올해에도 사이버 보안 분야 가장 큰 화두는 '제로트러스트'다. 정부도 국가 차원의 사이버 보안 전략으로 제로트러스트를 채택하고 공공기관과 민간기업에 제로트러스트 보안체계 도입·확산을 위한 사업을 적극 추진하고 있다.

제로트러스트 보안은 '무엇도 믿지 않는다'는 의미 그대로, 시스템에 접근하는 사용자에 대해 이들이 누구인지, 권한이 있는지, 권한을 벗어나지는 않았는지를 지속해서 검증하고 제한하는 보안 방법론이다. 그간 인프라 환경은 온-프레미스(On-Premise) 형태로 중요 시스템으로의 접근은 물리적으로 통제가 가능한 영역에 두어 외부로부터의 침입을 탐지하고 이를 방어하는데 집중해왔다. 그러나 비용 절감이나 서비스 안정성 등을 이유로 인프라 환경이 클라우드로의 '대전환'이 시작됐다. 마이크로 서비스 아키텍처(MSA) 형태로 구성한 각 서비스들을 독립적으로 구현하고 있다. 이로 인해 시스템 인프라 자체가 외부에 위치하게 되었다. 이전과 같은 완벽한 물리적 경계 보안을 수행할 수 없게 됨에 따라 모든 접근 요청에 대한 검증을 요구하는 제로트러스트 보안 모델에 주목하게 된 것이다.

유럽 GDPR부터 시작된 개인정보보호법·제도의 강화 역시 제로트러스트 보안 도입을 촉진하고 있다. 내부 직원에 의한 정보 유출이 이어지면서 데이터를 난독화 또는 식별 불가하게 하도록 강제하고 있다. 그러나 모든 정보를 절대 복호화가 불가능한 데이터로 저장하는 것은 현실적으로 어렵다. 따라서 데이터에 접근할 수 있는 내부 직원에 대한 철저한 통제와 감시가 최선의 방책으로 여겨진다. 이때 사용자의 권한을 분산하고 인가된 사용자라 할지라도 시스템 리소스 접근에 대해 지속적인 신원확인과 상세한 권한 제어 등의 위험관리 절차를 포함할 수 있는 제로트러스트 보안 전략 수립이 요구된다.

현재 공공기관과 민간기업 모두 제로트러스트 보안 모델 도입에 점차 속도를 내고 있다. 이들을 위해 제로트러스트를 키워드로 한 수많은 기술과 제품들이 제안되고 있다. 그러나 제로트러스트의 개념은 여전히 모호하다. 제로트러스트 보안을 구현하기 위해 어떤 솔루션을 도입해야 할지 혼란스러운 가운데, 특히 보안에 민감한 공공기관과 금융권 기업들을 중심으로 각자의 인프라 환경에 맞는 제로트러스트 전략과 해결책을 요구하고 있다.

그렇다면, 진짜 제로트러스트 보안은 어디서부터 어떻게 시작하는 것이 바람직할까.

IT 인프라 환경과 업무 형태가 바뀌고 있기 때문에 제로트러스트는 반드시 적용되어야 할 개념인 것은 분명하다. 다만, 이를 모든 시스템에 한 번에 완벽히 적용하기를 기대하는 것은 무리다. 이미 도입된 보안 제품이나 시스템의 규모가 큰 경우도 적지 않기 때문에 단계별 목표를 수립해 하나씩 달성해 나가는 것이 가장 좋은 방법이라 할 수 있다.

필자는 제로트러스트 도입의 첫 단계로 NAC나 방화벽 같은 경계선 보안은 유지하면서 접근통제와 계정관리 도입을 통해 내부 사용자에 대한 제로트러스트 전략을 수립할 것을 제안한다.

과학기술정보통신부가 지난해 발표한 '제로트러스트 가이드라인 1.0'에서는 제로트러스트의 보안 원리로 '접근제어'를 언급했다. 보호 대상 자원에 대한 접근 요구를 허가할지 말지 다수의 인증 절차와 다양한 검증을 통해 결정하는 것이다. 하나의 자원에 접속한 후에는 정해진 권한만큼만 활동하도록 제한해야 한다. 이러한 제로트러스트의 기본 논리를 적용하기 위해서는 사용자 접근통제와 계정관리가 필수적으로 포함돼야 할 것이다.

기존 수많은 접근제어 제품들은 경계형 보안 모델로, 권한이 있는 사용자가 한 번 인증을 거쳐 시스템에 접속하면 내부 시스템, 서비스, 데이터 등 모든 자산에 추가 인증 없이 접근할 수 있다. 권한이 있는 내부인에 대한 완벽한 통제와 감사가 어려워 제로트러스트를 완벽히 구현하기에는 한계가 존재했다. 최근 관련 솔루션 업체들은 접근제어 기술에 인공지능(AI) 기술을 적용한 위협 인텔리전스 기능이나, 업무 중 상시로 사용자의 행위나 등록된 생체 인증을 자동으로 수행하는 등 제로트러스트 보안을 위한 기능을 일부 제공하고 있다.

넷앤드의 통합 접근 및 계정관리 솔루션 HIWARE는 모든 사용자 접근 포인트마다 다중 인증(MFA) 정책 설정 기능 등으로 제로트러스트에서 요구하는 지속적인 사용자 검증을 수행한다. HIWARE는 사용자 접근 및 작업 권한을 최소한으로 부여하고, 인가된 사용자라 할지라도 시스템 접속 후 다른 자원으로의 이동이나 명령어 입력 등 모든 활동 이벤트 발생 시 다중 인증(MFA) 정책을 통해 지속적인 사용자 검증을 수행한다. 사용자의 접근 및 작업 권한 범위는 서버 내 파일과 디렉터리 단위까지 세분화해 적용함으로써 마이크로세그멘테이션을 실현할 수 있다. 또한, 사용자가 중계(proxy) 서버를 통해 시스템 접속을 시도할 때마다 가상 크리덴셜 키를 자동으로 새롭게 생성해 인증하는 SSO 기반 컨피덴셜 키 관리 기능으로 제로트러스트 보안의 가장 핵심이라 할 수 있는 사용자 검증을 사용자의 불편을 최소화하면서 수행할 수 있다. 모든 접근과 작업은 모니터링 및 로그기록되며, 실시간으로 제어할 수 있다. 이러한 접근통제는 자동화된 사용자 계정관리와 함께 수행해 권한이 있는 계정 탈취로 인한 보안 취약점까지 제거한다.

넷앤드는 제로트러스트 보안 모델의 핵심 원칙인 접근통제에 대한 국내 최다 구축 경험과 안정적인 서비스를 바탕으로 공공기관과 기업의 제로트러스트 니즈에 HIWARE를 통한 제로트러스트 보안 전략 수립 방안을 제시하며 적극 대응하고 있다.

서병선 넷앤드 전략본부장 [email protected]