[데이터넷] 과학기술정보통신부가 공개한 ‘제로 트러스트 가이드라인 V1.0’에서는 여러 운용 환경에 대한 구축 사례를 예시로 설명하고 있다. 이 예시에서는 ‘제로 트러스트’에 관심을 갖게 된 지사·원격접속 환경뿐만 아니라 금융사/ICS 망분리, OT/ICS 환경, M2M 환경에서 제안되는 제로 트러스트 구현 방안도 제시하고 있다.

최소권한 원칙·강력한 인증으로 제로 트러스트 시작

금융사, ICS 환경은 물리적 망분리 혹은 물리적 방식과 동일한 보안 수준을 갖춘 논리적 망분리를 구축해야 한다. 이 조건을 만족시키면서 제로 트러스트를 구현하기 위해 소프트웨어 정의 경계(SDP) 등 논리적으로 네트워크 경계를 설정하는 보안 기술과 최소권한 원칙의 접근 정책을 적용하는 것으로 시작할 것을 가이드는 권고한다.

모든 접근은 암호화 통신을 적용하며, 접속 시 허용된 리소스 외의 다른 리소스로 횡적 이용하지 못하도록 하며, 중요 업무망 접근 시 실시간 공격·이상행위 여부를 판단한다. 그리고 안정성이 충분히 검증될 때 까지는 기계학습 기반이상행위 모니터링과 신뢰도 평가보다 규칙 기반 판단이 필요하다고 설명했다.

강력한 보안을 적용해야 하는 OT/ICS는 제로 트러스트 접근이 필수인 환경이다. 가이드에서는 OT/ICS 환경의 제로 트러스트 구현 방법이 IT 환경과 다른 것은 아니지만, 구형 OT 기기 등은 강화된 인증을 적용하기 어려우며, 네트워크 프로토콜이 IT와 달라서 지속적인 분석과 모니터링이 쉽지 않다고 설명했다. OT는 가용성에 민감하기 때문에 조금이라도 영향을 주는 분석 시스템이나 자동차단 정책은 적용하기 어렵다.

OT/ICS에 제로 트러스트를 구현할 때, 처음부터 전사적으로 적용하기보다는 일부에 개념증명 혹은 파일럿을 수행하는 것부터 시작해야 한다. OT 운영에 영향이 없도록 신중하게 설계해야 하며, 안정성이 충분히 검증될 때까지 머신러닝 기반 이상행위 모니터링과 신뢰도 평가 보다는 규칙 기반으로 판단하고 결정하는 것이 바람직하다.

네트워크나 내부 응용 프로그램 등 OT 리소스에 접근할 때 마이크로 세그멘테이션을 적용해 공격자의 수평이동을 차단한다. OT 리소스에 대한 컨텍스트 기반 접근제어, 기기 정책 준수 여부와 기기 상태, 이상행위 모니터링 등의 기술이 필수다. OT 기기 에이전트 설치가 어려울 경우, 게이트웨어 포탈에서 해당 기기에 대한 엄격한 최소권한 기반 세밀한 접근제어 정책을 생성하는 것이 제안된다.

드론, 로봇, 센서 등 다양한 IoT 기기를 사용하는 M2M에서도 제로 트러스트가 필수다. 기기가 외부에 있을 때 기업망에서 어떻게 통제할 것인지, 사람의 개입 없이 제로 트러스트 원칙을 자동으로 적용하고 관리할 수 있을 것인지, 보안을 위한 리소스가 충분하지 않은 기기에 대한 보호와 공격자의 무단 권한 탈취 등의 공격을 어떻게 막을 것인지 등을 고려해야 한다.

M2M 환경의 요구사항은 연결 위치와 관계없이 다른 리소스에 접근하기 전에 모든 기기의 ID가 인증된 후 권한을 부여해야 하며, 기기 인증을 위한 위험도 감지, 침해 방지를 위한 동적 정책 기반 접근제어 시행, 중앙 집중적 인증 정보 관리 전략을 사용해야 한다. 패스워드리스 기반 강력한 인증 기술과, 접근제어를 적용하며, 마이크로 세그멘테이션이 가능하도록 보안·정책준수 요구사항을규정한다.

에이전트 설치가 어려울 경우, OT 기기와 마찬가지로 게이트웨이 포탈에서 해당 기기에 대한 엄격한 최소 권한 기반 세밀한 접근제어 정책을 생성·적용하며, 기기 간 인증·통신 암호화 적용으로 통신 데이터를 보호한다. 기계학습 기반 이상 행위 모니터링과 로그를 활용하는 자동화·통합 기술을 적용한다.

