[컴퓨터월드] 사이버 보안의 패러다임이 변화하고 있다. 기존의 보안이 외부로부터의 공격을 감지하고 차단하는 데 집중한 ‘경계형 보안’이었다면, 이제 “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”는 제로 트러스트(Zero Trust)의 원칙 아래 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 것이 보안 업계의 새로운 지상과제로 떠올랐다.

본지(컴퓨터월드/아이티데일리)는 지난달 12일 서울 양재동 엘타워에서 한국제로트러스트보안협회와 함께 국내에 제로 트러스트 보안 구현을 위한 마중물을 붓고자 ‘보안 패러다임의 대전환, 『제로 트러스트』’를 주제로 ‘2023 정보보호 솔루션 컨퍼런스’를 개최했다. 제로 트러스트에 대한 독자들의 관심과 열의를 엿볼 수 있었던 이번 행사 내용을 정리했다.

“보안 패러다임의 대전환, 제로 트러스트”

‘2023 정보보호 솔루션 컨퍼런스’ 행사는 ‘보안 패러다임의 대전환, 제로 트러스트’를 주제로 한 아주대학교 사이버보안학과 박춘식 교수의 키노트 강연으로 시작됐다.

박춘식 교수는 “기존 경계형 보안에서 심층 보안으로, 그리고 제로 트러스트 보안으로 패러다임이 변화해왔다”고 설명하면서 제로 트러스트에 대한 미국 국가 표준기술 연구소(NIST)의 정의에 대해 간략하게 소개했다. NIST에 따르면 제로 트러스트는 ‘네트워크가 침해당한 경우라 해도, 정보시스템이나 서비스에서 요청한 권한에 대해 정확한 액세스 결정을 시행할 때, 불확실성을 최소화하도록 설계된 개념과 아이디어의 집합체’라고 정의된다.

이에 대해 박춘식 교수는 “NIST는 시스템에 대한 ‘액세스(Access)’와 많은 관련성을 두고 제로 트러스트를 정의하고 있다”고 설명하며 “특히 액세스를 정책에 따라 결정하도록 정책 결정지점(PDP)과 정책 시행지점(PEP) 등을 두는 것이 특징”이라고 덧붙였다.

이어 박 교수는 제로 트러스트 아키텍처(ZTA) 7원칙, 논리적 구성 요소, 접근 방식 등에 대해서도 소개했다. 제로 트러스트 보안을 연방정부에 선도적으로 적용해나가고 있는 미국은 ‘ZTA 7원칙’을 수립했다. 7원칙은 △리소스 식별 △통신 확보 △접근 권한 부여 △접근 권한 정책 △보안 상태 유지 △사용자 인증 △보안 상태 개선 등으로 요약된다. 영국의 경우에는 미국과 거의 유사하지만 ‘ZTA 8원칙’을 제시하고 있다.

이와 관련해 박춘식 교수는 “미국과 영국이 다르게 정했듯이, ZTA 원칙은 우리나라도 환경에 맞춰서 따로 정할 수 있다. 또한 과학기술정보통신부, 국방부 등 부처별로 다른 원칙을 정할 수도 있다. 즉 정해진 것이 아니라, 다양하다는 것”이라고 설명하고 “하나 강조하고 싶은 부분은 지켜야 할 리소스(자산)를 파악하고, 중요도를 식별해야 하는 것부터 시작해야 그에 이어 정책을 결정할 수 있다는 것이다”라고 덧붙였다.

또한 제로 트러스트 아키텍처 접근 방식의 경우에는 NIST에서 소개하는 △사용자의 신원과 신원에 할당된 속성을 기반으로 아키텍처를 구성하는 ‘강화된 신원 관리 구조’ △기업 네트워크 세그먼트에 연결된 리소스를 게이트웨이 형태로 보호하는 ‘세그먼트 활용 구조’ △기존 네트워크를 확장 및 관리하는 오버레이 네트워크나 소프트웨어 정의 네트워킹(SDN)과 같은 개념을 사용해 에이전트와 리소스 게이트웨이 간의 주문형 통신 채널을 설정하고 구현하는 ‘소프트웨어 정의 경계(SDP)’ 등 3가지를 언급했다.

