[데이터넷] 제로 트러스트가 보안의 ‘최종 목표’인 것처럼 여겨지면서 시장이 일대 혼란이 일어나고 있다. ‘제로 트러스트 솔루션’이 경쟁적으로 출시되면서 ‘제로 트러스트 시장’이 형성되고 있다고 주장하고 있다. 모든 보안 사업에 ‘제로 트러스트’가 포함되면서 이 사업에서 경쟁 우위를 갖고자 하는 업계 관계자들이 여러 단체와 모임을 만들고 있다.

이러한 혼란으로 인해 제로 트러스트에 대한 오해도 쌓이고 있다. 제로 트러스트는 하이브리드 환경을 보호하는데 적합한 보안 접근법 중 하나이지, ’보안의 정답’은 아니다. 제로 트러스트는 특정한 기술이 아니므로 ‘제로 트러스트 솔루션’은 없으며, 모든 종류의 위협과 비즈니스 환경에 제로 트러스트가 적합한 것도 아니다.

제로 트러스트는 ‘지속적인 검증과 모니터링’을 원칙으로 하는 보안 접근법으로, 보호해야 할 애플리케이션과 데이터에 대한 접근과 행위를 분석해 불법 행위나 권한 내의 이상행위를 차단할 수 있도록 한다. 최소권한 원칙에 따라 접근 가능한 범위와 시간, 행위를 제한해 공격자가 한 번 침투에 성공했다 해서 침해사고로 확산되지 못하도록 한다.

한국마이크로소프트에서 보안 비즈니스를 총괄하는 박상준 팀장은 “기업 내에 보안을 적용한 기존 성벽 모델(Castle Model)은 ‘외부’ 침입을 막는데 중심을 두었다. 분산된 업무 환경은 ‘내부’라는 물리적 경계가 없기 때문에 새로운 보안 모델이 필요하다”며 “분산 업무 환경을 위한 제로 트러스트는 디바이스, 앱, 사람에 대한 각각에 대한 보호 정책이 필요하며, 특히 접속하는 관문은 물론이고, 접속 이후에도 지속적으로 검증하는 프로세스가 필수”라고 설명했다.

경계기반 보안 체계 보완하는 제로 트러스트

잘 알려진 것처럼 제로 트러스트는 포레스터가 2010년 처음 제안했다. 이후 여러 국가의 정부와 기관·기업에서 제로 트러스트에 관심을 가졌지만, 대부분 검토 단계에 그쳤다. 제로 트러스트 이행을 위해서는 기존 인프라와 업무 환경의 대대적인 변화가 필요했기 때문이다. 그런데 코로나19로 인해 많은 기업·기관이 재택·원격근무를 실시하고 있어 분산된 환경을 위한 새로운 보안이 필요해지면서 제로 트러스트에 대한 관심이 급격하게 높아졌다.

2020년 말 미국 안보·정보기관까지 공격당한 솔라윈즈 공급망 해킹 사고 후 미국 바이든 행정부가 2021년 미국 정부의 사이버 보안 행정명령을 발표하고 제로 트러스트 원칙을 의무화했다. 그러면서 제로 트러스트가 전 세계 보안 시장의 패러다임을 완전히 바꾸게 됐다.

제로 트러스트는 특별한 기술이나 프레임워크가 아니기 때문에 구체적으로 무엇을 어떻게 해야하는지 정리된 것이 없으며, 업계 표준을 마련할 수 있는 것은 아니다. 현재 가장 권위를 인정받는 제로 트러스트 참고 모델은 미국 국립표준원(NIST)의 ‘NIST SP 800-207’이다. ▲서버, 데이터베이스 등 다양한 컴퓨팅 자원에 대한 지속적인 접근 요구에 최소한의 권한을 부여 ▲동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하고, 기존 경계 기반 보안체계를 보완할 수 있는 기술을 적용해야 한다는 내용을 담고 있다.

증가하는 ID로 제로 트러스트 요구 높아

현재 기업·기관에서 적용하는 사용자 인증과 접근통제 프로세스는 제로 트러스트를 시작할 수 있는 기반은 마련하고 있다고 볼 수 있다. 이미 기업·기관은 ID/PW를 이용해 임직원과 고객이 업무·서비스에 접근하도록 하고 있다. 중요 서비스 접근 시 추가인증을 요구하며, 모든 행위는 로그로 기록되고, 이상행위는 모니터링 시스템으로 차단된다.

