[데이터넷] 제로 트러스트 ‘홍수’의 시대다. 모든 보안 전략과 기술, 솔루션, 서비스 소개에 ‘제로 트러스트’가 빠지지 않는다. 제로 트러스트가 특정 기술 도입으로 완성되는 것이 아니고, 장기간 동안 진행되어야 한다는 것을 언급하면서도 어떤 기술이나 구현 방법을 이용하면 쉽고 빠르게 제로 트러스트를 이행할 수 있다고 주장한다.

오죽하면 포레스터 수석 분석가 헤스 멀린(Heath Mullins)은 “제로 트러스트가 보안에서 가장 많이 남용되고, 가장 많은 오해가 있는 단어다. 제로 트러스트를 빠르고 쉽게 구현할 수 있다고 주장하는 사람은 범죄 혐의자로 다뤄져야 한다”고 강하게 비판하기도 했다.

우리나라에서 제로 트러스트의 ‘바이블’처럼 여기는 NIST SP 800-207에서도 “제로 트러스트는 단일 아키텍처가 아니라, 모든 분류 또는 민감도 수준의 보안 태세를 개선하는 데 사용할 수 있는 워크플로우와 시스템 설계·운영에 대한 일련의 지침 원칙”이라며 “제로 트러스트 아키텍처(ZTA)로의 전환은 조직이 업무에서 위험을 평가하는 방식과 관련된 여정이며, 단순히 기술을 전면적으로 교체하는 것만으로는 달성할 수 없다”고 명시하고 있다.

정교한 정상 사용자 위장 접근, 제로 트러스트도 못 막아

제로 트러스트에 대한 가장 큰 오해는 제로 트러스트 도입으로 위협을 제거할 수 있다는 것이다. 제로 트러스트가 부상한 배경은 코로나19와 디지털 트랜스포메이션으로 경계가 사라진 상황에서, 기존의 성-해자(Castle-Moat) 방식의 경계보안 모델은 소용없다는 점이 있다.

또한 솔라윈즈 공급망 해킹, 랩서스 해킹 사고를 통해 보안에 아무리 많은 예산을 투자한 기업이라 해도 탈취한 권한을 이용하면 공격자가 무엇이든 할 수 있다는 사실을 체험한것도 제로 트러스트 도입 가속화의 배경이 된다. 공격자는 탈취한 권한을 이용해 굳건하게 쌓인 보안 장벽을 쉽게 넘었으며, 내부 모니터링 시스템에 탐지되지 않고 내부망 정찰과 주요 서버 접근, 중요 정보 유출에 성공했으며, 이를 이용해 거액의 돈을 뜯어내고 세계적인 명성을 얻게 됐다.

제로 트러스트는 지속적인 검증과 모니터링으로 정상 사용자로 위장한 공격자와 위협 행위를 탐지한다. 물리적 보안 경계가 사라진 환경에서 보안 적용 지점을 ‘모든 접점’으로 확장해 지속적으로 위협을 평가하고 제어할 수 있도록 한다.

제로 트러스트는 이론상 보안강화 정책이 될 수 있지만, 유일한 정답은 아니다. 제로 트러스트에서 가장 중요하게 생각하는 사용자 검증이 치명적인 약점이다. 공격자는 탈취한 권한을 이용해 정상 사용자와 동일하게 보이는 환경으로 위장해 접근하거나 내부자를 매수해 위법 행위를 저지른다. 혹은 잘못된 설정, 정책 등을 이용해 사용자가 실수하는 것을 이용하기도 한다.

제로 트러스트 정책이 잘못 적용되었거나 정책 결정 지점(PDP)·정책 시행 지점(PEP)이 잘못 설계됐을 경우 침해가 발생할 수 있다. 레거시 환경과 마찬가지로 정책서버가 디도스, 하이재킹 등 공격을 당하면 서비스 전체가 중단될 수 있다.

‘지속적 검증과 모니터링’을 위해 네트워크 구성을 변경했을 때 복잡성이 높아지고 가시성이 떨어지며, 오탐이나 과도한 정책으로 인한 업무 연속성의 문제, 사용자 불편의 문제 역시 해결하지 못한다.

