제로 트러스트 - DX와 함께 진보하는 보안 모델

‘제로 트러스트’가 보안 분야의 최대 화두가 되었습니다.

IT 관리 소프트웨어 기업 솔라윈즈(SolarWinds) 공급망 공격, 미국 송유관 회사 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 등 사상 최악의 사이버 공격이 잇달아 발생하자 미국 바이든 행정부가 2021년 ‘국가의 사이버 보안 향상에 관한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)’을 발표했으며, 여기에 ‘제로 트러스트 아키텍처 도입’을 명시하면서 제로 트러스트 도입이 본격화되었습니다.

제로 트러스트는 시장조사기업 포레스터가 2010년부터 강조해 온 개념으로, 미국, 유럽 등에서 구체적인 방법론과 기술, 아키텍처가 논의되어 오고 있었습니다. 미국의 사이버 보안 행정명령 이후 미국국립표준기술연구소(NIST), 사이버 보안 및 인프라 보안국(CISA) 등에서 제로 트러스트 아키텍처와 제로 트러스트 도입을 위한 성숙도 모델, 실증모델, 표준과 가이드를 잇달아 발표했습니다. 이외 세계 각국의 정부 기관과 기술기업들이 다양한 표준 모델과 모범사례, 레퍼런스 아키텍처를 경쟁적으로 공개했습니다. 우리나라에서도 제로 트러스트 도입을 위한 논의가 본격적으로 시작되었습니다. 2022년 과학기술정보통신부와 한국인터넷진흥원(KISA) 주관으로 제로 트러스트와 공급망 보안 포럼이 발족되었으며, 국내 환경에 최적화된 제로 트러스트 아키텍처와 표준 정의와 기술개발, 실증사업을 진행할 계획을 밝혔습니다.

지속적인 검증·모니터링 원칙의 제로 트러스트

제로 트러스트에 불을 붙인 것은 바이든 행정부의 ‘사이버 보안 행정명령’이었지만, 제로 트러스트에 주목하게 된 계기는 코로나19로 인한 원격·재택근무였습니다. 원격·재택근무는 기존의 네트워크 경계를 무의미하게 만들었으며, 새로운 보안 경계인 ‘ID’를 중심으로 한 새로운 보안 정책이 필요하다는 주장에 힘을 실어주게 되었습니다.

이전에도 수많은 보안정책과 보안 모델이 있었습니다. APT(Advanced Persistent Threat, 지능형 지속 위협)가 유행할 때는 각 단계에서 공격의 의도와 목적을 파악해 사전에 예방하는 방식인 사이버 킬체인(cyber kill chain)'에 맞춘 선제 차단, 선제 차단이 실패하자 시스템과 네트워크에 대한 분석과 모니터링, 이를 더 효과적으로 할 수 있는 인공지능/머신러닝(AI/ML)이 사용됐습니다. 너무 많은 솔루션으로 보안 조직의 업무가 늘어나자 XDR(Extended Detection and Response, 확장형 위협관리)과 SOAR(Security Orchestration, Automation Response, 보안, 오케스트레이션, 자동화, 대응 시스템)가 등장해 통합과 자동화로 보안을 효율화했습니다. 이렇게 많은 보안 기술이 등장했지만, 사이버 범죄를 막을 수 없었습니다. 사이버 시큐리티 벤처스(Cybersecurity Ventures)는 사이버 범죄로 인한 비용이 2023년 8조 달러에서 2025년 10조5000억 달러에 이를 것이며, 국가 경제 규모로 측정하면 미국, 중국에 이어 세계 3위에 해당하는 것이라고 밝혔습니다¹.

사이버 범죄가 성행하는 상황에서도 비즈니스는 계속 성장해야 하므로 클라우드와 하이브리드 업무가 확산되었고, 공격표면이 넓어져 공격자가 활개 치고 다니는 상황이 되었습니다. 그래서 모든 접근을 검증하고, 모니터링하는 ‘제로 트러스트’가 주목받게 되었습니다. NIST의 제로 트러스트 아키텍처 표준 모델 ‘NIST Special Publication 800-207’에서는 제로 트러스트 기본 원칙을 다음과 같이 정리했습니다².

