"이 솔루션만 있으면 제로트러스트 끝? 믿지 마세요"

임종철 디자이너 /사진=임종철 디자이너

"빠르고 쉽게 제로트러스트를 도입할 수 있다고 주장하는 사람은 범죄자로 다뤄져야 합니다." 글로벌 컨설팅 회사 포레스터에서 사이버보안 부문 선임 애널리스트인 히스 멀린스(Heath Mullins)의 지적이다.

'누구도 믿지 말고 지속적으로 검증할 것'을 원칙으로 하는 '제로트러스트'(Zero Trust) 보안원칙의 중요성이 부각되면서 '제로트러스트 피로감'도 커지고 있다. 마치 ESG(환경·사회·지배구조)라는 타이틀이 온갖 경영활동에 다 갖다 붙었던 것처럼 사이버보안 업계에서도 '제로트러스트'라는 용어가 난무한다.


17일 보안업계에서는 "제로트러스트는 특정 기술이나 솔루션 도입 즉시 달성할 수 있는 게 아니다"라며 "제로트러스트는 철학"이라고 강조했다. 디지털 전환의 본격화와 네트워크 환경의 복잡성 심화로 새로 요구되는 정보보안의 원칙이 마치 특정 상품인양 호도되고 있다는 지적이다.

신분·아이디·비밀번호도 뚫렸다? "아무도 못 믿는다"기존에는 경계보안 위주의 방식이 주류를 이뤘다. 기업·기관의 외부로부터 내부로 접속하려는 시도만 막으면 데이터 유출이나 탈취를 걱정하지 않아도 됐다. 문제는 기업·기관 내부자의 아이디와 비밀번호가 털렸을 때 발생했다.

MS(마이크로소프트)나 엔비디아, 삼성 뿐 아니라 글로벌 유명 보안기업 옥타 등이 대거 랜섬웨어의 공격으로 피해를 받았다. 공격자들은 다크웹 등을 통해 공격 대상 기업·기관 임직원의 신원정보를 탈취한 후 이를 기반으로 아이디와 패스워드를 확보하면 마음껏 기업·기관의 내부망에서 활개칠 수 있었다. 공격자는 도용한 아이디·비밀번호를 통해 전산망 내 접근권한을 임의로 상향조정한 후 평소였다면 접근하기 어려운 기업 내부 기밀정보 등도 탈취했다.


이에 탈취된 임직원 계정으로 로그인하는 해커를 막을 수 있는 방법은 없는지, 해커가 외부 단말기기로 내부망에 접속하려 할 때 어떤 정책을 적용해야 하는건지, 내부망에 접속한 공격자의 활동범위를 최소화할 수 있는 방법은 없는지에 대한 근원적 고민이 제기됐다. 여기서 '아무도 믿지 말 것' '지속 검증할 것'이라는 원칙이 만들어졌다. 제로트러스트라는 용어가 탄생한 배경이다.

제로트러스트 핵심 3개 원칙은 △아이디·비밀번호 외에도 생체인증이나 OTP(일회용 비밀번호)와 같은 강화된 인증을 사용하고 △기업·기관 내부망을 작은 단위로 분리한 후 각 단위간 이동시 검증을 계속 실시하며 △SW(소프트웨어) 기반으로 분리된 컴퓨팅 인프라를 보호한다는 것이다. 신원·아이디·비밀번호가 털리더라도 기업망으로 쉽사리 진입하지 못하게 하고, 기업망으로 일단 공격자가 들어온 후에도 아무 제어 없이 활개치지 못하도록 하겠다는 것이다.

미국에서는 바이든 행정부가 연방정부 기관에 2024년 9월까지 제로트러스트 보안방식으로의 이행을 완료할 것을 요구하는 행정명령이 내려졌다. 국내에서도 지난해 산업계, 학계, 연구기관, 정부 등 전문가들이 참여하는 '한국제로트러스트포럼'이 설립됐고 올 6월에는 '제로트러스트 가이드라인 1.0'이 발간됐다. 제로트러스트에 대한 개념 이해를 돕고 기업·기관이 제로트러스트 전략을 수립하는 데 도움을 주겠다는 이유에서였다.

"제로트러스트는 장기간 여정, 내년 가이드라인 고도화"

(워싱턴 AFP=뉴스1) 우동명 기자 = 조 바이든 미국 대통령이 2021년 8월 25일(현지시간) 워싱턴 백악관에서 빅테크와 금융기관, 기간산업 업체 CEO들과 사이버 보안 강화 방안을 논의하고 있다. (C) AFP=뉴스1

미국이 정부 차원의 제로트러스트 전략 이행을 명령했지만 정작 바이든 정부 내에서도 '2024년 9월'이라는 시한을 맞출 수 있으리라는 기대는 낮다. 미국 국방부 등은 높은 수준의 제로트러스트를 구현하기 위해서는 2032년이나 돼야 할 것으로 예상한다. 제로트러스트가 기술·솔루션 교체만으로 바로 이뤄지는 뭔가가 아니기 때문이다.

인증 강화를 위해서는 AI(인공지능) 기반 신뢰도 검증, 실시간 위험관리 등 기술이 필요하다. 인증과 자산관리, 각종 로그 모니터링 등에 필요한 API(응용 프로그래밍 인터페이스, 데이터 송수신 방식) 연동이 또 쉽지 않다. 높은 수준의 제로트러스트를 구현한 모범사례(베스트 프랙티스)도 아직 찾아보기 어렵다.

뭣보다 제로트러스트에 대한 과도한 기대감도 금물이다. 제로트러스트 아키텍처(구조)를 구축한다고 해서 모든 보안 위험이나 공격을 완전히 제거할 수는 없다. 다만 보안위험의 발생 가능성과 영향력을 상당 수준 이하로 완화시킬 수는 있다는 게 업계의 공통적 평가다.

제로트러스트를 구현한다는 명분으로 기존 레거시(전통) 기술 기반 보안 솔루션을 모두 교체해야 하는 것도 아니다. 전문가들은 "기술이 지속 진화하면서 현재 사용 중인 레거시 기술에도 제로트러스트 철학이 담겨 있는 경우가 있다"며 "레거시 기술은 일반적으로 가격 대비 성능이 높고 안정적이므로 제로트러스트 전환 비용 대비 이득이 거의 없는 경우 레거시 시스템을 유지하는 것도 고려할 수 있다"고 했다. 제로트러스트 전환시 레거시 보안기술을 일률적으로 제거하기보다는 부작용을 최소화하는 관점으로 접근해야 한다는 것이다.

한편 국내에서는 KISA(한국인터넷진흥원) 주관으로 SGA솔루션즈 (701원 ▼6 -0.85%), 소프트캠프 (1,301원 ▼34 -2.55%), 지니언스 (11,280원 ▼20 -0.18%)로 구성된 컨소시엄과 프라이빗테크, 타이거컴퍼니로 구성된 컨소시엄 등 2개 컨소시엄을 통해 제로트러스트 실증 사업이 진행되고 있다. 최영준 KISA 정책대응팀장은 "이번 실증사업을 통해 통신·금융·공공 등 다양한 환경에서 제로트러스트 보안 모델을 구현하고 공격·침투 시나리오까지도 진행할 것"이라며 "실증사업 성과를 기반으로 내년에는 제로트러스트 도입을 위해 무엇을 해야할 지 등 구체적 내용을 담아 가이드라인을 고도화할 것"이라고 했다.