[데이터넷] 제로 트러스트 아키텍처 개념은 미국국립표준원(NIST)이 2020년 발간한 ‘NIST SP 800-207’에서 공개됐다. 변화하는 인프라 환경을 보호하기 위해 경계보안 모델의 한계 극복을 위해 제로 트러스트 모델로 구성요소의 기술적, 관리적 보호조치 개선하는 내용이 포함돼 있다. 본고에서는 실제 현장에 적용한 제로 트러스트 모델을 기반으로, 최적의 제로 트러스트 이행 방안을 소개한다.

제로 트러스트는 기업 인프라와 워크플로우를 구성할 때, 연결 구성요소인 활용자산과 행위주체에 대한 신뢰를 갖지 않는다는 전제로 시작된다. 인증과 인가를 통해 구성요소 간 최소 권한의 관계를 맺고, 지속적으로 관계의 상태를 평가하며, 위험에 노출 시 관계성을 끊어 위험을 최소화하는 보안구성과 절차를 사용한다. 즉 검증 대상을 세분화하고, 세분화된 모든 내용을 검증하며, 역할과 권한은 최소화하고, 수용 가능한 범위 내에서 정책 관리, 관계성 통제를 수행한다.

제로 트러스트 이행에 활용되는 중요 구성요소는 다음과 같다.

활용자산: 디바이스, 애플리케이션, 온프레미스 인프라, 가상 인프라, 클라우드 컴포넌트

행위주체: 최종 사용자, 애플리케이션, 서비스

제로 트러스트 모델에는 아키텍처뿐만 아니라, 보안성이 고려된 시스템, 보안성 관리를 위한 워크플로우, 보안성 유지를 위한 운영 가이드라인 등이 포함돼 있다.

제로 트러스트의 모델을 완벽하게 구성하기 위해선 기업 환경의 많은 부분을 교체 또는 개선해야 한다. 당분간 기업은 제로 트러스트 인프라 환경으로 교체 가능한 부분의 개선을 수행하며, 구축되어 있는 경계보안 모델을 수정해 하이브리드 식 운영을 채택해야 한다.

본고에서는 제로 트러스트의 주요 요소인 아이덴티티(Identity), 접근통제(Access Control), 엣지(Edge)에 대해 자세히 살펴본다.

지속적으로 평가하는 제로 트러스트 아이덴티티

제로 트러스트 아이덴티티는 ID, 패스워드, 다중요소인증(MFA) 기반 로그인 검증으로 구성된 기존 인증 방식이 완벽하다고 가정하지 않는다. 기업 인프라에 연결된 사용자, 시스템, 서비스 간의 모든 상호 작용에서 항상 인증과 검증을 수행한다. 위협을 방어하기 위해 최소한의 권한 제공의 원칙에 따라 필요한 권한만을 제공하고, 장치, 위치, 시간, 상태 등 다양한 컨텍스트에 따라 위험을 평가하고 접근 권한·범위를 동적으로 조정한다. MFA 등 강력한 검증 메커니즘을 통해 인증 과정의 보안을 강화하며, 모든 아이덴티티는 지속적으로 모니터링되고 평가된다.

제로 트러스트 아이덴티티를 구성하는 요소는 다음과 같다.

지속적인 인증: 단일 로그인 인증에 의존하는 대신, 사용자와 장치의 인증은 지속적으로 이뤄진다. 어떤 특정 행동이나 추가적 접근 시도가 발생할 때마다 인증 절차가 다시 수행될 수 있다.

최소 권한 원칙: 사용자나 시스템에 필요한 최소한의 권한만을 부여하며, 추가적인 권한이 필요한 경우 재인증을 요구한다. 신청 시점의 권한보다 높은 권한을 요청하는 경우, 보안관리자 또는 상위 관리자를 통해 추가적인 권한 신청을 수행해야 한다.