그런데 클라우드와 하이브리드 업무 환경으로 전환되면서 기존의 ID 관리·접근제어와 모니터링 시스템에 대대적인 변화가 필요하게 됐다. 사용자들은 회사에서 지급한 기기뿐 아니라 개인소유 혹은 가족·지인 소유의 기기를 이용해서도 업무에 접근한다. 평소 접속하던 사무실 뿐 아니라 집, 카페, 공항, 기차, 원격지 사무소, 호텔, 심지어 이동 중에도 접근한다.

SaaS 애플리케이션 사용이 늘어나면서 접근통제는 더 어려워졌다. 클라우드에 익숙하지 않은 기업도 10개 이상 SaaS 애플리케이션을 사용하고 있으며, 엔터프라이즈는 200개 이상 SaaS를 사용한다. SaaS마다 사내 애플리케이션과 같은 조건으로 접근권한을 설정해야 하는데, 입·퇴사, 휴직, 인사이동, 특정 프로젝트 배정 등의 변경을 자동으로 반영해야 한다.

비즈니스 복잡성이 높아지면서 파트너, 외주직원과의 협업이 많아져 접근통제의 복잡성이 가중된다. 다른 조직에 속한 사람의 접근을 강제해야 하며, 정책을 위반했을 때 책임소재를 묻는 것도 쉽지 않은 일이 됐다. 대 고객 서비스가 늘어나면서 고객의 계정과 접근통제 문제도 해결해야 하는 과제가 되고 있으며, 각종 디지털 서비스와 앱, IoT 기기에 대한 계정·접근통제도 난제로 등장했다.

그래서 가트너는 ID 관리 전략 수립 시 ▲개방형 통합 플랫폼으로 유연하게 적용 ▲한 번에 모든 것을 끝내기보다 단계별로 진행 ▲기업 문화와 향후 계획에 맞춰 조정 ▲B2B/B2C 기능 지원 및 사용자 경험/고객경험(UX/CX) 고려 ▲포괄적인 평가 기준 마련과 위임된 관리, 동의 위임, 강력한 고객 인증 등을 고려해야 한다고 조언했다.

하이브리드 워크 위한 ID관리 제공

박상준 한국마이크로소프트 팀장은 “마이크로소프트 조사에 따르면 기업은 평균 45개의 보안도구와 9개의 ID·접근제어 솔루션을 사용하고 있다. 그런데 매 1초마다 921건의 암호 탈취 시도가 발생한다”며 “이러한 위협을 막기 위해 제로 트러스트 전략 접근을 채택, 멀티 클라우드·멀티 디바이스 환경에서도 빈틈없이 보호할 수 있도록 ID와 접근통제를 통합해야 한다”고 말했다.

복잡한 ID관리 문제를해결하기 위해 마이크로소프트는 ‘엔트라(Entra)’ 브랜드로 5가지 ID·접근제어 솔루션을 제공한다.

▲사용자, 앱, 워크로드, 디바이스를 보호하는 ID 관리 솔루션 ‘애저 액티브 디렉토리(Azure AD)’ ▲멀티 클라우드 인프라 상에서 권한에 대한 위험을 탐지, 보안, 감시하는 CIEM ‘마이크로소프트 엔트라퍼미션 매니지먼트(MEPM)’ ▲개인정보보호를 위해 분산된 ID 크리덴셜을 생성, 발급, 확인하는 ‘마이크로소프트 엔트라 베리파이드 ID(MVID)’ ▲애플리케이션이나 서비스와 같은 디지털 워크로드에 대한 ID를 관리하고 보호하는 ‘마이크로소프트 엔트라 워크로드 아이덴티티(MDWI)’ ▲온프레미스, 클라우드 사용자에 걸쳐, 운영을 단순화하고, 규제를 준수하며, 여러 포인트 솔루션을 통합하는 ‘마이크로소프트 엔트라 아이덴티티 거버넌스(MEIG)’로 구성된다.

박상준 팀장은 “마이크로소프트는 클라우드 네이티브뿐만 아니라 온프레미스까지 하이브리드워크에 대한 광범위한 보호를 제공한다. ID 및 접근 통제, 위협 방지, 데이터 보호를 지원하며, 각 솔루션이 서로 연동되어 통합된 가시성을 제공해준다. 이를 통해 보안 복잡성, 제한된 기능, 부족한 가시성 문제를 해결할 수 있게 한다”고 밝혔다.

김선애 기자 다른기사 보기