지속적인 검증·모니터링으로 확대된 보안 경계 보호
[데이터넷] 임인년(壬寅年)은 물을 머금고 피어나는 새싹처럼 무언가를 시작하기 좋은 기운을 가진 해라고 한다. 그런데 사이버 세상은 긍정적인 신호만을 보여주지 않는다. 지난해 사이버 범죄 비용이 6조달러(약 7경)을 초과할 것으로 예상되며, 올해는 이보다 훨씬 더 성장할 것으로 보인다. 예측하면 대응할 수 있다. 올해 주목해야 할 보안 키워드를 정리해 본다.<편집자>
‘제로 트러스트’는 코로나19 시기에 가장 주목을 받은 보안 키워드가 됐다. 재택근무가 활성화되면서 기업 내부 보호된 네트워크에서 수행하던 업무가 임직원의 집으로 옮겨졌으며, 네트워크 경계 기반 보안 정책이 사용자를 경계로 한 보안 정책으로 바뀌게 됐다. 그래서 모든 것을 검증하고 모니터링하는 제로 트러스트 원칙이 주목받는다.
제로 트러스트를 ‘원칙’이라고 하는 이유는, 특정한 보안 전략이나 아키텍처, 프레임워크가 아니기 때문이다. 데이터를 중심으로 사용자, 기기, 워크로드, 네트워크, 클라우드 전반을 검증하고 UEBA를 적용한 모니터링을 진행하며, XDR·SOAR를 이용해 통합되고 자동화된 보안관제를 하는 것이 제로 트러스트에 필요한 기술이다. 그러나 이 기술이 제로 트러스트의 전부는 아니며, 비즈니스 전체에서 검증하고 모니터링하는 원칙을 지속하는 것이 가장 핵심이다.
직원 신뢰 위해 제로 트러스트 접근해야
제로 트러스트 원칙을 세울 때 ‘모든 것을 믿지 말라’고 전제하는 것은 바람직하지 못하다. 특히 직원들이 이 원칙과 마주할 때 부정적인 인식을 갖게 된다면 거부감을 갖게 되기 때문에 제로 트러스트 원칙을 이행하는데 어려움을 겪을 수 밖에 없다.
제로 트러스트는 ‘믿지 않는 것’을 전제로 한다기보다, 믿을 수 있는 직원과 기기, 행위만을 허용한다고 표현하는 것이 바람직하다.
사용자 본인이, 감염되지 않은 기기를 이용해 주어진 업무를 수행하기 위한 애플리케이션에 접속해 권한 내 행위를 하는 것은 당연히 허용한다. 이 업무를 수행하는 과정에서 사용자는 불편함이나 장애가 없어야 하며, 정상적인 협업 과정도 원활하게 진행되어야 한다.
그러나 평소와 다른 접속 환경과 행위가 나타나거나, 동료들과 다른 행위를 보이거나, 권한 외 애플리케이션·시스템 접속 시도, 혹은 권한 내 행위라 해도 평소와 다른 오남용이 의심되는 상황, 허가되지 않은 외부와의 통신 시도 등을 보일 경우 접속을 중단하고 확인한다.
특별한 업무를 수행하기 위해 본인이 평소와 다른 행위를 한다면 해당 부서에서 정책 변경을 요청했거나 변경했을 것이며, 만일 미리 조치되지 않았다면 해당 부서 책임자의 결재 후 정책이 변경될 것이다.
허가된 행위가 아니라면 그 직원의 단말이 감염됐거나 계정이 탈취돼 공격에 이용되는 상황일 수 있으므로 조사가 필요하다. 공격자의 행위가 실제 피해로 이어지기 전 차단할 수 있어 선제적인 방어가 가능하다.
이상행위를 미리 탐지하고 조사하지 않아 공격을 당했다면, 사고 후 조사에서 직원이 직접 공격행위에 가담했는지, 그 사람이 침해를 당해 자신도 모르게 공격에 가담하고 있는지 밝혀내야 한다. 그런데 공격자들은 공격 흔적을 지우거나 증거를 조작하기 때문에 직원에게 불리한 조사 결과가 나올 수 있다.
즉 지속적인 검증과 모니터링으로 직원 본인의 정상적인 행위라는 사실을 기록에 남겨둠으로써 직원을 보호하는 것이 제로 트러스트 보안 원칙이라는 점을 강조하는 것이 필요하다.
보안 조직 업무 증가하지 않도록 자동화 필수
제로 트러스트 원칙을 수행하기 위해서는 여러 보안 기술이 반드시 수반되어야 한다. 우선 사용자와 기기를 인증하기 위한 다중인증(MFA)이 마련되어야 하고, 하이브리드 업무 환경에 맞는 계정·권한관리가 필요하다. AI를 접목한 UEBA와 SIEM, XDR, SOAR로 모니터링과 보안 관제를 진행한다.
원격접속 보안을 위한 ZTNA와 분산환경 보안을 위한 시큐리티 서비스 엣지(SSE)도 검토하는 것이 좋다. 마이크로세그멘테이션을 적용해 공격자가 초기 침투에 성공했다 해도 수평이동은 차단 할 수 있게 한다.
침해당했다 해도 데이터를 안전하게 보호할 수 있도록 데이터 수명주기 전반에 대한 강력한 보안을 적용한다. 시스템과 데이터는 안전하게 백업해 침해 후 즉시 복구할 수 있게 하고, 몸값을 요구하는 공격자의 협박이 소용없도록 만든다.
기업이 운영하는 시스템과 클라우드의 내외부 취약점을 상시 점검해 공격 가능성을 낮추고, 모든 서비스는 설계 단계부터 보안을 적용하는 보안 내재화를 이룬다.
이 모든 과정은 자동화 해 임직원과 보안조직의 업무가 증가하거나 불편하게 하지 않도록 하는 것도 필수다.