컨텍스트 기반 접근: 사용자나 시스템의 접근 권한은 단순히 아이덴티티에만 기반하는 것이 아니라, 장치 상태, 위치, 시간, 행동 패턴, 접근 대역, 자산 등 다양한 컨텍스트 요소를 기반으로 결정된다

MFA: 아이덴티티 검증은 다양한 방법을 통해 이뤄지며, 비밀번호, 토큰, 생체 인증, 스마트카드 등이 포함된다.

인증·권한 부여 분리: 인증과 권한 부여는 별개의 과정으로 취급, 사용자나 시스템의 정체성이 검증된 후에도 별도로 접근 권한을 검토하고 결정된다.

제로 트러스트 아이덴티티가 실제로 활용되는 예를 들면, 특정 사용자 계정이 외부로 유출되거나, 다크 웹에서 발견되고, 로그인 시도 공격 등이 탐지됐을 때, 사이버아크 또는 옥타의 아이덴티티 정책을 통해 미리 설정된 추가 복합 인증을 요구하고 계정 변경 프로세스로 진입하게 한다.

또는 특정 사용자 단말이 EDR 솔루션을 통해 위협이 탐지됐다면, 해당 단말의 사내 중요 시스템 계정 인증을 제한한다. 이러한 관리체계로 인해 기업은 인증기반 사내 중요 활용자산 접근통제 체계 통해 안전한 환경을 구현한다.

내부 접근도 검증하는 제로 트러스트 접근 통제

제로 트러스트 접근통제란 인증을 받은 세션이라도 보안성을 갖췄다고 평가하지 않는 것이다. 모든 사용자, 기업 내부 또는 외부에서 접근하는 모든 요청은 처음부터 신뢰하지 않는 것으로 간주된다.

외부에서 기업 내부로 접근하는 경우, 또는 내부 단말에서 내부 중요 리소스로 접근하는 경우까지 세션별로 관리할 수 있도록 네트워크 세그멘테이션을 분할해 통제 관리한다. 사내외에서 네트워크, 데이터, 애플리케이션에 대한 접근을 관리하고 통제하는 보안 기술이다. 네트워크를 최소의 논리단위 분할(마이크로 세크멘테이션)로 관계 목적에 따라 관리 가능한 범위까지 쪼개 트래픽을 감시하고 비정상 패턴을 통제한다.

외부 사용자의 경우, VPN을 제로 트러스트 엣지(ZTE)로 전환해 컨트롤 영역과 데이터 영역을 분리하고, 사용자가 최소의 허가된 권한의 서비스와 리소스에 접근하도록 구현해야 한다. 제로 트러스트 접근통제에서 접근 대상인 네트워크, 애플리케이션, 데이터에 제로 트러스트를 적용하는 방법은 다음과 같다.

● 네트워크

마이크로세그멘테이션: 네트워크를 작은 부분으로 분할해 각 구분된 항목에 보안 규칙을 설정한다. 이는 네트워크 내부에서의 이동을 제한하고 잠재적인 위협을 최소화하며, 위협이 발생한 경우 적절한 영역 내에 격리시킬 수 있다.

- VPN 교체: 전통적인 VPN 접근 대신에 최소한의 권한으로 접근할 수 있는 ZTE 같은 서비스를 사용해 사용자가 필요한 리소스에만 접근하도록 한다.

- 지속적 모니터링: 트래픽을 실시간으로 모니터링해 비정상적인 패턴이나 위협을 감지한다.

● 애플리케이션

- 단일 인증(SSO): 사용자에게 여러 애플리케이션에 대한 중앙 집중식 접근을 제공해 사용자 인증을 강화하고 관리를 간소화할 수 있다.

- 다단계 인증(MFA): 사용자의 신원을 확증하기 위해 추가적인 인증 수단을 요구한다.

- API 보안: API 호출과 통신을 보호하기 위한 인증과 인가 메커니즘을 구현한다.

● 데이터

- 데이터 분류: 데이터를 중요도나 민감도에 따라 분류하여 각 목적별, 카테고리별 보호 수준을 지정해야 한다.

- 암호화: 저장되거나 전송되는 데이터는 암호화돼 불법 접근자로 인한 탈취에 대한 방어를 수행해야 한다.

