[데이터넷] 제로 트러스트가 새로운 보안 모델로 주목받으면서, 특정한 기술이나 솔루션이 제로 트러스트라고 호도하는 경우가 있다. 제로 트러스트는 보안전략을 수립할 때 참고할 원칙이라고 보는게 타당하며, 여러 보안 기술을 이 원칙에 따라 배치하고 통합해 보안 전반을 개선하는 것이 중요하다. 제로 트러스트 이행을 위해 필요한 기술을 살펴본다.<편집자>

지금까지 사이버 보안 대응은 실패했다. 시그니처와 패턴, 시나리오 기반 보안의 문제를 해결하기 위해 AI 기술을 사용했으나 AI는 노이즈가 많고 정책을 정하기 어려우며 우회하기도 쉽다. 알려지지 않은 악성코드를 탐지하는 기술이 발달하자 공격자는 비실행형 파일로 탐지를 우회했으며, 탈취한 계정, 알려진 취약점을 이용해 공격했다.

APT 공격을 막기 위해 다단계 방어 전략을 채택, 공격이 진행되기 어렵게 만들었으나, 공격자들은 정상 사용자의 계정, 시스템의 정상 프로그램, 합법적으로 사용하는 침투테스트 도구를 이용해 다단계 방어 전략도 쉽게 빠져나갔다.

오히려 보안팀은 너무 많은 보안 장비를 운영하고, 그 장비에서 발생하는 이벤트에 대응하느라 경보피로를 겪어 실제 위협에 제대로 대응하지 못했다. 그래서 등장한 것이 ‘제로 트러스트’다. 사전에 승 인된 사용자·기기의 접근을 허락하는 기존 보안의 문제를 해결하기 위해 등장했으며, 모든 접근을 세밀하게 검증하고, 지속적으로 모니터링해 보안을 우회하는 공격을 제어하고 의심행위를 분석한다는 내용을 담았다.

제로 트러스트는 코로나19를 계기로 주목을 받았다. 재택·원격근무와 클라우드가 확산되면서 물리적 보안 경계가 사라졌으며, 이 새로운 상황을 위한 보안 전략으로, 모든 것을 검증하고 모니터링하는 제로 트러스트가 주목을 받게 된 것이다.

옥타 조사에 따르면 아시아 태평양 지역 기업의 제로 트러스트 정책 도입 기업이 50%에 이르며, 96%가 제로 트러스트 보안 정책을 적용하고 있거나 계획하고 있다고 답했고, 82%가 제로 트러스트 보안 투자를 늘 렸다고 답했다. 그리고 시스코 조사에 따르면 제로 트러스트 모델을 도입한 회사는 그렇지 않은 회사보다 보안탄력성 점수가 30% 향상됐다.

우리나라에서도 제로 트러스트는 ‘핫이슈’다. 한국 인터넷진흥원(KISA)은 사이버보안 패러다임 전환연구반의 제로 트러스트 분과를 정책포럼으로 확대하고, 전 세계 주요 국가와 기관에서 발표하는 제로 트러스트 아키텍처 기준과 정책, 도입사례를 분석하며 우리나라 상황에 맞는 기술을 연구·개발하고, 가이드 라인을 발간하며, 정책을 제안할 계획이다.

새로운 환경 위한 보안 전략으로 자리매김

제로 트러스트가 유행하자 많은 보안 솔루션이 ‘제로 트러스트 기술’이라고 포장하고 있다. 그래서 제로 트러스트에 대해 ‘이전과 다를 바 없는 마케팅 용어’라고 의미를 축소하는 주장도 있다.

제로 트러스트는 특정 기술이나 정책, 전략이라기 보다 ‘원칙’이라고 하는 것이 적합하다. 사전에 정의된 ‘신뢰’를 제거하고 모든 것을 새롭게 의심하고 지켜본다는 원칙하에 새로운 보안 전략을 수립한다는 것이 제로 트러스트이기 때문이다.

제로 트러스트는 많은 오해가 있다. 제로 트러스트 원칙의 접근 기술 중 하나인 ZTNA만을 강조하거나 인증에만 집중하는 경우, 내부자에 의한 위반을 외면하거나 내부자를 모두 다 의심하는 것을 전제로 해 내부통제를 지나치게 강화하는 경우 모두 제로 트러스트에 대한 잘못된 접근이다. 특정 기술에만 매몰되거나 지나치게 까다로운 보안 정책으로 직원의 업무 생산성을 떨어뜨리기 때문이다.

제로 트러스트 원칙 기반 보안 정책은 먼저 사이버 위생(Cyber Hygiene)을 위해 자산 식별과 취약점 제거, 백업·복구 준비를 시행한다. 그리고 보호해야 할 자산은 외부에서 직접 접근하지 못하도록 숨겨 보호하고, 최소 권한 원칙에 따라 한 번의 인증으로 접근할 수 있는 범위와 횟수, 기간을 제한한다.

