‘제로 트러스트’ 보안 최적화 위한 핵심 요소들?

[애플경제 김향자 기자] 제로트러스트는 한 마디로 “그 누구도, 그 어느 것도 믿지말라”는 것이다. 앞서 미국의 사이버보안 기관인 CISA 또한 “이는 사용자나 자산을 암묵적으로 신뢰해서는 안 된다는 생각을 전제로 하는 사이버 보안 전략”이라고 했다.

전문가들은 완벽한 제로트러스트를 구현하기 위해선 아이덴티티와 디바이스, 논리적 망분리 등 네트워크 보안, 애플리케이션, 데이터 등을 가장 핵심적인 요소로 꼽고 있다.

CISA는 제로 트러스트에 대해 “데이터나 서비스에 대한 무단 액세스를 방지하고, 액세스 제어를 가능한 한 세분화하는 것이 목표”라면서 특히 “제로 트러스트는 기업 또는 기관의 범위에서 ‘단 한 번의 인증’으로 사용자에게 민감한 정보에 대한 액세스 권한을 부여해서는 안 된다는 것”임을 강조했다.

윤대균 아주대 교수는 CISA나, 미국 표준기술연구소(NIST), 인터넷진흥원 등을 참조한 보고서를 통해 아이덴티티, 디바이스, 데이터 등 최적화된 성숙을 위해 완비되어야 할 보안 요건을 제시했다.

ID와 사용자에 대한 접근 제어

이에 따르면 우슨 제로트러스트 보안의 가장 중요한 것은 역시 아이덴티티(사용자)다.

이는 다시 말해 사용자에 대한 신원 확인과, 그에 대한 접근 권한 제어다. 이는 일반적인 사용자 로그인과 같은 단순한 기능에 대한 통제를 비롯, ‘역할에 따른 접근 제어’, ‘속성 또는 상황에 따른 접근 제어’ 등이 있다.

이는 같은 사용자라고 해도, 그가 있는 위치와 장소, 시간, 접근 대상에 따라 매번 접근 승인 여부가 달라질 수 있다. 또 싱글사인온(SSO)과 같은 편의성도 부가적으로 제공할 수 있다. 또 인증 강화를 위해 생체인증이나, 다중 요소 접근 제어(MFA), 일회용 패스워드 등을 활용할 수 있다.

수많은 컴퓨터, 스마트폰, 서버 등 엔드포인트

디바이스(엔드포인트) 보안도 매우 중요하다. 예를 들어 개인 사용자가 지니고 있는 컴퓨터, 태블릿, 스마트폰과 같은 기기가 대표적이다. 또 사용자 간섭 없이 상호 접속을 시도하는 서버나, 수많은 사물인터넷 장치 등도 이에 포함된다.

특히 윤 교수는 “회사가 소유한 기기인지, 혹은 조직 내 구성원 개인이 소유한 기기인지, 또는 제3의 파트너 기기인지도 명확히 구분해서, 각각에 대한 적절한 제어권을 집행해야 한다”고 했다. 또한, 각 장치의 운영체제나 펌웨어가 항상 최신 버전을 유지하고 있는지 확인하는 것도 중요하다는 조언이다.

마이크로 네트워크 분리, 논리적 망분리 등

마이크로 네트워크 분리나 논리적 망분리 등 네트워크 보안 역시 완벽히 구축되어야 한다.

무엇보다 “네트워크를 여러 작은 조각(segment)으로 나누고, 분할된 일부 네트워크는 아예 나머지 네트워크로부터 분리할 수 있도록 하는 기능이 필요하다”는 얘기다.

작은 조각으로 나누어진 ‘마이크로 세그먼트(Micro Segment)’는 각각 별도의 분리된 네트워크 단위로 취급, 접근 제어를 실행한다. 다만 사용자나, 디바이스, 애플리케이션 조합에 따라 접근 권한을 각기 차등 부여할 수도 있다. 이를 통해 논리적인 망분리를 효과적으로 운영할 수 있게 된다.

윤 교수는 “제로 트러스트 네트워크 개념은 기존 네트워크 보안 기술을 적용하기에도 효과적”이라며 “디도스 공격을 탐지하여 우회하는 데에도 적용할 수 있으며, 마이크로 세그먼트 전체에서의 암호화 기능을 활용함으로써 미인가 데이터가 외부와의 반출․입되는 사태를 방지할 수 있다”고 밝혔다.

또한 “소프트웨어 정의 경계(SDP:Software Defined Perimeter)와 같은 기술을 통해 기존 방화벽 기능도 적용할 수 있다”고 덧붙였다.

워크로드와 애플리케이션에 대한 제어

클라우드나, 기업 네트워크에서 실행하는 워크로드를 정확히 모니터링하는 것도 제로트러스트의 핵심이다. 만약 허가하지 않는 자원에 접근을 시도하거나, 워크로드를 위변조하여 배포하는 행위, 혹은 실행 권한이 없는 사용자가 워크로드를 배포하는 행위를 발견하면 즉시 이를 차단하고, 추후 복구할 수 있어야 한다.

특히 클라우드 네이티브 환경에서 컨테이너화된 워크로드의 라이프사이클을 관리하는 것도 애플리케이션에 대한 제로 트러스트 기반 보안을 위해 매우 중요하다는 지적이다.

제러 트러스트의 가장 핵심적인 데이터 보안

제로트러스트는 본래 데이터를 접근 권한별로 분류하고, 이에 따른 접근 정책을 실행하는 것에서 출발했다고 해도 과언이 아니다. 그러므로 이는 곧 데이터 보안의 출발점이라고 할 수 있다.

이를 위해 사용자와 디바이스 조합에 따라 차등화된 데이터 접근 권한을 설정하고, 데이터의 유효성이나, 라이프사이클 운영이 필요하다. 특히 “단순 접근 차단뿐만 아니라, 비인가 접근 혹은 비인가 데이터 변조 시도를 탐지하여 이에 대한 즉각적인 대응에 나설 수 있어야 한다”는 조언이다.