- 데이터 접근 제어: 사용자나 시스템이 접근할 수 있는 활용자산을 필요 권한 이내로 제한하며, 데이터에 대한 접근, 수정, 삭제 권한을 엄격하게 관리해야 한다.

경계 없는 환경 위한 제로 트러스트 엣지

ZTE는 제로 트러스트 영역에서 가장 먼저 검증되고 넓게 사용되는 영역이다. 과거 경계보안모델과 같이 중앙화된 네트워크 경계를 집중적으로 방어하는 것이 아니라, 사용자, 자산, 자원 중심 방어 체계로의 발전적 진화를 의미하는 사이버 보안 패러다임 개념이다.

ZTE는 2004년 예리코(Jerico) 포럼에서 발표된 탈경계화 개념을 기반으로 그 범위와 역할이 확대되기 시작했다. 그 이유는 글로벌 기업들이 다음과 같은 네트워크 및 인프라 구조를 가지는 환경으로 발전했기 때문이다.

- 다수의 글로벌 거점 오피스

- 임시 TFT 그룹 오피스

- 소규모 오피스, 리테일 샵, 물류센터, 사업 현장 등

- 재택근무 및 모바일 사용자 증가

- 물리적 데이터 센터

- 클라우드 데이터 센터

- 클라우드 SaaS 서비스 사용

위와 같은 디지털화를 지원하기 위해 많은 기업들이 WAN을 SD-WAN으로 전환하고 있다. 그러나 SD-WAN은 보안, 네트워킹 세계가 병합되어야 하는 새로운 보안 요구 사항이나 보안 강제화 요건 수용하지 못하는 한계가 존재한다.

네트워킹과 보안은 상호 관계없이 구축되고 분리된 관리 방식로 인해 기업의 빠른 디지털 전환을 방해한다. 그래서 사일로화된 네트워크·보안 인프라가 통합되는 환경으로 변화되고 있다.

구축형 소프트웨어, 어플라이언스 문제: WAN 최적화 솔루션, 방화벽, IPS, 프록시 등 다양한 장비를 네트워크에 집중화한지 30년이 지났지만 기업 환경이 복잡해짐에 따라, 유연성이 감소하고, 효율성이 저하되고, 보안 문제가 증가하는 문제가 더욱 심각해졌다. 최근 소프트웨어 및 어플라이언스의 취약점을 이용한 공격이 늘어나고 있고 기업은 이러한 문제를 스스로 해결해야 하는 어려움에 당면해 있다.

신뢰할 수 없는 보안 정책 관리, 내부 통제 체계: 소프트웨어, 어플라이언스를 최신 상태로 유지-하기 위해 많은 시스템과 인력이 필요하다. 내부 인프라에 존재하야만 하는 관리 소프트웨어들로 인해 기업은 더 많은 관리 비용과 복원력을 유지하기 위한 노력을 기울여야 한다. 이러한 구축형 체계는 구축 시점에 클라우드 플랫폼으로 재 배치될 수 있도록 설계되지 않아 마이그레이션이 어렵고, 재해 복구의 효율성과 옵션이 제한된다.

하드웨어 기반 접근 제약: 하드웨어 기반 제품은 항공기, 자동차 등 무게 또는 크기 제약으로 인해 장착, 형태 제한을 받는다. 이러한 제약이 없더라도 기술 팀은 제조 현장, 소매점 또는 외부의 모든 곳에 하드웨어를 도입할 것으로 기대할 수 없다.

이런 문제점을 해결하기 위해 클라우드 기반 ZTE가 출시됐고, 전세계적으로 존재하는 행위주체의 거점에서 기업 사설 네트워크로 연결을 확장, 통합 관리, 인증과 인가 분리 수행, 최소한의 허가된 권한으로 제한된 리소스에 접근 가능케한다. 이를 통해 외부에서 내부로 접속, 외부에서 외부로 접속, 내부에서 외부로 접속하는 모든 방향성에 검증과 통제 체계가 구현돼야 한다.

위에서 언급된 3가지에 대한 네트워크 연결 방식과 보안 통제 내용을 살펴보면 다음과 같다.