제로 트러스트 기본 원칙

1. 모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주합니다.
2. 네트워크 위치에 상관없이 모든 통신은 보호됩니다.
3. 개별 엔터프라이즈 리소스 접근 시도는 세션별로 허용됩니다.
4. 리소스 액세스 허용 여부는 클라이언트 ID, 애플리케이션·서비스, 요청 자산 현황에 대한 동적인 정책을 적용해 결정하며, 여기에는 행위정보와 환경 속성이 포함될 수 있습니다.
5. 기본적으로 신뢰할 수 있는 자산은 없습니다. 모든 자산과 관련 자산의 무결성과 보안 상태를 모니터링하고 측정해야 합니다.
6. 모든 리소스에 액세스하기 전 인증과 권한 부여가 엄격하게 적용됩니다. 또한 트랜잭션 전반에서 지속적으로 재인증·재인가하면서 모니터링 해야 합니다.
7. 기업은 자산, 네트워크 인프라 및 통신의 현재 상태에 대한 가능한 많은 정보를 수집하고 이를 사용하여 보안 상태를 개선합니다.

제로 트러스트 이행 필수기술 

제로 트러스트는 하나의 기술이나 솔루션으로 완성할 수 있는 전략이 아닙니다. 미국 사이버보안 및 인프라 보안국(CISA)의 ‘제로 트러스트 성숙도 모델’에서는 ▲아이덴티티(ID) ▲디바이스 ▲네트워크·환경 ▲애플리케이션 워크로드 ▲데이터라는 5개의 기둥을 소개했으며, 각각의 기둥에 대한 가시성과 분석, 자동화와 오케스트레이션, 거버넌스를 구현해야 하고, 제로 트러스트가 진행되면서 각 기둥이 완벽하게 통합되고 정책 시행 결정이 역동적으로 변한다고 밝혔습니다³. CISA의 성숙도 모델을 참고해 제로 트러스트 이행을 위해 필요한 기술을 간단히 설명하겠습니다. 

아이덴티티

아이덴티티(ID)는 제로 트러스트의 시작입니다. 물리적인 보안 경계가 사라진 클라우드에서는 ID를 중심으로 보안 경계를 정의해야 합니다. 사람, 기기, 애플리케이션, 워크로드 등 리소스에 접근하는 모든 ID를 검증하고 모니터링하며 보호해야 합니다. 사람에는 임직원뿐만 아니라 파트너사 직원, 계약직원, 고객도 포함됩니다.

전통적인 ID 관리는 패스워드(PW)를 사용해 리소스 접근 시도를 검증했고, 중요 업무는 MFA(Multi-Factor Authentication, 다중인증)와 위험도 평가로 접근 허용 여부를 결정했습니다. 그런데 MFA도 쉽게 우회할 수 있습니다. 그래서 지속적인 검증과 모니터링으로 ID를 보호해야 합니다. 구체적으로, 최소권한 원칙에 따라 접근할 수 있는 리소스를 최소화합니다. 강력한 보안이 필요한 특권계정은 적시 액세스(Just-in-Time Access) 정책을 적용해 허용되는 범위와 시간, 횟수를 통제합니다. 인증 받은 사용자도 다른 애플리케이션으로 이동할 때, 일정 시간이나 횟수가 지나면 다시 인증 받도록 해 공격자가 머무는 시간을 최소화하고 수평 이동하지 못하게 합니다.

정상 사용자의 업무를 불편하게 하면 안 되기 때문에 패스워드리스 기술과 적응형 인증을 사용해 정상 사용자의 권한 내 활동은 별도의 인증 행위를 하지 않아도 인증이 지속될 수 있게 합니다. FIDO(Fast Identity Online, 바이오인증) 표준 기반의 생체인증 기술을 사용하면 편리하고 안전한 무자각 지속 인증이 가능합니다. 

