사용자·관리자 불편 없이 지속 가능한 신뢰 평가 모델 필요
[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>
제로 트러스트, 완벽한 보안 아니다
제로 트러스트는 턴키 방식으로 구축할 수 있는 모델이 아니다. 이미 침해가 발생했다고 가정한 상태에서 지속적으로 검증하기 때문에 장기적으로 지속 가능한 신뢰 평가 모델을 마련해야 한다. 미국 사이버보안 및 인프라 보안국(CISA)의 제로 트러스트 성숙도 모델(ZTMM)에서는 시간이 진면서 변하는 사용자, 시스템, 애플리케이션, 자산, 데이터 간의 세분화된 보안 제어가 필요하기 때문에 제로 트러스트 아키텍처(ZTA)를 채택하는 것이 쉽지 않다고 설명했다. 그러면서 기술 환경이 진화하고 있기 때문에 제로 트러스트 목표를 달성할 수 있는 방법과 솔루션, 지속적인 논의가 필요하다고 설명한다.
제로 트러스트는 오래 걸리고 복잡하며 오래 걸리기 때문에, 잘못된 접근 방법이나 오해도 많다. 제로 트러스트를 도입하면 공격을 당하지 않는다거나, 단 하나의 통합 플랫폼으로 제로 트러스트를 이룰 수 있다는 등의 주장은 무조건 경계해야 한다.
ZTA 기반 보안 전략을 수립한다 해도, 정상 사용자로 위장한 공격자가 권한 내에서 정교하게 공격하는 것을 막지 못한다. 잘못된 정책 설정, 알려지지 않은 취약점, 시스템 내에 정상적으로 사용되는 기능을 이용하는 LOtL(Living Off the Land) 공격, 정책엔진·정책집행지점(PDP·PEP) 타깃 공격으로 인한 서비스 중단 등의 위협이 존재한다.
제로 트러스트 기술을 주장하는 많은 벤더들이 자사 통합 플랫폼에 파트너 기술을 결합해 제로 트러스트를 이행할 수 있다고 설명한다. 그런데 솔루션과 기술만으로 제로 트러스트를 이행할 수 없다. 업무 중에 자주 인증을 요청하거나, 재택근무·출장 중 까다로운 인증을 요구하는 경우 등 사용자를 불편하게 할 수 있는데, 직원들은 업무하기 불편하면 불만을 갖게 되며, 불만있는 내부자는 보안을 우회하는 등 위험한 행위를 할 가능성이 높다.
신뢰할 수 있는 영역서도 취약성 점검
많은 벤더들이 자사 기술과 플랫폼을 사용하면 사용자와 관리자의 편의성을 높일 수 있다고 하지만, 제로 트러스트 원칙 기반 보안 모델은 매우 불편하고 복잡하다. 사용자와 기기의 모든 행위에 점수를 매겨 신뢰도를 측정해야 하는데, 기준이 되는 객관적인 수치를 결정하는 것이 쉽지 않다. 늘 변하는 비즈니스 환경에 따라 행위의 위험도를 평가해야 하며, 기업마다, 환경마다 위험도를 측정하는 분명한 기준을 마련하는 것도 어려운 일이다.
공격자의 행위가 점점 더 진화하기 때문에 신뢰도 평가가 더 어려워진다. 최근 공격자들은 믿지 않을 수 없는 내용의 피싱 메일을 사용해 침투하며, MFA 피로 공격으로 MFA 매체도 공격자의 것으로 바꾼다. 피해 조직내에서 특권권한과 관리되지 않은 시스템, 클라우드를 찾아 공격에 이용한다. 보안 사각지대, 관리되지 않은 공격표면, CI/CD 파이프라인의 취약점, 오픈소스를 비롯한 소프트웨어 취약점, 아웃소싱 업체를 포함한 공급망을 이용한다. 정상적인 업무 프로세스를 악용하는 공격은 제로 트러스트 원칙의 보안 모델로도 탐지하는 것이 쉽지 않다.
쉽지 않은 제로 트러스트 이행 여정을 위해서는 전문기업의 도움을 받는 것이 좋다. 화이트해킹 전문기업 엔키는 신뢰가 검증되지 않은 구간은 물론이고, 신뢰할 수 있는 구간에서도 신뢰를 검증하는 취약성 점검 서비스를 통해 지속적인 제로 트러스트 환경을 유지할 수 있게 한다.