● 외부에서 내부로 접속

- 대상: 외부 출장자, 재택근무자, 지사, 거점 오피스에서 내부의 네트워크 대역, 데이터센터로 접근하는 모든 행위 주체의 연결을 의미한다.

- 네트워크 연결: ZTE는 외부의 행위주체가 내부 사설 네트워크에 연결된 것 같은 연결 방식을 제공해야 한다. 가장 이상적인 방법은 외부의 사용자 단말, 서비스는 상시 보호되는 SD-WAN으로 연결돼야 하며, ZTE 에이전트 또는 ZTE 엣지 장비를 거쳐 행위주체와 가장 가까운 클라우드 POP으로 구성된 프라이빗 백본을 통해 내부망 접속 기능을 제공한다. 클라우드 POP은 외부 사용자 단말, 서비스에 가깝게 위치하여 빠른 성능을 보장한다.

- 보안 통제: 외부 접속을 시도하는 모든 행위 주체는 대해 인증을 위한 아이덴티티 서비스 또는 API 접속 인증을 거쳐 위치에 가장 가까운 클라우드 POP을 거쳐 보안 정책을 반영받는다. 클라우드 POP을 통해 방화벽, SWG, IPS, NGAM의 보안검증을 수행하고 허가된 접속 대역, 서비스로만 경로가 허가된다. 내부 기밀 리소스 접근 시, 접근통제 체계를 통해 권한에 부여된 자산에 접속이 가능하도록 구성해야 한다.

● 외부에서 외부로 접속

- 대상: 외부 출장자, 재택근무자, 지사, 거점 오피스 등에서 외부의 인터넷 서비스 또는 기업용 클라우드 SaaS로 접근하는 모든 행위 주체의 연결을 의미한다.

- 네트워크 연결: ZTE는 외부의 행위주체가 내부의 네트워크와 동일한 조건으로 사설 네트워크를 거쳐 인터넷에 존재하는 다양한 서비스로 연결을 수행하는 역할을 제공해야 한다. SNS, 웹 포털 서비스 등 일반 인터넷 서비스로 연결될 때, 사용자는 거점에 설치된 엣지 장치 또는 ZTE 에이전트를 통해 가장 가까운 클라우드 POP으로 암호화 채널로 연결된다. 클라우드 POP은 통제 가능한 세션 관리 기능을 통해 행위주체가 요구한 서비스에 접속을 제공한다.

- 트래픽 검증과 통제를 위해 VPN을 사용해 내부 데이터센터를 거처 인터넷 대역으로 접속하는 방식을 개선하며, 접속 속도가 빨라져 국외 지역의 사용자의 불편을 해결할 수 있다.

- 아이덴티티 검증을 수행하지 않는다. 추가적으로 외부에 있는 행위주체로 인해 리스크 사이트 접속과 주요정보 유통을 통제하기 위해 NGFW, SWG, DLP 기능을 적용해야 한다.

- 외부에 존재하는 행위주체로 위협요소가 유입되는 것을 차단하기 위해 NGAM을 적용해야 한다. 사용자가 업무 용도로 접속하지만 안전성 평가가 되지 않은 잠재적 위협 사이트 접속을 위해서는 원격브라우저격리(RBI) 기능을 통해 악성 콘텐츠 유입을 원천적으로 차단해야 한다.

- 외부에 존재하는 기업용 클라우드 SaaS를 접속하는 경우, 아이덴티티 서비스, CASB를 통한 검증 후, 연결을 허가한다. 이 경우에도 외부 공유가 가능한 곳을 통한 자료유출을 통제하기 위해 CASB, DLP 연동 기능이 필요하다. 특히 CASB를 통해 SaaS의 개인계정과 기업계정을 구분해 접속할 수 있도록 통제해야 한다. CASB와 DLP가 통합돼 관리되지 않는 경우, 개인용 SaaS계정으로 자료 업로드 차단이 불가하여 주요정보의 유출 경로로 활용될 수 있다.

● 내부에서 외부로 접속

- 대상: 내부 메인 오피스에서 외부 인터넷 서비스 또는 기업용 클라우드 SaaS로 접근하는 모든 행위 주체의 연결을 의미한다.

