임종철 디자이너 /사진=임종철 디자이너비바리퍼블리카는 30일 서울 강남구 한국컨퍼런스센터에서 KISIA(한국정보보호산업협회) KOZETA(한국제로트러스트위원회)가 주최한 '제로트러스트 활성화를 위한 컨퍼런스'에서 '토스 제로트러스트 구축전략 및 운영사례'를 소개했다.
신원인증과 관련해서는 계정 관리 권한이 분산돼 있어 보안 관리자가 이를 통합관리하기 어렵다는 문제가 있었다. IP(인터넷주소) 기반 접근제어 방식도 보안관리에 취약하다고 평가됐다. VPN(가상사설망)을 통해 외부로부터 내부로의 접속이 빈번해졌지만 네트워크 트래픽을 한 눈에 확인할 수 없다는 점도 문제였다. 재택 근무자들이 제각각 단말기로 업무를 하다보니 회사 전체적으로 적용돼야 할 보안 패치 등이 제때 설치되지 못하는 문제도 있었다.
제로트러스트 시스템을 도입한 후 토스는 사용자가 회사 내외부 어디에 있는지와 무관하게 사용자가 회사 자산에 접근할 때마다 필요한 권한을 가졌는지, 회사가 신뢰할 만한 네트워크 및 단말기를 통한 접근인지를 검증했다. 부서이동이나 퇴직 등으로 권한의 변동이 필요한 때에는 API(데이터송수신 방식)를 통해 즉각 자동화된 방식으로 권한 부여·변경·삭제가 이뤄졌다.
토스 관계자는 "제로트러스트 시스템 구축으로 중앙화 통합 보안통제 및 관리 편의성이 확보되면서 수동 작업이 80% 이상 줄었다"며 "내외부 경계 없이 네트워크 트래픽에 대한 가시성을 확보해서 추가적 보안위협을 식별·대응하는 효과도 있었다"고 했다.
이 시각 인기 뉴스
또 "생체인증을 도입해 기존 OTP(일회용 비밀번호) 대비 1회당 로그인 시간이 5초 이상 단축되는 등 업무 편의성도 높아졌다"고 했다. 불편하게만 여겨지는 보안도 설계만 잘 한다면 업무 편의성을 희생시키지 않고도 보안 시스템을 강화할 수 있다는 설명이다.
30일 서울 강남 한국컨퍼런스센터에서 KISIA(한국정보보호산업협회) KOZETA(한국제로트러스트위원회) 주최로 열린 '제로트러스트 활성화 컨퍼런스'에서 참가자들이 토론을 진행하고 있다. / 사진제공=KISIA코로나19 대확산을 계기로 제로트러스트의 필요성이 커졌다. 기업·기관 구성원들의 재택근무가 확산하면서 외부로부터 기업 내부망 접속이 불가피해졌고 이에 따라 기존 물리적 구획에 의존한 보안이 무색해진 영향이다. 해킹 기법이 고도화되고 교묘해지면서 기업·기관 관계자의 신원정보 및 로그인 정보가 탈취된 경우 내부망에서 활개치는 공격을 막아낼 방법이 마땅치 않았다.
이에 제로트러스트 보안원칙의 중요성이 더 커졌다. 기업·기관 내외부를 불문하고 정보자산에 접근하는 모든 이들에 대해 신원 및 권한을 검증하고 일일이 허용 여부를 결정하는 방식으로 무게축이 이동하고 있다는 것이다. 하지만 제로트러스트를 어디서 어떻게 시작해야 할지 막막한 이들이 다수다. 이같은 상황에서 토스의 사례는 이날 컨퍼런스 참가사들의 많은 주목을 받았다.
그럼에도 기업들은 여전히 막막하다. 정부도 제로트러스트 보안 체제로의 전환을 독려하고 보안기업들도 관련 솔루션을 하나둘씩 출시하고 있지만 구체적으로 뭘 어떻게 해야 제로트러스트 시스템을 구축했다고 볼 수 있는지 기준이 없다는 이유에서다.
KISIA는 이날 정보보안 수요기업 200개사, 정보보안 솔루션 제조사 50개사 등을 대상으로 실시한 '제로트러스트 설문조사' 결과를 공개하며 국내 현황에 적합한 세부적 상황별 가이드라인과 인증기준 등 세부 정책이 필요하다고 제언했다. 또 단일 제품·솔루션만으로 제로트러스트 보안 체제 구축이 불가능한 만큼 API 개방 등을 통해 정보보호 솔루션 호환성을 확보하는 노력도 필요하다고 했다.
