[데이터넷] ‘보안 전략’에 ‘유일한 정답’은 없다. 제로 트러스트 역시 마찬가지다. 현재 유행하는 ‘제로 트러스트’는 ‘접근’에만 초점을 맞추고 있는데, 포레스터가 제시한 제로 트러스트 프레임워크는 데이터, 네트워크, 사람(디지털 자산 포함), 워크로드와 애플리케이션, 장치, 보안 가시성과 분석, 보안 자동화와 오케스트레이션의 7가지 주요 영역에 걸쳐 있다. 접근과 인증만이 제로트러스트의 전부는 아니며, 워크로드 우선, 데이터 중심, ID 인식 등을 중요하게 고려해야 한다.

포레스터는 ‘성공적인 제로 트러스트 구현을 위한 5 단계 로드맵’을 다음과 같이 소개했다.

• 저장 및 이동 중인 민감한 데이터 식별
  - 데이터 검색, 분류 수행
  - 데이터 분류 기반으로 네트워크 분할, 구역화
• 민감한 데이터 액세스와 송신을 위한 허용 가능한 경로 매핑
  - 민감한 데이터의 교환과 관련된 모든 리소스 분류
  - 데이터 워크플로우를 평가하고 필요한 경우 재설계
  - PCI 아키텍처와 같은 기존 워크플로우를 확인하고 설계 확인
• 제로 트러스트 마이크로 경계 설계
  - 민감한 데이터에 대한 미세 경계, 영역, 세분화 정의
  - 물리·가상 보안 제어를 사용해 세분화 시행
  - 제어·미세 경계 설계를 기반으로 액세스 설정
  - 규칙·액세스 정책 기준 자동화
  - 모든 액세스·변경 제어 감사 및 기록
• 보안 분석으로 제로 트러스트 환경 모니터링
  - 조직 내에 이미 존재하는 기존 보안 분석 솔루션을 활용 하고 식별
  - 보안 분석 도구를 위한 논리적 아키텍처와 최적의 배치 결정
  - 새로운 솔루션이 필요한 경우 조직과 동일한 보안 방향으로 이동하고 다른 보안 솔루션에 대한 분석을 제공할 수 있는 공급 업체 식별
• 보안 자동화 및 적응형 대응
  - 비즈니스 프로세스를 기술 자동화로 전환
  - 효율성과 대응을 위해 보안운영센터(SOC) 정책과 절차 를 문서화, 평가, 테스트
  - 정책과 절차를 보안 분석 자동화와 연관시키고 수동 프 로세스에서 해제할 수 있는 항목 결정
  - 환경과 현재 솔루션 내에서 자동화 보안 및 구현 확인

“‘제로 트러스트’는 잘못된 용어”

포레스터의 ‘제로 트러스트’ 보안 모델이 다시 환기되기 시작한 것은 작년 무렵이었으나, 올해 코로나19로 재택·원격근무가 급속도로 확산되면서 집중적으로 주목받고 있다. 그러면서 ‘제로 트러스트 보안 솔루션’이라는 제품이 경쟁적으로 쏟아지고 있다. 이러한 솔루션을 검토할 때 신중하게 생각해야 할 점은, ‘제로 트러스트’는 특정 솔루션이나 기술이 아니라는 것이다.

포레스터는 ‘제로 트러스트는 기나긴 여정’이라며 이를 끝내는 데 몇 년이 걸릴 수 있다고 설명한다. 기존에 구축된 솔루션과 시스템을 단번에 바꾸지 말고 기존 환경을 유지하면서 단계적으로 바꿔나가야 한다고 제안했다. 특히 사람들의 업무 경험이 크게 달라져 불편을 느끼지 않도록 기존의 업무와 똑같거나 더 쉽게 만들어야 하며, 안전하게 운영할 수 있어야 한다고 조언했다.

가트너 역시 현재 시장에서 이해되고 있는 제로 트러스트는 잘못됐다고 지적한다. 제로 트러스트에는 특별한 기능이 확장되지 않으며, 신뢰 수준을 정하는 기준이 없다고 평가한다. 제로 트러스트가 얘기하는 적정한 신뢰 수준을 평가하기 위해서는 다양한 소스에서 데이터를 가져와 분석하며, 상황이나 맥락상 신뢰할 수 있는 접근과 행위만을 허용해야 한다고 설명한다. ‘다양한 소스’와 ‘분석’이 핵심이다.

현재 보안 업계에서는 제로 트러스트만이 유일한 보안 해법인 것처럼 강조되고 있지만, 가트너는 “제로 트러스트는 보안 프레임워크의 일부이며, 전체 보안 전략은 아니다”라고 지적한다. 가트너는 2017년 ‘지속적 적응형 위험 및 신뢰 평가(CARTA)’ 프레임워크를 발표하면서 CARTA의 한 부분에 제로 트러스트를 위치시켰다.

가트너의 CARTA는 사용자와 기기가 액세스한 후에도 지속적으로 위험과 신뢰수준을 모니터링하고 위협을 탐지·대응·전략 수정 및 배포, 리스크 관리를 선순환시키는 모델을 제시한다. CARTA는 디지털 비즈니스상에서 ‘신뢰-비신뢰’, ‘악성-정상’ 등 명확하게 분류되지 않는 ‘회색지대’에 대한 판단도 지원한다. 특정한 상황에서 정상이거나 판단하기 어려운 상황일 때, 다른 상황과 연계해 실제 위협인지 아닌지 확실한 증거를 찾는다.

탐지된 모든 이벤트에 대해 ‘정상-악성’의 두 가지 기준만으로 판단하면 너무 많은 보안 경보로 인한 피로도가 쌓여 결국 드러난 위협조차 방치하는 결과를 낳는다. 탐지된 위협 증거를 지속적으로 연계 분석해 위협 수준에 대한 평가를 내리면서 실제 위협 가능성이 높은 것을 찾아 대응할 수 있어야 한다는 것이 가트너의 ‘CARTA’ 모델이다.

CARTA는 다음의 3단계로 나뉜다.

• 실행: 실행 단계에서 다양한 연관분석 기술을 이용해 실시간으로 이상을 감지한다. 자동화 분석 솔루션을 사용하면 수동 분석보다 더 빠르고 정확하게 탐지할 수 있으며, 잠재적인 위협에 빠르게 대응할 수 있다.
• 빌드: 빌드 단계에서는 데브섹옵스(DevSecOps)를 적용해 위험이 코드에 빌드되기 전에 평가하고 식별한다. 최근 응용프로그램이 직접 개발한 코드와 공개적으로 사용 가능한 라이브러리를 결합해 사용하기 때문에 라이브러리를 추가하기 전에 보안위험이 있는지 검사하고 확인해야 한다. 나아가 타사 개발자·디지털 서비스 공급자를 포함한 에코 시스템 파트너까지 평가해야 한다.
• 계획: 마지막은 보안과 비즈니스 우선순위를 정하고 계획하는 것이다. 예를 들어 퍼블릭 클라우드 를 통해 비즈니스 기회를 만들려면 얼마나 많은 보안 위험을 감수할 수 있는지 평가한다. WFA를 지원하기 위해 IT 환경을 어떻게 발전시켜야 하고 보안 정책을 어떻게 설정해야 하는지 등을 결정한다.

김선애 기자 다른기사 보기