몇 가지 기술만으로 제로 트러스트 구현 못해

가장 우려되는 부분은 몇 가지 기술을 사용하면 제로 트러스트를 구현할 수 있으며, 이를 통해 위협 대응 전략을 고도화했다고 착각하는 것이다.

지난 4월 미국 CISA가 발간한 ‘제로 트러스트 성숙도 모델(ZTMM)에서는 “제로 트러스트는 사용자, 시스템, 애플리케이션, 데이터, 자산 간 세분화된 보안 제어를 통해 ID, 컨텍스트, 데이터 중심 접근 방식으로 전환하는 것”이라며 “이는 결코 쉬운 일이 아니며, 사이버 보안 철학과 문화에 변화를 필요로 한다. 모든 것에 맞는 획일적인 보안 투자가 아니라, 가장 중요한 데이터와 서비스에 보안 투자를 신중하게 할당해야 한다”고 강조했다.

제로 트러스트는 기술이 아니라, 철학과 문화에 초점을 맞춰야 한다는 점을 강조하면서도 NIST나 CISA 모두 제로 트러스트 구현에 필요한 기술을 열거하고 모범적인 활용사례를 제안하고 있기는 하다. 그러나 이 기술과 활용사례는 상황에 따라 얼마든지 변할 수 있다.

실증 사업 통해 다양한 모델 검증

NIST는 ZTA 구현 방법으로 ▲향상된 ID 거버넌스 중심 ▲논리적 마이크로 세그멘테이션 ▲네트워크 기반 세분화(SDP) 등을 들었다. CISA는 아이덴티티, 디바이스, 네트워크, 애플리케이션과 워크로드, 데이터라는 다섯가지 기둥에 대한 성숙도를 평가할 때 ▲가시성과 분석 ▲자동화와 오케스트레이션 ▲거버넌스를 고려한 각 기능의 상호 운용성을 지원해야 한다고 설명하고 있다.

이러한 사항을 고려해 과학기술정보통신부, 한국인터넷진흥원(KISA), 한국제로트러스트포럼은 6월 ‘제로 트러스트 가이드라인 1.0’을 발간하고 국내 정부·공공, 기업이 제로 트러스트 아키텍처 개념을 이해하고, 국내 환경에 맞는 제로 트러스트 보안 체계를 도입할 수 있도록 안내하고 있다.

이 가이드에서는 NIST에서 필수 기술로 지목한 강화된 인증, 마이크로 세그멘테이션, SDP를 핵심 원칙으로 하고 있다. 리소스 접근 주체에 대한 신뢰도를 평가하고, 마이크로 세그멘테이션을 통해 모든 자원의 접근 요청에 대해 지속적으로 신뢰를 검증하며, SDP를 이용해 정책 엔진 결정에 따르는 네트워크 동적 구성과 사용자·단말 신뢰를 검증한 후 자원에 접근할 수 있는 데이터 채널을형성하도록 했다.

최영준 KISA 정책대응팀장은 “제로 트러스트 핵심 원칙이 특정한 기술을 지목한 것은 아니다. 다만 SDP의 경우, 글로벌 특허를 사용해야 하거나 특정 기술에 종속될 가능성도 없지는 않다. 그러나 가이드에서는 제로 트러스트 원칙을 만족할 수 있는 방법을 소개한 것으로, 실제 업무 환경 배치모델에 따라 적용되는 기술은 달라질 수 있다”고 말했다.

그는 이어 “가이드라인은 기업·기관이 제로 트러스트 전략 수립 시 참고할 수 있는 모델을 제안한 것이며, 특정 기술이나 벤더에 특별히 유리하거나 불리하게 기술된 것은 아니다. 이로 인한 혼란을 최소화하기 위해 올해부터 공공·금융·엔터프라이즈를 대상으로 한 다양한 실증사업을 전개하고 있으며, 실제 공격자 관점의 화이트해킹으로 실증사업에 사용된 모델의 안전성을 검증하고 있다”고 설명했다.

