[데이터넷] 제로 트러스트를 최초로 제시한 포레스터 리서치는 제로 트러스트 네트워크 액세스(ZTNA), 제로 트러스트 엣지(ZTE), 제로 트러스트 플랫폼(ZTP) 등으로 제로 트러스트 생태계를 확장하고 있다.

미국 NIST에서 발표한 제로 트러스트 아키텍처(SP 800-207)에서 ‘제로 트러스트’와 ‘아키텍처’를 결합한 이유는, 제로 트러스트를 달성하기 위해 어떻게 짜임새 있게 건물을 설계하고 튼튼하게 짓을 것인가에 대한 기본적인 아키텍처를 제시하기 위함이다.

‘인증 후 접속‘ 메커니즘 필수

‘제로 트러스트 아키텍처’라는 건물을 짓기 시작하는 시점부터 ‘무엇을 믿지 말아야 하는지’에 대한 다양한 해석이 있다.

현재 네트워크는 불특정 대상으로부터 통신 요청을 상시 수신해야 한다. 통신 기술 특성상 MAC 또는 IP 주소로만 대상을 식별하기 때문에 실제 네트워크 접근을 요청하는 대상이 누구인지, 인증된 대상인지 알 수 없다. 그래서 단말에 설치된 백신을 통해 다양한 검사를 수행하고, 네트워크 경계의 IDS/IPS로 모든 데이터 패킷을 검사(DPI)하는 것이 일반적인 보안 환경이지만, 이것만으로 실제 접근하는 대상을 신뢰하기 어렵다.

그래서 제로 트러스트 아키텍처는 네트워크에 연결된 대상은 기본적으로 믿을 수 없다는 것을 가정하고, 사용자나 단말을 상시 검사한다. 특히 네트워크에 불특정 대상이 연결할 수 있다는 문제를 해결하기 위해 ‘先인증 後접속(인증한 후 접속)’ 메커니즘이 필요하다. 이를 올바르게 구현하기 위해서는 다음의 조건을 갖춰야 한다.

- 통신 대상과 보호 대상이 어디에 있든지 일원화된 제어가 가능해야 한다.

- 세션과 같이 통신 대상과 보호 대상과의 실질적 통신 흐름을 매우 작은 단위로 부여(인가)해 인가된 대상보다 작은 비인가 대상이 통과할 수 없어야 한다.

- 필요에 따라 즉시, 통신 흐름을 끊을 수 있어야 한다.

글로벌 솔루션 중 단말에 별도 소프트웨어 설치 없이 웹 브라우저를 이용해 인증 후 접속하는 방식으로 제로 트러스트를 구현하는 것이 있다. 이 방식은 디도스 등 공격에 취약하기 때문에 싱글 패킷 인증(SPA)과 양방향 TLS(Mutual TLS)를 결합시킨다. 혹은 강력한 기밀성을 제공하는 터널링과 SPA를 결합해 광범위한 통신을 허용하는 취약점을 해결하고 있다. 그럼에도 불구하고 다양한 공격에 의해 침해당하기 때문에 인증한 후 접속하는 방법은 건물을 지탱하는 철근 역할로 여러 번 강조해도 지나치지 않다.

최소권한원칙 구현 쉽지 않아

제로 트러스트가 완벽한 보안 기술을 의미하지 않는다. 정보를 탈취하기 위해 마음먹은 내부자나 백신에 검출되지 않은 신종 위험으로부터 피해를 최소화한다는 실용적인 면이 있다.

제로 트러스트의 최소권한 원칙을 구현하는 것은 매우 까다로운 일이다. 모든 통신 대상과 보호 대상이 식별되어야 권한을 부여할 수 있는데, 네트워크 한계로 인해 통신 대상을 제대로 식별할 수 없다. 그래서 일단 통신을 허용한 후 각각의 보호 대상(서비스)이 사용자나 단말을 식별·인증하기 위한 절차를 수행한다. 이후 기능, 화면, 데이터 등의 접근 권한을 부여하고 제어하며, 인증·권한 제어를 통합한다.

이러한 노력에도 불구하고 빠르게 변하는 디지털 환경을 쫓아가는 것은 상당한 어려움이 있다. 글로벌 솔루션은 통합 인증·권한 제어를 위해 세션 기반 헤더, 토큰 등 각각의 보호 대상이 공통적으로 식별할 수 있는 정보와 FIDO 등 강화된 인증 요소, 부여된 권한 정보를 인식하거나 질의할 수 있는 API 체계를 제공하고 있다.

그러나 여전히 네트워크 문제가 해결되지 않은 상태에서의 통합은 단 한번의 공격만으로 심각한 상황에 이르게 할 수 있다.

견고한 네트워크 없이 제로 트러스트 불가능

네트워크가 제로 트러스트의 전부는 아니지만, 견고한 네트워크를 만들지 않으면 제로 트러스트 아키텍처라는 건물은 사상누각이 될 수 있다. 처음부터 건물을 설계하고 새로 짓거나, 기존에 지어진 건물을 리모델링하는 등 다양한 형태로 제로 트러스트 아키텍처를 구현할 수 있어야 한다.

현재 기업·기관은 규제 준수를 위한 다양한 보안 솔루션을 사용하고 있지만 이를 관리하기 위한 보안 전문 인력의 한계와 과중한 업무 환경 등의 문제를 겪고있다. 국내 특수한 환경에서는 더 유연하게 건물을 짓거나 리모델링할 수 있는 방법이 필요하다.

하지만 네트워크 문제를 해결하지 못한 상태에서 건물을 짓는다면 균열이 발생하거나 심각한 경우, 건물 자체가 흔들릴 수 있다. 따라서 제로 트러스트 아키텍처에 있어서 네트워크가 가장 먼저 고려되어야 한다.

글로벌 시장에서는 네트워크 전문 기업, 엔드포인트 전문 기업 등 각 분야 전문기업이 자사 기술을 중심으로 제로 트러스트를 설계하고 있으며, 다른 기술을 결합할 때 단순히 API 연동에 그치는 것이 아니라 강력하게 결합시켜 제품을 일원화한다.

제로 트러스트가 하나의 기술만으로 이뤄지는 것은 아닌 만큼, 서로 부족한 부분을 상호 보완해 시너지 효과를 증대시키거나 부족한 부분을 채우기 위해 서드파티가 참여할 수 있는 다양한 프로그램을 제공하고 있다. 이는 우리나라의 제로 트러스트 아키텍처 설계에서도 반드시 참고해야 한다.

프라이빗테크놀로지는 제로 트러스트 생태계 구성원으로써 튼튼한 건물을 짓기 위한 핵심 재료이자 뼈대인 네트워크의 근본적 문제를 해결하기 위해 노력하고 있다. 더불어 익스트림 스포츠에 가까울 정도로 네트워크에서 통합·제어할 수 있는 최대 요소까지 고려한 기술을 개발·공급하고 있다.

글로벌 시장 동향에 맞춰 다양한 보안 솔루션과 유연한 결합을 준비하고 있으며, 제로 트러스트는 복잡하고 어렵고 모호한 개념이 아닌 효과성이 분명하고 쉽게 적용할 수 있는 기술이 되기를 꿈꾸며 불철주야 연구와 개발을 진행하고 있다.