엔키의 서비스는 ▲대상 시스템이 속한 계층과 연계된 시스템 확인 ▲각 구간에 존재하는 시스템, 취약점, 횡적 이동 가능 여부 확인 ▲접근한 서버, 네트워크 등에서 주요 자료 탈취가 가능한지 여부 확인 등을 제공한다. 이 과정을 통해 확인된 취약점과 공격방법, 공격루트를 다시 확인한 후 공격자 관점의 최신 취약점 악용 방법을 분석해 공격에 성공하지 않을 때까지 점검, 보완해 궁극적으로 공격이 가능하지 않은 환경을 만든다.
엔키는 과기부 제로 트러스트 보안 실증사업에서 모델 안정성 검증을 수행하고 있다. 공격 시나리오를 구성해 제로 트러스트를 적용하기 전과 후의 시스템 침투테스트를 진행하고 보안효과를 검증한다. 더불어 제로 트러스트 솔루션 제공업체와 수요 기업·기관과 협력해 제로 트러스트 유효성을 검증하고, 현실에 적용 가능한 제로 트러스트 모델을 구축할 수 있도록 돕고 있다.
직원 경험 개선하며 제로 트러스트 이행해야
제로 트러스트 원칙에 따라 보안 전략을 수립하는 것은 단시간 내에 이뤄지지 않으며, 환경에 따라, 업무 특성에 따라 다른 구현 모델과 솔루션이 필요하다. 완전히 새로운 보안 전략을 수립해 완벽한 제로 트러스트 원칙을 이행하려 한다 해도 전략 수립과 적용, 이행까지 걸리는 시간동안 새로 확장되는 공격표면, 취약점, 증가하는 사용자·기기·애플리케이션과 데이터로 인해 처음 계획한 아키텍처 수립이 어렵게 된다.
따라서 제로 트러스트는 어느 한 시점을 기준으로 완벽하게 구현하겠다는 계획을 버리고, 쉽게 바꿀 수 있는 것부터, 비즈니스 영향도가 낮은 것부터 단계별로 전환하면서 개선해야 한다.
제로 트러스트 이행을 위해 가장 중요한 것은 ‘사람’이다. 그래서 가트너도 제로 트러스트 전략에서 ‘사람 중심보안’으로 전환해야 한다고 강조한다. 사람 중심 보안 전략을 수립할 때, 내부자를 잠재적인 위협으로 간주하기보다는 정상적인 행위를 식별하고 허용하는데 초점을 맞추는 것이 좋다.
내부자 위협을 지나치게 강조하다보면 직원들이 불쾌감을 느낄 수 있으며, 지나치게 강력한 보안정책에 불만을 품고 보안 우회를 시도하거나 이직을 고민할 수도 있다. 따라서 직원 경험을 개선하면서 자연스럽게 업무 중 제로 트러스트 보안이 이행될 수 있도록 해야 한다.
가트너의 ‘사이버 보안 산업은 사람에 초점을 맞춘다’ 보고서에서는 “사이버 보안 리더는 사람의 잠재력을 최적화하기 위한 인간중심 설계를 사용할 것”이라고 전망했다. 가트너의 또 다른 보고서 ‘2023년 이머징 테크놀로지 하이프 사이클’에서도 사람중심 보호 전략을 강조하면서 “디지털 설계에 보안과 개인정보 보호 구조를 통합하는 사람 중심 보안·개인정보 보호 프로그램을 구현하면 비즈니스 복원력을 높일 수 있다. 다양한 신기술을 통해 기업은 여러 팀 간 의사 결정에서 상호 신뢰와 공유된 위험에 대한 인식을 조성할 수 있다”고 설명했다.
가트너는 스트레스와 번아웃이 의사결정에 직접적인 영향을 미치기 때문에 업무와 관련된 피로를 줄이는 것이 중요하다고 설명한다. 보안 사고의 절반이 사람의 실수에 의해 발생하는데, 피로와 번아웃은 실수 가능성을 더 높이는 요인이 된다. 따라서 인력 충원과 함께 AI를 이용한 자동화 툴로 업무 강도를 낮춰야 하고, 정확한 분석 솔루션을 이용해 의사결정 과정을 단축시켜야 한다.
보고서에서는 “직원이 안전하지 않은 행동을 하는 이유는 빠른 속도를 유지해야 한다는 압박감, 불편한 업무 환경 때문이다. 인간중심 설계로 보안 프로그램과 마찰 없이 적응할 수 있게 해 비즈니스와 보안의 갈등 요소를 제거해야 한다”고 강조했다.
