[데이터넷] 보안 경계가 사라지는 하이브리드 환경에서는 일관된 보안 정책을 구현하기 위해 ‘사람’을 중심에 두고 설계해야 한다. 그래서 제로 트러스트 보안은 절대 신뢰하지 않고, 항상 검증하며, 명시적으로 확인하고, 최소권한 원칙과 침해당했다는 가정을 전제로 한다.

그런데 이 원칙을 실제 업무 환경에 적용하는 것이 쉽지 않다. 포인트 보안 솔루션만으로 제로 트러스트를 이행할 수 없으며, 임직원의 보안 습관을 강화하는 것으로도 충분하지 않다. 제로 트러스트는 모든 환경이 위험하다는 것을 전제로 사용자와 업무 환경을 안전하게 만들 수 있는 정책을 만들고 이행해야 한다.

‘제 22회 차세대 보안 비전 2023’의 오전 마지막 세션을 장식한 소프트캠프의 강대원 본부장은 ‘경계없는 하이브리드 업무 환경의 제로 트러스트 보안 구현 방안’을 주제로 실제 업무 환경에서 구현할 수 있는 제로 트러스트 전략을 소개했다.

강대원 본부장은 “하이브리드 업무 환경이 정착되고, 다양한 SaaS 기반 협업 도구 사용과 IT 시스템의 클라우드 이전이 가속화되면서 기존의 경계기반 보안은 효용성을 잃게 됐다. 그 상황에서 보안위협은 더욱 높아지고 있는데다가 데이터에 대한 기업의 책임이 강조되고 있어 새로운 보안 전략이 시급해졌다”며 “국가 핵심기술, 방위산업 기술, 영업비밀, 개인정보 등 보호해야 할 데이터가 늘어나고 컴플라이언스가 강화되면서 제로 트러스트 기반 보안 접근이 필요하게 됐다”고 말했다.

유기적 결합된 보안 솔루션으로 사용자·업무 보호

소프트캠프는 제로 트러스트 보안을 위한 구현 방안으로 ▲침해를 가정한 마이크로 세그멘테이션 ▲상황에 따라 다양한 접근 정책을 운영하는 ‘조건부 접근(Conditional Access)’ ▲정보유출 피해를 원천적으로 해결하는 암호화 ▲외부위협의 격리 ▲외부에서 유입되는 정보를 필터링하고 재구성 ▲지속적인 관리로 가시성 확보 등을 제안하고 있으며 이 기술은 유기적으로 결합돼 지속적으로 사용자와 업무를 보호해야 한다.

제로 트러스트를 위해 가장 먼저 소개한 마이크로 세그멘테이션은 민감한 앱과 시스템, 설비, 매우 중요한 IT/OT, 상대적으로 덜 민감한 IoT 등 보안 수준에 따라, 성격에 따라 세분화하고, 중요한 시스템과 네트워크는 가능한 격리해 외부 위협이 침투하지 못하도록 한다.

세분화된 네트워크 접속은 조건부 접근 정책을 적용, 안전한 상황에서, 정상 권한을 가진 사람이나 기기가 접근하는 것을 허용하고, 그렇지 않은 경우 접속 환경의 위험도를 파악해 추가 인증이나 검증을 요구하거나 차단 혹은 보안조직, 담당자의 확인을 거치도록 한다.

데이터에 대해서도 조건부 정책을 적용해 중요한 데이터와 이동중 데이터는 암호화하고, 사용중인 데이터도 가능한 암호화로 보호한다. 암호화 키는 기업이 직접 관리해 클라우드 서비스 사업자에 암호화 데이터를 종속시키지 말고 데이터 주권을 가질 수 있어야 한다.

모든 웹에는 악성코드가 숨어있다고 가정하고 원격지의 격리된 브라우저에서 열어 악성코드 감염 위협을 원천 차단하며, 공격에 사용되기 쉬운 문서는 구조분석을 통해 공격에 사용될 수 있는 액티브 콘텐츠를 제거하고 원본과 동일한 비주얼 구성요소만 보여줘 문서에 은밀하게 숨은 악성코드 위협까지 차단한 안전한 업무 환경을 만든다. 모든 데이터는 지속적으로 식별, 분류해 보안 수준에 따른 보호 정책을 자동으로 적용하며, 정보 유통과 사용에 대한 가시성을 확보하고 추적, 모니터링한다.

그리고 외부에서 공급받은 소프트웨어의 취약점까지 점검해 제로 트러스트 원칙의 소프트웨어 활용이 가능하도록 한다.