이어 박춘식 교수는 제로 트러스트 도입 프로세스, 성숙도 모델, 주요 구성 요소 등에 대한 전반적 내용들을 언급하면서 청중이 제로 트러스트가 무엇인지를 개략적으로 이해할 수 있는 강연을 펼쳤다. 박 교수는 “기업 주체 식별, 기업 소유 자산 식별, 주요 프로세스 식별 및 프로세스 실행에 수반하는 위험 평가 등 제로 트러스트 도입의 3개 단계는 앞서 말했듯 조직 스스로를 알아야 한다는 것이 중요하다. 이어 ZTA 후보 정책을 수립하고, 후보 솔루션을 식별하며, 초기 도입과 모니터링을 거쳐 ZTA를 확장시켜나가야 한다”고 설명했다.

또한 미국 국토안보부(DHS)와 CISA(사이버보안 및 인프라 보안국), 국토안보부(NSA), 포레스터리서치, 마이크로소프트 등 다양한 곳에서 제로 트러스트 성숙도 모델을 만들어 선보이고 있다고 소개하면서 “성숙도 모델을 통해 조직은 제로 트러스트와 관련해 어느 정도의 위치에 있고, 무엇을 더 해나가야 하는지를 결정하고 보완해나갈 수 있다”고 덧붙였다.

아울러 박춘식 교수는 하루아침에 조직의 보안 전체를 제로 트러스트 보안으로 교체할 수는 없고, 기존 경계형 방어와 제로 트러스트를 조합한 하이브리드 제로 트러스트 모델을 도입하는 것이 가장 현실성 있는 방법이라고 언급했다. 즉 가상사설망(VPN)이나 네트워크접근제어(NAC) 같은 솔루션에서부터 제로 트러스트를 적용해나가면서, 조직 전체에 수년에 걸쳐 제로 트러스트 보안을 적용하는 것을 추진해야 한다는 것이다.

박춘식 교수는 “제로 트러스트는 과정이지 목표는 아니다. 이행과 구축이 복잡하고 긴 시간이 소요될 것이다. 제로 트러스트의 개념과 아이디어를 표준으로 만드는 데도 오래 걸릴 것이다. 현재 제로 트러스트를 제대로 구축했는지 평가하는 것도 어렵다. 하지만 시간이 지나면서 하나씩 만들어질 것”이라면서 “제로 트러스트는 어떤 솔루션을 도입해서 되는 것이 아니라, 복수의 기능에 의해 구성되는 보안 개념이다. 특히 기존의 보안 관련 습관이나 문화를 바꿔야 한다. 이를 위해서는 경영자는 물론 조직 전체의 소통과 이해가 필수다. 제로 트러스트는 문화이자, 철학이자, 전략의 문제다”라고 조언했다.

“제로 트러스트 보안 모델과 구현 전략”

이어 엠엘소프트 전략사업팀 이재준 이사가 ‘제로 트러스트 보안 모델과 구현 전략’을 주제로 연단에 올라 첫 세션 발표를 진행했다.

엠엘소프트는 제로 트러스트 구현의 핵심 중 하나로 꼽히는 ‘소프트웨어 정의 경계(Software Defined Periment; SDP)’ 솔루션을 선보이고 있다. SDP는 신원을 기반으로 리소스에 대한 액세스를 제어하는 보안 프레임워크로, CSA(Cloud Security Alliance)에서 개발했다. 네트워크 장치 및 단말의 상태 및 ID를 확인해 권한이 있는 사용자와 디바이스에만 액세스 권한을 부여하는 모델이다. 단말과 서버 사이의 연결을 데이터 채널과 제어 채널로 분리하고, 인증을 받지 못한 단말은 어떠한 서비스 연결 정보도 얻지 못하도록 한다. 인증을 받기 전에는 DNS 정보나 IP 주소를 알 수 없는 블랙 클라우드(Black Cloud) 네트워크로 동작한다.

