임종철 디자이너 /사진=임종철 디자이너
'누구도 믿지 말고 지속적으로 검증할 것'을 원칙으로 하는 '제로트러스트'(Zero Trust) 보안원칙의 중요성이 부각되면서 '제로트러스트 피로감'도 커지고 있다. 마치 ESG(환경·사회·지배구조)라는 타이틀이 온갖 경영활동에 다 갖다 붙었던 것처럼 사이버보안 업계에서도 '제로트러스트'라는 용어가 난무한다.
신분·아이디·비밀번호도 뚫렸다? "아무도 못 믿는다"
이에 탈취된 임직원 계정으로 로그인하는 해커를 막을 수 있는 방법은 없는지, 해커가 외부 단말기기로 내부망에 접속하려 할 때 어떤 정책을 적용해야 하는건지, 내부망에 접속한 공격자의 활동범위를 최소화할 수 있는 방법은 없는지에 대한 근원적 고민이 제기됐다. 여기서 '아무도 믿지 말 것' '지속 검증할 것'이라는 원칙이 만들어졌다. 제로트러스트라는 용어가 탄생한 배경이다.
제로트러스트 핵심 3개 원칙은 △아이디·비밀번호 외에도 생체인증이나 OTP(일회용 비밀번호)와 같은 강화된 인증을 사용하고 △기업·기관 내부망을 작은 단위로 분리한 후 각 단위간 이동시 검증을 계속 실시하며 △SW(소프트웨어) 기반으로 분리된 컴퓨팅 인프라를 보호한다는 것이다. 신원·아이디·비밀번호가 털리더라도 기업망으로 쉽사리 진입하지 못하게 하고, 기업망으로 일단 공격자가 들어온 후에도 아무 제어 없이 활개치지 못하도록 하겠다는 것이다.
이 시각 인기 뉴스
미국에서는 바이든 행정부가 연방정부 기관에 2024년 9월까지 제로트러스트 보안방식으로의 이행을 완료할 것을 요구하는 행정명령이 내려졌다. 국내에서도 지난해 산업계, 학계, 연구기관, 정부 등 전문가들이 참여하는 '한국제로트러스트포럼'이 설립됐고 올 6월에는 '제로트러스트 가이드라인 1.0'이 발간됐다. 제로트러스트에 대한 개념 이해를 돕고 기업·기관이 제로트러스트 전략을 수립하는 데 도움을 주겠다는 이유에서였다.
"제로트러스트는 장기간 여정, 내년 가이드라인 고도화"
(워싱턴 AFP=뉴스1) 우동명 기자 = 조 바이든 미국 대통령이 2021년 8월 25일(현지시간) 워싱턴 백악관에서 빅테크와 금융기관, 기간산업 업체 CEO들과 사이버 보안 강화 방안을 논의하고 있다. (C) AFP=뉴스1
인증 강화를 위해서는 AI(인공지능) 기반 신뢰도 검증, 실시간 위험관리 등 기술이 필요하다. 인증과 자산관리, 각종 로그 모니터링 등에 필요한 API(응용 프로그래밍 인터페이스, 데이터 송수신 방식) 연동이 또 쉽지 않다. 높은 수준의 제로트러스트를 구현한 모범사례(베스트 프랙티스)도 아직 찾아보기 어렵다.
뭣보다 제로트러스트에 대한 과도한 기대감도 금물이다. 제로트러스트 아키텍처(구조)를 구축한다고 해서 모든 보안 위험이나 공격을 완전히 제거할 수는 없다. 다만 보안위험의 발생 가능성과 영향력을 상당 수준 이하로 완화시킬 수는 있다는 게 업계의 공통적 평가다.
제로트러스트를 구현한다는 명분으로 기존 레거시(전통) 기술 기반 보안 솔루션을 모두 교체해야 하는 것도 아니다. 전문가들은 "기술이 지속 진화하면서 현재 사용 중인 레거시 기술에도 제로트러스트 철학이 담겨 있는 경우가 있다"며 "레거시 기술은 일반적으로 가격 대비 성능이 높고 안정적이므로 제로트러스트 전환 비용 대비 이득이 거의 없는 경우 레거시 시스템을 유지하는 것도 고려할 수 있다"고 했다. 제로트러스트 전환시 레거시 보안기술을 일률적으로 제거하기보다는 부작용을 최소화하는 관점으로 접근해야 한다는 것이다.
한편 국내에서는 KISA(한국인터넷진흥원) 주관으로 SGA솔루션즈 (718원 ▼7 -0.97%), 소프트캠프 (1,352원 ▲17 +1.27%), 지니언스 (11,800원 0.00%)로 구성된 컨소시엄과 프라이빗테크, 타이거컴퍼니로 구성된 컨소시엄 등 2개 컨소시엄을 통해 제로트러스트 실증 사업이 진행되고 있다. 최영준 KISA 정책대응팀장은 "이번 실증사업을 통해 통신·금융·공공 등 다양한 환경에서 제로트러스트 보안 모델을 구현하고 공격·침투 시나리오까지도 진행할 것"이라며 "실증사업 성과를 기반으로 내년에는 제로트러스트 도입을 위해 무엇을 해야할 지 등 구체적 내용을 담아 가이드라인을 고도화할 것"이라고 했다.