[데이터넷] 제로 트러스트가 사이버 팬데믹 시대에 가장 효과적 인 보안 철학으로 인정받고 있다. 원격·재택근무가 실시되면서 기업의 보호되는 네트워크 안에서 업무하던 환경과는 다른 보안 접근이 필요했기 때문이다.

제로 트러스트는 ‘신뢰하지 않고 검증한다’는 원칙을 갖고 있다. 기존 환경에서는 네트워크 내 시스템은 안전하다 믿고 권한을 부여받은 사용자의 접근을 제한하지 않았다. 그러나 제로 트러스트는 권한 사용자라 해도 신뢰해서는 안 되며 접속 요청마다, 접근하려는 애플리케이션마다 검증하고 행위를 모니터링 한다.

제로 트러스트의 정의나 구체적인 구현 방법은 다양하지만, 보호해야 하는 애플리케이션과 시스템은 외부에 노출되지 않고 검색되지 않도록 안전하게 보호하며, 접속하려는 사용자·단말을 인증하고, 인증된 사용자·기기만, 인가된 애플리케이션·시스템 하나에만 접속하도록 하는 것을 기본 원칙으로 한다. 다른 애플리케이션이나 시스템에 접속하려면 다시 인증을 받도록 해 정상 사용자로 위장한 공격자가 인증 시스템을 우회해 하나의 애플리케이션 접속에 성공했다 해도 다른 애플리케이션으로 이동하지 못하도록 한다.

제로 트러스트 원칙에 ‘침해당했다는 가정’을 추가해 사용자의 모든 행위를 모니터링하고 정상 사용자의 행위라도 평소와 다른지, 침해로 의심되는 정황이 있는지 지속적으로 확인하는 것도 필요하다.

이를 두고 ‘직원 불신을 조장한다’는 비판도 나오지만, 사실은 직원을 보호하기 위한 조치라고 할 수 있다. 사용자는 분명히 일상적인 업무를 하고 있었는데 백그라운드에서 악의적인 행위가 발생했다면, 이는 사용자가 악의를 갖고 불법적인 행위를 했다기 보다 공격자가 침투해 그사용자의 권한으로 침해행위를 했다는 증거로 인정받을 수 있기 때문이다.

엔씨소프트가 마이크로소프트 제품을 중심으로 제로 트러스트를 도입한 결과, IT 중복투자가 45% 절감되고, 직원 만족도 관련 95%가 긍정적으로 평가했다. 제로 트러스트를 위해 IT 인프라를 모두 바꿔야하는 대규모 프로젝트를 해야 하는 것도 아니고, 직원을 믿지 못해서 도입하는 것도 아니라는 사실이 증명된 것이다.

제로 트러스트 시작, 아이덴티티

제로 트러스트의 시작은 아이덴티티다. 사용자와 기기를 먼저 검증한 후 정상 계정과 정상 권한을 가진 사람·기기의 접근인지 확인해야 한다. 이를 위해 사용자·기기에 대한 인증 절차가 필요한데, ID/PW 외에 다른 인증방식을 추가하거나 대체하는 것이 필요하다. 패스워드 없는 인증으로 훨씬 더 편리하고 안전한 인증을 수행할 수 있다. 이때 적응형 인증 시스템을 사용하고 사용자 행위분석 기술을 더해 인증 프로세스를 우회하는 공격자를 차단해야 한다.

RSA의 ‘시큐어ID’는 OTP와 MFA를 통해 사용자 인증을 강화한다. RSA는 OTP 알고리즘을 최초로 개발해 공개한 전문기업으로, 전 세계 OTP 시장 부동의 1위다. RSA MFA는 가장 안전한 모바일 앱 기반 MFA를 제공해 사용 편의성과 보안성을 모두 만족한다.

생체인증, 푸시 인증 등 다양한 인증 방식을 지원하는 시큐어ID는 쉽게 구축·운영할 수 있으며, 시스템·서비스 제약 없이 구축 가능하고, 온프레미스와 클라우드를 모두 지원한다. SIEM·UEBA·SOAR 등 다양한 시스템과 연동해 적응형 인증 정책을 구현하고 이상행위를 효과적으로 찾아낼 수있다.

아이덴티티 관리를 위한 솔루션으로 계정관리(IM), 접근관리(AM), 싱글사인온(SSO) 등이 있으며, 마이크로소프트, 옥타, 사이버아크, 비욘드트러스트, 퀘스트소프트웨어 등이 이 시장에서 경쟁하고 있다.

제로 트러스트 기반 안전한 원격접속 지원

사이버아크, 비욘드트러스트, 퀘스트소프트웨어는 대표적인 특권권한관리(PAM) 기업으로, 특권권한을 가진 모든 계정에 대한 접근제어를 제공한다. 이들은 VPN이나 단말 에이전트 없이 브라우저 플러그인만으로 애플리케이션에 접속할 수 있는 원격접속 서비스를 제공하는데, 단말의 제약이 없기 때문에 직원 개인 소유의 PC를 이용해 사내 애플리케이션에 접속해도 안전한 통제가 가능하다.