디바이스

디바이스는 관리하기가 매우 까다로운 자산입니다. 아주 단순한 센서부터 대형 서버까지 다종다양한 기기가 사용됩니다. 회사가 소유하지 않은 파트너사의 기기, 계약직 직원의 기기, 임직원 개인 소유의 기기도 있습니다. 이런 기기는 회사의 보안 정책을 강제하기 어려우며, 일시적으로 예외 허용한 기기가 계속 네트워크에 연결돼 공격에 악용될 수 있습니다.

디바이스 보안 정책은 보호해야 할 기기를 식별하는 것부터 시작합니다. 그리고 정책에 따라 이 기기를 분류하고, 패치되지 않은 취약점은 즉시 패치합니다. 업무상 사용하는 범위 내에서는 접근권한이 정책이 제대로 적용됐는지 확인하고 통제하며, 기기가 침해당했는지 지속적으로 확인하면서 접속을 유지할지 판단합니다.

네트워크, 환경

네트워크는 이미 침해당했다고 가정하고 정책을 세워야 합니다. 마이크로세그멘테이션 기술을 이용해 워크로드 단위로 잘게 쪼개 공격자의 수평 이동을 차단하며, AI/ML을 이용해 복잡해지기 쉬운 보안 운영을 자동화합니다. 모든 통신을 암호화하고, 암호화 통신은 복호화 분석해 숨은 공격 시도를 확인합니다. 멀티·하이브리드 환경도 지원하는 네트워크 보안 기술을 사용하며, 자동화되고 지속적인 위협 탐지와 차단 기술을 사용합니다.

클라우드와 하이브리드 업무 환경에서는 중앙집중식 네트워크 보안 정책을 적용할 수 없습니다. 그래서 사용자와 가까운 엣지에서 네트워크와 보안을 통제하는 SASE(Secure Access Service Edge, 보안 접근 서비스 엣지)·SSE(Secure Service Edge, 보안 서비스 엣지)를 사용하는 것이 제안됩니다. SASE와 SSE는 사용자와 가까운 엣지에서 SWG(Standard Wire Guage, 표준 선 규격), CASB(Cloud Access Security Broker, 클라우드 접근 보안 중개 서비스), ZTNA(Zero Trust Network Access, 제로 트러스트 네트워크 접근), FDAs (Firewall As a Service, 서비스로서의 방화벽) 등의 기술을 통합 제공해 멀티·하이브리드 환경에서도 일관적인 보안 정책으로 인·아웃바운드 접근을 보호합니다.

애플리케이션 워크로드

애플리케이션 워크로드는 온프레미스와 클라우드 전반에서 애플리케이션에 안전하게 접속하고 업무 할 수 있는 기술을 포함합니다. VPN의 보안 취약점을 해결하거나 대체할 수 있는 ZTNA 기술을 이용해 사용자와 애플리케이션의 위치에 상관없이 보안이 유지될 수 있도록 합니다. 애플리케이션 접근은 워크로드 단위로 쪼개, 하나의 워크로드 침해가 전체 애플리케이션 침해로 이어지지 않도록 합니다.

워크로드 보호 기술과, 설정 오류·컴플라이언스 검사를 위한 형상 관리 기술도 필요합니다. 컨테이너, 서버리스 등 클라우드 네이티브 애플리케이션을 지원하는 보안 기술 역시 기본사항이 되었습니다. 클라우드 환경에서 애플리케이션 사용이 급증하자 애플리케이션 개발 전 단계에서 보안을 적용하게 되었습니다. 특히 애플리케이션 개발에 오픈소스가 사용되면서 오픈소스 취약점이 최대 과제가 되었습니다. 커뮤니티에서 인기 있는 코드라고 해서 무조건 믿고 사용해서는 안 되며, 애플리케이션 적용 전에 반드시 검증해야 합니다.

애플리케이션 운영 중에도 지속적으로 취약점을 관리할 수 있도록 소프트웨어 자재명세(SBOM)를 사용합니다. SBOM은 기업·기관이 사용하는 코드 목록과 취약점을 정리하고 관리하는 기술로, 전체 애플리케이션의 코드 사용 현황을 파악하고 변경 내역을 추적하며, 현재 존재하는 취약점과 새로 공개되는 취약점, 이의 영향을 받는 애플리케이션과 시스템을 가시화해 대응할 수 있게 합니다.

