하나

보안 전문가들은 각 기업에 최적화된 제로 트러스트 전략을 개진하기 위해, 모델 도입에 앞서 사용자와 기술, 인증 절차를 아우르는 검토 과정을 거칠 것을 권고하고 있다. 먼저 제로 트러스트를 통해 달성하고자 하는 목표를 정의하고, 제로 트러스트 모델 도입이 사용자 경험에 미칠 영향을 고려해 모델을 기획·개선해야 한다. 예를 들면, 가장 위험도가 높은 사용자부터 모델을 적용해 점차 적용 범위를 넓혀나가는 식으로 모델을 조정해나갈 수 있다. 

다음은 제로 트러스트 모델 이행을 위해 사용되는 여러 방식 중 목표에 부합하는 최적화된 아키텍처를 선택하고, 사용자 및 기기를 검증할 수 있는 까다롭고 정확한 인증 절차를 도입할 차례다. 특히, 사용자의 접근 요청 상황에 따라 알맞은 절차를 거쳐 접근 권한을 받을 수 있게 하는 과정이 요구된다. 신원이 검증된 사용자가 평소와 달리 처음 방문한 카페에서 새로운 기기를 사용해 접속을 요청할 경우에는 더욱 엄격한 인증 절차를 적용하는 식이다.

마지막으로 제로 트러스트 모델 적용 과정에서 또는 적용 후에 나타날 수 있는 문제점에도 대비할 필요가 있다. 리스펀드 소프트웨어의 스티브 다이어 CTO는 기업 전반에 걸쳐 일관적인 데이터 접근 정책을 수립하고, 통합 인증 및 접근 제어 시스템을 관리하며, 업무 효율성에 영향을 미치지 않는 한도에서 사용자 접근과 권한을 제한하는 것은 결코 쉬운 작업이 아니라며, 제로 트러스트 프레임워크 구현을 위한 업무 범위와 규모를 과소평가해서는 안 된다고 강조했다.

신뢰하되 검증했던 보안의 시대는 끝났다 –의심하고 또 의심해

지금까지 보안 환경의 안정성을 높일 수 있는 대안 중 하나로 부각되고 있는 제로 트러스트 모델에 대해 알아보았다. 수많은 사용자와 기기, 인프라가 밀접히 연결된 지금, 네트워크 기반의 방어선으로 기업 외부와 내부를 구분하는 것은 점점 더 무의미해지고 있다. 다시 말해, 내부 환경의 요소들을 무조건적으로 신뢰했던 보안 모델에서 탈피하여 끊임없이 의심하고 또 의심해야 할 필요가 있다. 검증 후에도 또다시 의심하는 제로 트러스트 모델 도입을 통해, 기업의 보안성을 한 단계 높이길 바란다.

네이버 뉴스 스탠드에서 키뉴스를 만나보세요. 키뉴스 뉴스스탠드 바로가기 - MY 뉴스 설정

  • 서울시 강남구 역삼로25길 46, 3층(역삼동) (주)디지털투데이
  • 대표전화 : (02)786-1104
  • 팩스 : (02)6280-1104
  • 청소년보호책임자 : 김효정
  • 제호 : 온라인 디지털 경제미디어 키뉴스(KINEWS)
  • 등록번호 : 서울 아 00926
  • 등록일 : 2009-08-03
  • 발행일 : 2007-05-09
  • 발행인/편집인 : 김영준
  • 온라인 디지털 경제미디어 키뉴스(KINEWS) 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2019 온라인 디지털 경제미디어 키뉴스(KINEWS). All rights reserved. mail to kinews@kinews.net
ND소프트
인터넷신문위원회