애플리케이션 접속 시 최소권한 원칙을 적용해 권한내에서, 일정 시간만, 인가된 애플리케이션에만 접속할 수 있도록 한다. 접속 후 사용자 행위를 모니터링하고 기록해 이상행위를 탐지하고, 사고 시 증거로 활용 할 수 있게 한다.

브라우저 기반 원격접속 방식은 많은 기업들이 제공하고 있는 원격근무 방식으로, 국내에도 이미 많은 솔루션이 소개되고 있다. 가장 대표적인 기업이 구글 비욘드코프이며, 포스포인트, 아카마이, 체크포인트 등 여러 기업들이 이 방식의 재택근무를 지원한다.

다만 이 방식은 VPN을 사용하지 않기 때문에 국내 공공·금융기관 도입에 제약이 있다. 국내 보안 기업들은 소프트웨어 정의 경계(SDP) 솔루션으로 에이전트 기반 방식을 제안하는데, 이는 VPN을 사용해 원격접속하도록 해 국내 컴플라이언스를 만족한다.

SDP는 사용자 인증을 위한 제어 채널과 업무를 위한 데이터 채널을 분리해 제어 채널을 통해 사용자를 인증한 후 데이터 채널을 통해 업무를 하도록 한다. 클라우드 보안 연합(CSA)에서 제안한 아키텍처는 데이터 채널은 VPN과 같은 안전한 암호화 통신을 사용하도록하고 있으며, 기존에 사용하던 VPN을 활용할 수 있어 국내 컴플라이언스도 만족할 수 있다.

국내에서 엠엘소프트, 프라이빗테크놀로지 등이 시장에서 경쟁하고 있으며, 지니언스도 SDP 솔루션 개발을 완료하고 출시 시기를 조절하고 있다.

SDP는 재택·원격근무나 스마트팩토리·스마트시티 등 외부 원격지 중앙관리가 필요한 환경에 제약없이 도입될 수 있다.

무해화로 제로 트러스트 구현

제로 트러스트를 재택·원격근무를 위한 접근의 관점에서만 보는 것은 매우 협소하다. 포레스터가 제안한 제로 트러스트 개념은 지속적인 인증과 모니터링, 데이터 보호를 모두 아우른다. 관리해야 하는 데이터를 식별·분류하고 가시화하며, 적절한 정책에 따라 암호화, 접근제어 등으로 보호해야 한다. 저장·이동 중 데이터는 물론이고 사용 중인 데이터, 특히 클라우드 협업 환경에서 여러 사람이 공동으로 작업하는 환경에서도 지속적으로 보호돼야 한다.

소프트캠프의 ‘실드라이브’는 마이크로소프트 팀즈 등 협업 환경에서도 문서가 암호화된 상태를 유지하도록 해 사용 중 데이터의 유출로 인한 위협을 제거한다. 클라우드의 저장·사용·이동 중 데이터를 DRM으로 암호화 보호하는 ‘실DRM’도 데이터에 대한 제로 트러스트 접근법을 이용한 것이다.

소프트캠프는 이외에 외부파일에 대한 무해화(CDR), 변화관리, 웹 격리 등의 기술로 이메일, 문서, 웹에 대한 제로 트러스트 접근도 지원한다. 외부유입 문서에서 공격에 사용될 수 있는 실행가능 요소를 제거하며, 패치 등 외부 파일을 이전 버전과 비교해 공격에 악용될 수 있는 코드 수정 등이 있는지 확인하고 안전한 파일만 적용하도록 한다. 웹 격리 기술을 이용해 사용자가 방문하려는 웹 페이지를 가상환경에서 열어보도록 해 웹에 숨은 악성링크로 인한 위협을 제거한다.

시큐레터는 문서 등 비실행형 파일의 악성코드를 리버스 엔지니어링으로 분석함으로써 제로 트러스트기반 업무환경을 완성할 수 있도록 한다.

정교한 사회공학기법을 이용해 악성메일·악성 웹 및 게시판 등에 악성문서를 올리고 이를 내려받도록 하면 직원은 속을 수밖에 없다. 직원은 보안 우려 없이 정상적으로 업무를 하되, 악성문서는 시큐레터가 선제적으로 차단하기 때문에 안전한 업무가 가능하다. 시큐레터는 자체개발한 CDR을 결합해 더 안전하게 업무할 수 있게 한다.

웹 격리는 웹에 대한 무해화를 통해 제로 트러스트 원칙을 수용한다. 멘로시큐리티, 맥아피, 브로드컴 등이 이 기술을 제공한다. 사용자 경험 저해 없이 격리된 브라우저에서 페이지를 열어봄으로써 웹에 대한 안전성을 검증할 수 있다.

이 기업을 포함한 글로벌 보안 기업들은 거의 대부분 자사의 모든 보안기능을 통합하고 ZTNA까지 접목한 SASE 플랫폼을 만들었으며, 써드파티 기술 기업과 네트워크 기업의 솔루션을 연동해 네트워크와 보안에 대한 통합 접근이 가능하도록 한다.

SASE는 사용자와 가까운 엣지에서 모든 보안 정책을 적용할 수 있기 때문에 분산·재택근무 환경에 특히 도움이 된다. 지스케일러, 팔로알토 네트웍스, 포티넷, 모니터랩 등 많은 기업들이 SASE 플랫폼을 제공한다.