- 네트워크 연결: 네트워크 연결: ZTE는 내부 네트워크 최상단에 존재하는 엣지 장치를 통해 클라우드 POP으로 연결된다. 동일한 조건으로 사설 네트워크를 거쳐 인터넷에 존재하는 다양한 서비스로 연결을 수행하는 역할을 제공해야 한다. 일반 인터넷 서비스(SNS, 웹 포털 서비스)로 접속을 할 때, 메인 센터와 가장 가까운 클라우드 POP으로 암호화 채널로 연결되고 클라우드 POP은 통제 가능한 세션 관리 기능을 통해 행위주체가 요구한 서비스에 접속 기능을 제공한다.

- 보안 통제: 내부에서 외부로 접속하는 것에 대해 일반 인터넷은 서비스 연결을 위한 별도의 아이덴티티 검증을 수행하지 않는다. 추가적으로 외부에 있는 행위주체로 인해 리스크 사이트 접속과 주요정보 유통을 통제하기 위해 NGFW, SWG, DLP 기능을 적용해야 한다. 외부에 존재하는 행위주체로 위협요소가 유입되는 것을 차단하기 위해 NGAM을 적용해야 한다. 사용자가 업무 용도로 접속하지만 안전성 평가가 되지 않은 잠재적 위협 사이트 접속을 위해서는 RBI 기능을 통해 악성 콘텐츠 유입을 원천적으로 차단해야 한다.

- 외부에 존재하는 기업용 클라우드 SaaS 서비스를 접속하는 경우, 아이덴티티 서비스와 CASB를 통한 검증 후, 연결을 허가한다. 이 경우에도 외부 공유가 가능한 곳을 통한 자료유출을 통제하기 위해 CASB, DLP 연동 기능이 필요하다. 특히 CASB를 통해 SaaS의 개인계정과 기업계정을 구분해 접속할 수 있도록 통제해야 한다. CASB와 DLP가 통합돼 관리되지 않는 경우, 개인용 SaaS 계정으로 자료 업로드 차단이 불가해 주요정보의 유출 경로로 활용될 수 있다.

국내 글로벌 제조사 원격근무 보호

필자가 직접 참여한 제로 트러스트 구축 사례는 국내에 본사가 있는 글로벌 기업에 적용된 원격 근무자 대상 내부시스템 접근 통제 체계였다. 해당 프로젝트를 수행한지 벌써 4년이 지났고, 지속적으로 고도화되고 있다.

제로 트러스트 원칙을 적용한 이 사례는 아래와 같은 내부 네트워크 접근 관리 절차를 적용하고 있다. 이 모델이 모든 제로 트러스트를 기능을 포함하지 않지만, 외부에서 업무목적으로 내부로 접근하는 행위주체와 활용자산의 관계성, 관리 방안을 일부 포함하고 있다.

① 내부 활용자산은 모두 평가되고 등록되어 접근 범위와 중요도 구분돼 있다.

② 외부에서 내부 접근이 필요할 때 업무 목적의 내부 활용자산 접근 허가를 신청한다.

③ 임직원, 디바이스 등 접근 허가 행위주체는 내부 활용자산에 접근하기 위해 외부 임직원과 단말의 인증, 무결성 검사, 보안성·행위 감시 체계 기동 후, 내부 활용자산 까지의 접근 허가를 관리한다.