국내 환경 맞는 제로 트러스트 필수

제로 트러스트는 긴 시간과 많은 예산을 투자해야 하는 것이며, 사용자를 불편하게 할 수 있다. 미국의 경우 2021년 5월 행정명령을 통해 모든 정부사업에 제로 트러스트를 도입할 것을 의무화 했지만, 미국 국방부의 제로 트러스트 로드맵에서는 2032년 구현을 목표로 하고 있으며, 미국 국가안보통신자문회의(NSTAC)에서는 범정부 제로 트러스트 구현에 수년에서 수십년이 걸릴 것으로 예측했다.

KISA는 ‘제로 트러스트 가이드라인 1.0으로 바라본 제로 트러스트 구현 전략’에서 “기관의 목표 수준에 따라 다르지만, 고수준 제로 트러스트를 단기간에 달성하기 어렵다고 보는 것이 타당하다. 비즈니스 프로세스 부족과 조직 특수성에 따라 제로 트러스트 전환 과정에서 의도하지 않은 문제가 생길 가능성도 있다”고 지적했다.

이러한 이슈를 반영해 국내에 맞는 제로 트러스트 구현모델이 필요하다. 정부는 2022년 산·학·연·관 전문가들이 참여하는 한국제로트러스트 포럼을 구성하고, 제로 트러스트 가이드라인을 발간했으며, 현재 고도화 작업을 진행하고 있다. 국내 환경에 맞는 제로 트러스트 보안 실증사업을 전개하고 있다.

디지털 혁신 가속화하는 제로 트러스트 전략 필요

‘국내용 제로 트러스트 개발’이라는 표현에서 또 다시 ‘갈라파고스’ 논쟁이 생기고 있다. 그러나 세계 여러 국가들이 선진국의 제로 트러스트 표준과 가이드라인을 참고해 자사 환경에 맞는 제로 트러스트 구현 모델을 만들고 있다는 점을 감안하면, 부정적으로 볼 일은 아니다. 다만 특정 기술만을 선별해서 적용하거나, 우리나라에서만 적용되는 기술에만 많은 예산을 들여 모델을 만든다면, 보안 강화 효과는 없고 지속적인 기술의 진보를 막을 수 있다는 우려는 남는다.

우리나라에만 있는 독특한 망분리 사례를 예로 들어보면, 망분리를 지금 당장 없애거나 규제를 바꿀 수 없는 상황에서 망분리 원칙을 지키면서 업무 편의성을 높이는 방법으로 제로 트러스트 관점의 구현 모델을 찾아야 한다. 이번 가이드라인에서는 이와 같은 점을 고려해 망분리 환경에서의 제로 트러스트 적용 모델을 제안하고 있다. 

제로 트러스트를 위해 무조건 신기술을 도입해야 하는 것도 아니기 때문에 국내에서 사용하고 있는 기존 기술을 활용할 수 있는 방안도 준비하는 것이 좋다. 레거시 기술 중에서도 제로 트러스트 철학을 가진 것이 있으며, 오랜 시간 업무 환경에 적용되어 안정성과 보안성을 검증받아온 것이어서 그대로 사용할 수 있는 것도 있다. 레거시 기술은 가격 대비 성능이 높고, 제어 규칙이 단순해 기술 적용에 따른 부작용이 적고 결과를 예측하기 쉽다.

김정희 KISA 정책연구실장은 “제로 트러스트 가이드라인에서는 특정 기술의 사용을 강제하지 않는다. 필수 기술 목록을 나열하는 이전 방식의 규제는 복잡해지는 IT 환경을 보호하지 못할 뿐 아니라, 비즈니스 혁신을 방해한다. 과기부와 KISA는 민간 영역에서 참고할 수 있는 모델과 실증사업을 통해 다양한 환경에서 보안을 강화할 수 있도록 돕고 있으며, 이러한 관점에서 제로 트러스트 가이드라인 고도화도 진행하고 있다”고 말했다.