강대원 본부장은 “몇 가지 기술이나 솔루션을 나열하는 것으로 제로 트러스트를 구현할 수 없다. 시스템은 이미 침해당했으며, 모든 환경은 위험하다는 것을 전제로, 지속적으로 검증하고 확인하는 보안 원칙이 필요하다”며 “네트워크와 시스템을 분할해 공격자의 수평이동을 막고, 조건부 접근으로 사용 편의성을 보장하면서 정상 사용자로 위장한 공격자를 제어하며, 데이터 암호화와 격리, 무해화를 통해 업무 환경의 안전을 보장해야 한다. 모든 단계는 유기적으로 연결되고 종합 분석과 모니터링으로 보안위협 관리가 가능해야 한다”고 말했다.

다양한 클라우드서 안전한 업무 환경 보장

소프트캠프는 ‘시큐리티365’ 브랜드에 통합되는 보안 솔루션을 통해 지속적인 검증과 모니터링이 가능한 제로 트러스트 보안이 가능하도록 한다. 원격 보안접속 시스템 ‘실드게이트(ShieldGate)’는 에이전트와 VPN 없이, 브라우저를 통해 어디에서나 안전하게 접속할 수 있게 한다. 마이크로세그멘테이션 환경에서도 조건부 접속 정책을 적용한 실드게이트를 이용하면 복잡한 방화벽 설정 변경 없이 공격자의 수평이동을 차단할 수 있다. 실드게이트는 기존 업무 시스템 환경이나 M365, 구글 워크스페이스 등 협업 솔루션, 재택·원격근무, 하이브리드 환경 모두에서 사용 가능하다.

고도의 DRM 전문성을 가진 소프트캠프는 클라우드 환경에서도 데이터 암호화 상태를 유지할 수 있는 ‘실DRM(ShielDRM)’과 ‘실드라이브(ShielDrive)’를 제공한다. 실DRM은 클라우드 DRM 솔루션이며, 실드라이브는 클라우드 스토리지 데이터를 암호화해 협업 중 데이터도 암호화가 유지도리 수 있도록 한다. 이외에도 안전한 데이터 공유가 가능한 ‘실드셰어(ShieldShre)’를 지원한다.

웹을 통한 악성코드 감염을 방지하는 RBI 솔루션 ‘실덱스 리모트 브라우저(Shieldex Remote Browser)’는 별도의 독립된 네트워크 혹은 클라우드에 쿠버네티스 컨테이너의 격리된 부라우저에서 웹을 연결해 위협이 사용자에게 영향을 미치지 못하도록 하며, 비주얼 스트림만 렌더링 해 보여줘 사용자 경험을 해치지 않는다.

콘텐츠 무해화(CDR) 솔루션 ‘실덱스(Shieldex)’는 비주얼 콘텐츠만 재구성해 제거되지 않은 액티브 콘텐츠를 통한 숨은 위협까지 차단할 수 있게 한다.

더불어 소프트캠프는 외부에서 공급받은 코드와 소프트웨어의 보안을 검증할 수 있는 ‘엑스스캔(EX-SCAN)’ 서비스도 제공해 제로 트러스트 원칙을 서드파티 코드까지 확장했다. 엑스스캔은 업데이트 파일, 패치파일, 혹은 외주 개발사에서 제공받은 코드의 구성요소를 분석해 악의적인 행위가 발생할 가능성이 있는지 확인하고 개발사에 소명을 요구한다. 필요 시 분석 전문가의 보고서를 제공하며, 이를 기반으로 코드·패치 적용 혹은 검토 여부를 판단, 소프트웨어 수요자 입장의 보안이 가능하도록 한다.

제로 트러스트·클라우드 보안 지원해 고객 비즈니스 혁신 도와

시큐리티365를 이용한 제로 트러스트 보안 구현 사례를 소개하면, 사내외 모든 사용자와 기기는 ID 인지 프록시를 이용해 사내외 업무 시스템과 클라우드에 접속하는데, 프록시에는 RBI와 CDR, 안전한 접속 기술이 적용된다. 조건부 접속 정책을 적용한 실드게이트와 데이터 수준과 성격에 따라 보호 기술이 적용되는 실드라이브를 통해 모든 환경, 모든 데이터를 보호할 수 있다.

강대원 본부장은 “제로 트러스트는 ‘지속적인 검증’이 필수이며, 필요한 보안 솔루션이 긴밀하게 연계되고 통제되며, 위협의 전반을 가시화할 수 있어야 한다”며 “소프트캠프는 제로 트러스트와 클라우드 보안을 위한 다양한 기술과 솔루션, 업계를 선도하는 성공사례를 소개해 고객의 비즈니스 혁신을 돕겠다”고 말했다.