랜섬웨어나 멜웨어, 해킹이 만연하다보니 이제 네트워크 자체가 불신의 대상이 되었다. 하긴 지금의 세상 자체가 믿지 못할 요지경속이라고 할까. ‘세상에 믿을 × 하나도 없다’는 속된 말이 기만과 이중성의 세태와 딱 맞아 떨어지는 듯 해서 씁쓸할 따름이다. 그래서다. 요즘 네트워크와 클라우드 네이티브를 기획하는 필수적인 키워드가 있다. 이른바 ‘제로 트러스트’다. 한 마디로 어느 누구도 믿어선 안 되고, 네트워크상의 그 어떤 종속 변수도 믿지 말라는 얘기다.
제로 트러스트는 이제 사이버 보안의 대원칙으로 승격되고 있다. 마치 ‘모든 것을 의심하고 불신하라’는 정언명령과도 같다. 그 결과 치밀한 검문, 검색의 좁은 문을 통과한 자만이 네트워크 진입을 허락한다. 기존의 클라이언트 기반 가상화 소프트웨어나, 데스크톱 가상화(VDI) 방식을 뛰어넘는 ‘인간 불신’의 파괴적 솔루션이라고 할까. VDI 정도의 물리적 망 분리나 클라이언트 기반 가상화 정도론 결코 안심이 안 된다는 뜻이다. 이는 지난 수 십 년 간 구사해온 레거시 사이버 보안에 대한 근본적인 패러다임 전환이라고 하겠다. 기업과 산업의 목표나, 디지털 비즈니스의 가치 실현도 이젠 ‘제로 트러스트’를 조준하면서부터 시작된다.
제로 트러스트는 이제 ICT공간에서 나름의 방법론까지 통용될 만큼 보편화되고 있다. 나름의 공식이라고 할 식별, 보호, 감지, 대응, 복구를 정의하면서, 그 연속적 운영을 담보하는 사이버 보안 프레임워크가 빠르게 유통되고 있다. 특히 정확한 돈의 흐름이 생명인 금융권에선 금융 보안을 좌우하는 엔드포인트의 안전을 도모하느라 진작부터 제로 트러스트에 의존해왔다. 금융기관들이 요즘 앞다퉈 도입하는 EDR(Endpoint Detection and Response)이 그런 경우다. 제로 트러스트 보안으로의 전환이 금융계에서 가장 빠르게 실용화되고 있는 방증이기도 하다.
요즘 많이들 활용하는 SDP(Software Defined Perimeter) 역시 제로 트러스트의 맥락을 공유한 것이다. SDP는 네트워크 접속을 암호화하고, 인증된 사용자마다 일일이 적절한 제약을 가하며 어렵사리 접근을 허락한다. 제로 트러스트 모델로 네트워크 보안을 추구하는 다층적 엑세스 방식이라고 할 수 있다. 이는 수많은 엣지와 IoT 장치를 통한 공격과 침범에 매우 효과적이다. 여러 개의 공격 포인트를 노린 해커들의 분탕질을 막기 위해 아예 전체 인프라를 숨겨버리곤 한다. 대신에 IoT 장치마다 일종의 ‘쪽문’과도 같은 제한적인 접근 경로만 열어 두는 것이다.
제로 트러스트는 이제 안전한 ICT 문명의 실천 방식으로까지 공인되고 있다. 그 선두는 역시 미국이다. 지난해 조 바이든 대통령은 행정명령을 통해 연방정부와 클라우드 서비스 공급업체들이 모두 제로 트러스트 보안 정책을 채택하고, 그 원칙과 프레임워크를 준수하도록 했다. IT와 ICT산업이 태동한 미국의 정부가 제로 트러스트를 기술 문명의 독트린으로 공언한 것이다. 하긴 우리도 마찬가지다. 과학기술정통부가 이미 비대면 업무가 대중화된 시점에서 제로 트러스트 관점에서 다양한 단계별 조치를 강화하라고 당부한지 오래다.
사실 디지털혁명기는 리처드 세넷의 말처럼 ‘인간성 본질의 파괴’가 문제다. 심리학자 윌리엄 섬너가 예를 들었듯이, 인간이란 일정한 특징을 공유하는 ‘내(內)집단’이라면 모를까. 그렇지 않은 ‘외(外)집단’에 대해선 의심하고 경계하며, 불신한다. 결국 신뢰를 바탕으로 한 영속적인 인간관계가 사라지고, 눈앞의 이익에 전전긍긍하며, 장기적이고 예측 가능한 삶은 실종되기 십상이다. 그러나 아이러니하다고 할까. 인간성에 대한 의심은 거꾸로 믿을만하고 자율적인 분산과 신뢰의 기술을 만들기에 이르렀다. 블록체인과 공유경제의 작동원리나, 디지털화폐의 거래방식과 같은 가치 저장 메커니즘의 시초가 모두 그러하다.
제로 트러스트도 그렇다. 결국 목표하는 것은 ‘불신’이 아니다. 오히려 그와는 반대로 네트워크상의 존재하는 것들에 대한 ‘신뢰’를 끌어내기 위해서다. 제로베이스의 신뢰 수준에서 시작하여, 궁극엔 네트워크상의 올바른 사이버 행동을 유도하고, 건강한 평판이 형성되며 서로 신뢰하는 관계망을 도모하기 위한 것이다. 애초 인터넷은 비인격적인 매개체다. 그럼에도 이는 숙명처럼 사이버 영역의 인격적 관계가 만들어져야 하고, 소스코드를 통해 거래의 신뢰를 형성할 수 밖에 없다. 제로 트러스트의 본딧말은 바로 그것이다. ‘신뢰’할 만한 관계와 거래를 창조하기 위한 암구호를 물어보는 것이다.