[데이터넷] 인터넷 초창기, 당시 네트워크 인프라는 간단했고, 비교적 보안 위협 단순하거나 교묘하지 않았다. 이 때 보안 정책은 조직 내부를 신뢰할 만한 곳으로, 조직의 외부는 신뢰할 수 없는 공간으로 구분했다. 내부 조직의 리소스를 해킹 등 각종 공격 위협으로부터 지켜내기 위해 암호화, 백신, 방화벽 등 ‘경계형 보안(Perimeter Security)’으로 설계됐다.

경계형 보안 정책에 의해, 위험한 인터넷으로부터 기업이나 조직의 내부 네트워크를 차단하는 것에는 일단 성공했지만, 교묘해지고 복잡해지며 첨단화 되는 각종 사이버 공격의 위협으로, 가상사설네트워크(VPN), 침입탐지시스템(IDS), EDR(Endpoint Detection & Response), SOAR(Security Orchestration, Automation and Response) 등 많은 방어 설비를 계속해서 투입해야 하는 심층 방어(Defense in Depth Security) 개념으로까지 이르고 있다.

경계형 보안, DX 지연시켜

경계형 보안 대책을 갖춰도 완벽하게 위협을 방어하는 것이 어렵다. 코로나19로 인하여 일상화된 원격근무 등 일하는 방식 변화, 정부·공공기관, 기업 등의 민간 클라우드의 이용 보편화, 디지털 정부에 의한 민관 협력 등이 현실화되고 있어 어려움이 가중된다. 경계의 내부에서 보호된 사용자, 데이터, 디바이스, 서버 등이 경계의 외부에서 사용되고 있는 환경에서는 보안 경계의 안과 밖을 나누어 보호하는 정책은 유효하지 않다.

경계형 보안 정책은 생산성 향상을 위한 5G, IoT, 멀티 디바이스 도입, 조직 경쟁력 강화를 위한 디지털 트랜스포메이션의 지연 요소로 작용하며, 끊임없이 비용 부담을 요구한다. 또한경계형 보안은 최근 환경에서 나타나는 새로운 위협에 대응하지 못하며, 또 다른 보안 리스크로 작용한다.

클라우드 활용에 의한 데이터의 분산이나, 원격 오피스나 모바일 등 조직에 있어서 네트워크는 점점 복잡하며 광범위하게 확대되고 있어, 조직의 네트워크를 경계 시큐리티 개념으로 방어하는 것이 어려운 시대가 되고 말았다.

이러한 현실적인 과제를 고려해 등장한 사이버 시큐리티 모델이 ‘제로 트러스트(Zero Trust)’다. 이는 2010년 포레스터 리서치 수석연구원인 존 킨더버그(John Kindervag)가 제안했으며, 이후 꾸준히 여러 기업·기관에 도입됐다. 클라우드·디지털 트랜스포메이션이 보안의 화두로 주목되면서 2020년 RSA 컨퍼런스에서도 뜨거운 관심을 받았다. 코로나19로 인한 원격·재택근무 환경의 보안 과제를 해결할 수 있는 방법으로 주목되면서 제로 트러스트 이행 속도는 가속화될 것으로 예상되고 있다.

디지털 정부, 제로 트러스트 도입해야

미국 국방부도 이러한 과제 해결을 위해 ‘블랙 코어(BCORE)’라는 사이버 시큐리티 개념을 연구해 왔다. 미국 연방 정부기관도 제로 트러스트 개념에 근거한 사이버 시큐리티 정책 수립과 이행을 촉구해 왔다. 미국 국립표준기술연구소(NIST)은 미국의 새로운 사이버 시큐리티 전략의 일환으로, 그리고 미국 국방부 네트워크(DoD network)를 비롯한 정부 정보 시스템에 대한 적용을 위해 SP 800-207 제로 트러스트 아키텍처를 공개한 바 있다.

일본 정부도 경계형 시큐리티의 한계를 인식하고, 사이버 시큐리티 대책을 강화하기 위해 ‘일본 정부 정보 시스템에 있어서 제로 트러스트 적용을 위한 사고 방식’이라는 시큐리티 대책의 개념 도입을 발표했다.

우리나라에서 클라우드 도입이 확대되고 코로나19 이후에도 원격·재택근무가 지속 또는 확대될 것으로 예상된다. 정부는 디지털 정부를 위해 민관협력 활동을 전개하면서 다양한 보안 정책을 고민하고 있다. 기존 경계형 보안은 한계가 있다는 것을 인식하고, 제로 트러스트라는 새로운 사이버 시큐리티 개념을 도입해야 한다. 시큐리티 정책 수립은 물론이고 시큐리티 대응에 적극적으로 도입 검토할 때다.

김선애 기자 다른기사 보기