사용자와 하나의 워크로드만을 연결해 한 번의 인증으로 다른 워크로드까지 침해당하지 못하도록 마이크로 세그멘테이션을 구현하며, 서드파티 연결에 대해서도 같은 원칙을 적용한다. 침해를 당했을 때 핵심 자산을 보호하기 위해 데이터는 암호화하고, 사용자와 업무를 보호할 수 있도록 무해화와 격리 기술을 적절히 활용한다.

사이버 위생으로 제로 트러스트 준비

제로 트러스트를 시작하기에 앞서 사이버 위생을 이행해야 한다. 전염병 방지를 위해 개인 위생을 철저히 하는 것과 마찬가지로 공격당할 수 있는 취약점을 제거하고 공격 후에도 비즈니스 영향 없이 빠르게 복구 할 수 있도록 해야 한다.

지란지교시큐리티는 사이버 위생을 위한 기본적인 이행 방안으로 ▲컴퓨터에 최신 OS 업데이트 설치, 자동 업데이트 설정 ▲필수 백신 설치, 주기적인 패턴 업데이트 ▲스팸으로 의심되는 메일은 읽지 않고 바로 삭제 ▲웹에서 불명확한 링크는 실행 시 주의 ▲업무용 파일 주기적 백업 등이 필요하다고 설명했다.

사이버 위생은 자산을 식별하는 것이 첫 번째 단계라고 할 수 있다. 우선 다양한 엔드포인트 기기기에 대한 식별이 이뤄져야 한다. 윈도우, MAC, 리눅스 및 BYOD까지 업무에 사용하는 모든 엔드포인트 기기를 파악하고 설정오류를 제거하며, 업데이트를 최신 상태 로 유지하고 패치관리를 통해 취약점을 없앤다.

통합 엔드포인트 관리(UEM) 솔루션이 이 역할을 하며, IBM, 마이크로소프트 등이 솔루션을 제공한다. 태니엄은 XEM이라는 개념을 적용, 시스템, 가상머신 등으로 엔드포인트 개념을 확장시켰다. 태니엄은 1분 내에 전 세계에 배포된 수십만의 자산을 식별하고 보안 취약점을 찾아 제거할 수 있게 한다. 쉽게 사용할 수 있는 위협 헌팅으로 진행 중인 공격까지 빠르게 차단할 수 있게 한다. 태니엄은 로그4j 취약점이 공개됐을 때 연결된 자산에서 즉시 취약점 영향받는 파일을 찾아 해결할 수 있도록 해 XEM의 효과를 실제로 체험할 수 있게 했다.

자산 식별·노출된 취약점 관리 먼저 시행해야

기업이 관리해야 할 자산은 PC, 서버뿐만 아니라 애플리케이션, DB와 데이터, 가상머신과 컨테이너, 나아가 사무자동화 기기와 스마트 빌딩의 공조시스템, 재택근무자가 사용하는 BYOD 기기까지 포함된다.

비즈니스를 위해 연결되는 다종다양한 자산의 현황을 파악하는 사이버 자산 공격표면 관리(CAASM)는 기업에 이미 배포된 수백 가지 소스의 데이터를 기반으로 모든 자산에 대한 최신 상태의 인벤토리를 확보하며, 자동으로 정책을 적용해 공격표면을 제거할 수 있게 한다.

CAASM 시장의 선도주자인 엑소니어스는 사이버 자산관리(CAM)와 SaaS 관리 솔루션을 제공한다. CAM은 에이전트나 네트워크 스캐닝, 트래픽 스니핑 없이 모든 자산 현황을 파악하고, 취약성을 발견하며, 보안 제어 커버리지를 극대화한다. SaaS 관리는 SaaS 앱과 기기의 상관관관계 분석과 SaaS 행위분석으로 SaaS에 대한 의심스러운 활동을 분석해 문제를 해결 할 수 있도록 도와준다.

CAASM은 공격표면관리(ASM)와 혼돈하기 쉬운데, CAASM은 기업 내부 관점에서 연결된 자산을 파악하고 관리하는 솔루션이라면, ASM은 외부에서 공격자가 침투할 수 있는 취약점이나 구성오류를 찾는 솔루션이다.

ASM은 비교적 도입하기 쉽고 사용이 용이해 많은 기업들이 선택하고 있으며, 이 분야의 전문 솔루션을 인수하면서 시장에 뛰어든 글로벌 기업도 늘어고 있다.

가트너는 취약점 패치가 적용되지 않은 공격표면이 증가하기 때문에 기업의 보안 정책이 위협관리에서 노출관리로 확장될 것이라고 예상했다. 가트너는 패치가 적용되지 않은 공격표면이 기업 전체 노출된 표면의 10%에 이르는데 2026년 50%를 넘어설 것이라고 예측했다. 액세스를 지속적으로 관리하지 못하면 2027년까지 공격 가능성이 3배로 증가할 것이라고 밝혔다.

이러한 이유로 ASM이 유행하고 있는데, IBM은 공격자 관점에서 취약점, 섀도우 IT, 미식별 자산을 파악하고 해커의 공격 수법과 패턴에 따라 기업의 취약한 경로를 파악하는 일을 수행해야 한다고 조언했다.