데이터

데이터는 기업이 보호해야 할 핵심 자산입니다. 포레스터의 제로 트러스트 모델에서도 데이터가 가장 중심에 있습니다. 제로 트러스트 원칙의 데이터 보호 정책은 보호해야 할 데이터를 식별하고 분류해 보안 수준에 맞게 정책을 정의해 적용합니다. 중요 데이터는 암호화하고 암호화 키는 안전하게 관리합니다. 특히 클라우드에 데이터를 이관할 때 가능한 한 암호화하며, 최소권한 원칙의 암호화 키 관리를 적용해야 합니다.

랜섬웨어나 장애·재해로 데이터가 파괴됐을 때를 대비해 반드시 안전한 백업 시스템을 운영하며, 정기적으로 백업 데이터를 복구해 보고 사고 시 즉시 백업데이터를 이용해 비즈니스 연속성을 지킬 수 있도록 해야 합니다.

제로 트러스트 - DX와 함께 진보하는 보안 모델

제로 트러스트 보안 전략을 수립하기 전에 반드시 점검해야 할 것이 있습니다. 사이버 위생(Cyber Hygiene)입니다. 질병에 걸리지 않기 위해 개인위생을 철저히 하고, 건강한 생활을 유지하며, 정기적으로 건강검진을 받는 것처럼, 사이버 환경도 평소 사이버 위생을 지켜야 합니다.

가장 먼저 보호해야 할 모든 자산을 식별해야 하는데, 이 자산에는 기기뿐만 아니라, 사람, 워크로드, 애플리케이션, OT (Operational Technology, 운영 기술) /CPS (Cyber physical systems, 사이버 물리 시스템) 등 모든 것이 포함됩니다. 이 자산에 취약점이 없는지, 패치와 최신 소프트웨어 업데이트가 유지되고 있는지, 필요한 보안 정책과 접근권한 정책이 제대로 적용됐는지, 노출된 공격표면은 없는지, 사용하지 않거나 사용 기간이 지난 애플리케이션이 없는지 확인하고 조치합니다.

데이터가 보안 정책에 따라 잘 보호되는지 확인하고 암호화와 키 관리 현황도 파악합니다. 백업과 복구 시스템이 잘 작동되고 있는지 정기적으로 점검하며, 백업·복구 계획서가 누구나 이해할 수 있도록 매뉴얼로 작성되어 있는지, 잘못 기재된 것은 없는지 확인합니다. 여기에는 사고 시 대응체계와 수행해야 할 업무, 담당 조직, 책임자가 분명하게 명시되어 있어야 합니다.

가장 중요한 것은 사람입니다. 아무리 잘 정리된 보안 정책이 있다고 해도 악의를 가진 내부자 한 사람에 의해 대규모 피해를 입을 수 있습니다. 임직원과 파트너, 고객들이 보안 습관을 잘 지킬 수 있도록 업무 프로세스를 정비하며, 기본 보안습관을 지닐 수 있도록 교육해야 합니다. 강력한 내부 통제 정책으로 인해 구성원이 불만을 갖지 않도록 정책 수립과 적용은 세심하게 해야 합니다.

제로 트러스트는 종착지가 있는 보안 모델이 아닙니다. 디지털 트랜스포메이션과 함께 진보하는 보안 원칙으로, 각 기업과 기관의 업무 환경, 조직 문화, 국가·산업별 컴플라이언스에 따라 최적의 모델을 찾아가야 합니다.

세줄 요약

1. 코로나19로 인한 원격재택근무로 제로 트러스트 보안 도입 본격화
2. 제로 트러스트 보안은 5가지 분야 아이덴티티, 디바이스, 네트워크환경, 애플리케이션 워크로드, 데이터 기술 필요
3. 제로 트러스트 시행 전 반드시 자산의 중요도 식별
   

김선애 기자 (데이터넷)

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 다우기술에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

Featured images via gettyimages.

References

1.   2022 Official Cybercrime Report, eSENTIRE, 2022.12.15.

2.   NIST Special Publication 800-207, Zero Trust Architecture, 2020.8.10.

3.   Zero Trust Maturity Model, CISA, 2021.7.