A. 임직원 평가: 임직원 인증, 내부 접속 인가 여부 확인

i. 임직원 보유 OTP, 휴대폰 인증을 통한 MFA 인증 수행

ii. 임직원 얼굴인식, 행위 분석 수행

B. 외부 디바이스 무결성·보안성 평가: 내부 접속 요청 시, 디바이스 보안성 및 무결성 확인

i. 단말 위치 평가

ii. 표준 보안 소프트웨어 설치 현황, 보안성 평가

iii. 내부 접근 IP 포트 외 네트워크 접속 차단

iv. 안티 멀웨어 확인, 화면 캡처 방지, 매체제어, 자료 생성 탐지 등 정보유출 방지 체계 기동

v. 단말 보안성 상시 평가, 감시, 통제

C. 디바이스 관리 게이트웨이

i. 단말 평가 후 디바이스 게이트웨이로 VDI 접속 관리

ii. VDI를 통한 내부 활용 자산 접근 연결

iii. VDI 관리 프레임워크를 통한 사용자 행위 감시, 통제

④ 관리자 승인 범위에 따른 활용자산 접근 허가 및 비인가 자산 접근 통제

A. 부서 별 공통, 일반, 중요, 기밀 등급의 활용자산 평가, 구분 수행

B. 그룹별 활용자산 접근 범위 설정

C. 외부 리스크에 따른 활용자산 접근 차단 범위 설정

D. 활용자산 중요도 설정과 외부 리스크 수준에 따른 접속 매트릭스 구성

E. 위협 스코어에 따른 동적 접근 차단 워크플로우 아키텍처 반영

⑤ 외부 단말의 내부 접속을 위한 전용 애플리케이션, 게이트웨이, 컨트롤 플레인, 데이터 플레인 분리를 통한 노출로 인한 위협 최소화, 피해 최소화 격리를 위한 오브젝트 세그멘테이션 구현

⑥ 외부 단말, 사용자 행위에 따른 동적 내부 접근 대역 조절 또는 통제

⑦ 통합 로그 시스템을 통한 연결 세션 내, 모든 접속, 행위로그 취합 분석

해당 프로젝트를 진행하는 중 기업과 프로젝트 구성원이 가장 중점을 둔 것은, 접근하고자 하는 모든 인프라 자산에 대한 현황 조사와 노출 시 위험도 측정이었다. 제로 트러스트의 개념 상, 인증·인가된 사용자도 최소의 접근 범위와 권한을 제공해야 한다. 연결된 사용자, 단말의 보안성에 문제가 발생하거나, 허가된 범위를 넘어선 비정상 행위가 감지되면 즉시 그 접속을 차단하고, 권한을 회수해야 한다.

접근 신청 시점부터 과도한 권한을 요청한 것이 아닌지, 그 위험성을 평가하고, 측정하기 위해 위협 스코어링 평가 시스템 통해 연결 세션의 중요도, 위험성, 행위에 대한 연결 유지 적합성 평가를 수행해야 한다.

제로 트러스트 모델로 구분하자면, 해당 프로젝트에서는 제로 트러스트 엣지, 아이덴티티, 접근제어의 일부 범위가 구현됐다.

편리한 업무 보장된 세분화된 통제 필수

제로 트러스트에서 가장 중요한 것은 활용자산과 행위주체를 명확히 하고 최대한 세분화할 수 있는 단계까지 나눠야 한다. 이렇게 세분화된 분류를 검증항목으로 행위 주체의 위협의 가능성과 활용 자산 상의 기밀성의 관계를 갖고 연결에 대한 상시 감시와 즉시 회수의 기능을 반영해야 한다.

접속 시 검증된 행위 주체라도 위협요소로 변화된다는 가정하에 지속적인 상태 점검, 행위 분석을 반복 수행해야 하며 행위주체의 상태는 스코어링으로 평가, 관리해야 한다.

접속 권한은 스코어링 기반으로 평가된 행위 주체에 따라 정상인 경우, 신청한 모든 권한으로 접속을 수행하지만 행위주체의 상태가 나빠진다면, 즉시 접속권한은 제한되거나 차단되어야 한다.

이와 같이 제로트러스는 검증 대상은 세분화하고, 세분화된 모든 내용을 검증하며, 역할과 권한은 최소화하고, 수용 가능한 범위 내에서 정책 관리, 관계성 통제를 수행하는 체계를 의미한다.

제로 트러스트는 XDR과의 연계를 통해 빠르고 정확한 위협 요소에 대한 차단 기능이 구현 가능하다. 스코어링 시스템은 주로 XDR을 통해 평가되며 XDR과 제로 트러스트는 상호 보완적인 관계로 발전할 것으로 전망한다.