[데이터넷] 제로 트러스트 보안 모델이 최근 주목받는 이유는 클라우드 확장과 관련이 있다. 클라우드로 인해 시간, 장소, 단말의 제약 없이 민감한 애플리케이션과 데이터에 접속할 수 있게 됐다. 클라우드는 애플리케이션에 접속한 후 ID·PW로 인증한다. 먼저 접속한 후에 인증하기 때문에 인증정보를 탈취한 공격자가 정상 인증을 받아 쉽게 침투할 수 있다.

제로 트러스트 보안 모델은 보호해야 할 애플리케이션과 데이터를 세분화 해 외부에서 검색되지 않는 안전한 영역에서 보호한다. 세분화된 비즈니스 영역마다 통제 정책을 적용하며 세부적인 가시성을 제공할 수 있는 게이트웨이를 둔다.

게이트웨이는 세분화 영역 내부와 그 영역간 가시성을 제공하며, 지능적인 위협 방어와 액세스 제어를 적용한다. 온프레미스와 클라우드의 세그먼테이션을 모두 통합 지원할 수 있도록 게이트웨이가 멀티 클라우드 환경에 최적화 될 수 있도록 설계해야 한다. 차세대 방화벽 기업들은 멀티 클라우드 지원 방화벽을 통해 제로 트러스트를 위한 게이트웨이 보안을 제공한다.

강력한 사용자 통제·모니터링 필수

제로 트러스트 보안 모델의 시작은 ‘인증’이다. 사용자 ID 기반 통제를 원칙으로 하며, 사전에 허가된 사용자가 권한 내에서의 접속만을 인증하는 단계가 첫번째로 적용된다. 특히 특권권한을 가진 사용자에 대한 강력한 통제를 제공해 특권권한 오·남용 및 보안 사고를 막는다.

강력한 사용자 통제와 함께 사용 편의성을 보장하며 접속한 사용자에 대한 지속적인 모니터링과 행위 분석을 지원할 수 있도록 모든 애플리케이션에 대한 싱글사인온(SSO)을 구현하며, 멀티팩터 인증을 통해 탈취된 계정정보로 공격자가 침입하지 않도록 한다. 애플리케이션이 외부에서 검색되지 않도록 보호하며, 제로데이 멀웨어 선제 방어와 SIEM 또는 내부 보안 모니터링 시스템 연계를 통한 지속적인 보안 검사가 이뤄지도록 한다.

네트워크 연결 단에서도 제로 트러스트 기반 접근이 필요하다. 안전한 연결을 위해 VPN을 사용하지만, VPN 자체가 가진 취약점과 ‘선 접속 후 인증’이라는 VPN 접근 방식의 한계가 있다. 이를 해결하는 제로 트러스트 기반 네트워크 보안 모델이 ‘소프트웨어 정의 경계(SDP)’이다. 먼저 인증한 후 접속한다는 개념의 SDP는 ‘NAC와 VPN을 결합한 모델’이라고 쉽게 이해할 수 있다. 엠엘소프트가 이 철학을 기반으로 한 SDP 솔루션을 국내 최초로 출시했는데, 사용자와 단말을 제어하는 NAC 솔루션과 암호화 네트워크 통신 기술을 결합해 SDP의 이상을 구현하고 있다.

SDP는 주로 글로벌 기업들이 경쟁을 펼치고 있다. 지스케일러, 아카마이, 구글 비욘드코프, 페리미터 81에 투자한 소닉월 등이 대표적이며, 케이토네트웍스, 시스코, 팔로알토네트웍스, 포티넷 등은 SDP를 넘어 시큐리티 액세스 서비스 엣지(SASE) 개념으로 분산된 멀티 클라우드 환경의 제로 트러스트 기반 접근 통제를 제공한다.

비신뢰 보안 모델 기반 업무 프로세스 마련

제로 트러스트 보안 모델은 업무 진행 과정에서도 적용된다. 사회공학 기법을 이용해 사용자를 지능적으로, 교묘하게 속이는 공격을 막는 것은 매우 어려운 일이다. 그래서 공격에 이용당할 수 있는 모든 가능성을 제거하고 완벽하게 안전한 콘텐츠에만 접속할 수 있도록 하는 기술이 등장하고 있다.

웹과 이메일을 가상환경에서만 열어볼 수 있도록 하는 격리(Isolation) 기술이 그 대표적인 예이다. 웹사이트 방문 시 악성코드에 감염되는 워터링홀과 악성문서를 이용한 공격을 막기 위해 격리 기술은 격리된 컨테이너에서 외부 콘텐츠를 열어보도록 한다. 악성코드가 숨어있다 해도 컨테이너에서 열리기 때문에 업무에 영향을 미치지 않는다. 컨테이너는 독자 개발한 프로토콜과 언어로 구성돼 있기 때문에 일반 인터넷 환경에서 활동하는 악성코드는 실행되지 못한다. 연결이 끊어지면 컨테이너가 삭제되기 때문에 악성코드 역시 사라지게 된다.

격리 기술은 2018년 가트너가 해킹을 방어할 수 있는 혁신적인 기술로 지목하면서 주목받기 시작했다. 가트너는 격리 기술은 ▲추가 에이전트 설치 없는 환경 ▲최신 브라우저 업데이트 지원 ▲비격리 트래픽 우회 처리 ▲멀티 테넌트를 통한 확장성 제공 ▲원본파일 사용 지원 ▲인터넷 밴드위스 영향 없을 것 등의 요건을 갖춰야 한다고 소개했다. 멘로시큐리티가 이 분야의 대표적인 독립 솔루션 기업이다.

격리+CDR로 안전한 업무 환경 구현

격리와 콘텐츠 무해화(CDR) 기술을 함께 사용하면 보안 수준을 한차원 높일 수 있다. 격리된 가상환경에서 이메일의 첨부파일을 열어보면 첨부파일에 악성 매크로가 있다 해도 활동하지 못한다. 그런데 이 파일을 업무에 사용하기 위해 PC에 다운로드하면 악성 매크로가 함께 포함돼 내려오게 된다.

CDR은 문서구조를 분석해 악성 행위에 사용되는 매크로, 자바 스크립트 등을 제거하고 안전이 확인된 깨끗한 콘텐츠만 떼어내 깨끗한 문서에 재조립하는 기술이다. 문서에 어떤 악성 콘텐츠가 있는지 확인하지 않으며, 안전이 확인된 콘텐츠만 추출하기 때문에 악성코드 분석을 위해 시간과 비용을 지출할 필요 없다.

문서중앙화 기술을 결합하면 더 높은 수준의 보안을 제공할 수 있다. 문서중앙화는 모든 문서를 개인 PC가 아니라 중앙서버에 저장해 사용자 PC에 숨어있는 악성코드나 고의·실수에 의한 내부자 정보유출을 방지하고 체계적인 전자문서 관리 시스템을 운영할 수 있도록 한다. 문서중앙화 서버는 독자 프로토콜을 사용하며, 암호화 해 저장하기 때문에 문서중앙화 서버에 악성코드가 침투한다 해도 활동하지 못한다.

CDR과 문서중앙화 솔루션을 함께 제공하는 벤더는 소프트캠프와 지란지교시큐리티가 있으며, 업무 연속성을 보장하면서 제로 트러스트 기반 보안 모델을 통해 사회공학 기법을 이용하는 공격을 원천 차단한다.

김선애 기자 다른기사 보기