ID 통합·SSO·MFA 필수

가이드에서는 서드파티와 협업하는 환경에서의 제로 트러스트 구현 방안에 대해서도 설명했다. 이 환경에서 외부 직원은 회사 외부에서 클라우드 혹은 회사 내부에 있는 중요한 리소스에 접근할 수 있다. 또 외부직원의 업무결과가 회사에 영향을 미쳐 공급망 취약성으로 이어질 수 있기 때문에 외부직원 업무에 대한 철저한 검증이 필요하다.

이 환경에서 제로 트러스트를 구현하기 위해서는 외부 직원을 위한 계정을 생성하거나 ID 통합, 다중인증으로 기업 내 리소스 접근을 통제한다. 외부 직원은 최소한의 리소스 접근을 허용하며, 기업망 내부에도 세밀한 인증·접근제어 정책과 이상행위 모니터링을 적용한다.

온프레미스와 클라우드를 병행하는 환경에서는 리소스 위치에 관계업이 세밀한 접근제어 정책 수립과 집행이 가능해야 한다. 또 클라우드에 위치한 리소스에 대한 데이터 노출, 훼손 등에 대해 클라우드 사업자가 제공하는 보안 솔루션을 이용하되, 온프레미스 리소스와 동일한수준의 보안성이 확보되어야 한다.

지사·원격접속 환경의 경우, VPN·VDI 등 네트워크 트래픽을 기업망으로 통과시키는 보안 솔루션을 가급적 사용하지 않도록 하며, 접속 기기의 보안성 확인, 사용자·기기 신뢰도 판단이 필요하다. ID 통합, SSO, MFA는 필수다.

데브옵스에도 제로 트러스트 필수

한편 이 가이드에서는 제로 트러스트 구축을 위해 ▲아이덴티티 ▲엔드포인트 ▲네트워크 ▲시스템 ▲응용 프로그램, 워크로드 ▲데이터에 대한 필수 고려사항도 설명했다.

아이덴티티(식별자, 신원)를 위해서는 피싱에 강한 MFA와 전사적 통합 ID 관리 시스템, 풍부한 컨텍스트 기반 접근통제, 인사 시스템 연동·자동화된 정책 변경과 적용, 유효 세션 지속적인 평가, 역할 기반접근제어(RBAC)·속성기반 접근제어(ABAC)의 적절한 배치를 들었다.

엔드포인트 보안을 위해서는 자산 목록화와 엔드포인트 보안·관리 시스템이 필요하며, 네트워크 보안을 위해서는 DNS를 포함한 모든 네트워크통신 암호화, 가상화된 논리적 격리를 권고했다. 시스템은 관리자에 대한 강력한 권한통제, 서버 시스템에 대한 마이크로 세그멘테이션을 강조했다.

데브옵스 환경에서의 보안도 이 가이드에서는 중요하게 언급했는데, 개발자와 개발행위에 대한 지속적인 모니터링, 개발자 기기에 대한 신뢰 점수 수치화, 빌드서버 접속 시 MFA 적용이 필요하다고 설명했다. 더불어 응용 프로그램과 워크로드 보안을 위한 서드파티 검증, 취약점 검사와 분석, 외부 스캐닝을 통한 공격 파악과 조치, 오픈소스 검증, 변경불가 워크로드 사용 등을 조언했다.

가장 중요한 데이터의 경우, 데이터 분류와 태그 지정, 포괄적이고 정확한 보안 정책 적용과 구조화되지 않은 데이터와 메타 데이터까지 보호해야 한다고 설명했다. 클라우드 민감 데이터 접근 감사와 주기적인 로그 확인, SOAR 등 보안관제 시스템과의 연동도 필요하다고 설명했다.

제로 트러스트 원칙을 적용할 때 주의할 점은, 제로 트러스트가 완벽한 것은 아니라는 사실이다. 기존 경계기반 보안 정책보다 제로 트러스트가 공격표면을 줄이고, 침해 가능성을 낮출 수는 있지만, 설계상 오류, 사용자 실수, 리소스 제약 등으로 인한 공격 가능성을 완벽하게 제거할 수는 없다.

또 기존 IT 시스템의 한계로 인해 지속적인 검증과 모니터링을 수행하는 제로 트러스트 원칙의 기술을 적용하기 어려울 수 있으며, 지속적으로 인프라를 개선해야 하기 때문에 구축·운영 비용과 관리 부담이 크다는 점도 염두에 두어야 한다.

김선애 기자 다른기사 보기