엠엘소프트는 한국전자통신연구원(ETRI)으로부터 TAPS(Trust Access Protection Solution) 기술을 이전받아 글로벌 수준의 범용 SDP 솔루션인 ‘티게이트 SDP(Tgate SDP)’를 개발했다. 티게이트 SDP는 서버, 애플리케이션, 데이터 등 중요 정보자원을 게이트웨이(Gateway)로 은폐해 보호하는 방식을 사용한다. 특히 티게이트 SDP는 SPA(Single Packet Authorization)를 핵심 기술로 사용해 인증을 거쳐야만 네트워크에 접속할 수 있도록 하고, 공격자에게 SDP 컨트롤러가 유일한 공격 통로로 보이게 함으로써 보안을 강화한다.

티게이트 SDP는 △장치 유효성 검사를 통해 단말 복제가 불가능하고 △SPA 키로 ID를 확인해야만 응답하므로 디도스(DDoS) 공격이 방지되며 △화이트리스트 기반으로 항시 공격 차단이 가능한 다이내믹 방화벽을 활용한다. 또한 △IP 보안을 이용한 강력한 보안 터널 연결을 제공하고 △지정된 애플리케이션만 서비스 연결이 가능하며 △대상 네트워크 정보를 외부에 노출하지 않는 서버 스텔스(Server Stealth) 등을 특징으로 하는 솔루션이다.

이재준 이사는 가장 손쉽게 제로 트러스트 보안을 적용하는 방법으로 사내망과 외부망의 경계에 SDP 게이트웨이를 설치하는 것을 들었다. 여기서 좀 더 확실하게 중요 정보를 보호하고 싶다면 사내 서버 팜을 보호하기 위해 SDP 게이트웨이를 설치하면 된다. 이어 앱, 데이터 순으로 점점 더 범위를 축소해 SDP 기반의 제로 트러스트 보안을 적용해나갈 수 있다.

엠엘소프트의 티게이트 SDP 솔루션은 윈도우, 맥OS, 안드로이드, iOS 등의 환경을 지원하는 에이전트를 제공하므로 다양한 장비를 지원한다. 온프레미스부터 클라우드까지 광범위한 네트워크 액세스를 논리적으로 컨트롤할 수 있고, 위험요소를 기반으로 한 유연한 정책 설정을 지원한다. 사용자 중심의 보안 정책을 사용하므로 위치에 관계 없는 제로 트러스트 보안을 구현할 수 있다. 서비스와 응용 프로그램의 액세스를 제어할 수 있음은 물론이다.

이재준 이사는 “엠엘소프트의 티게이트 SDP 솔루션은 NAC(네트워크접근제어) 솔루션과도 통합됐고, 온프레미스와 클라우드 환경에서 모두 사용 가능하며, 사용자 중심적인 제로 트러스트 보안을 통해 안전한 네트워크를 구현할 수 있고, 획기적인 비용 절감까지 가능하다. 전용선이 필요 없어지고, VPN(가상사설망)을 대체할 수 있으며, 암호화 통신을 사용하므로 IPS나 IDS 등도 대체 가능하다. 빠르고 쉽게 네트워크 정책을 사용자 기준으로 만들어낼 수 있어 네트워크 인프라 비용 절감도 할 수 있다”고 설명하고 “SDP는 실제 코로나19 시기 동안 VPN을 대체하거나 재택근무 환경 구축에 많이 사용되면서 사례도 확보하고 있다”고 덧붙였다.

“NIST SP 800-207 ZTA 기반 제로 트러스트 보안 솔루션 전략”

다음으로는 SGA솔루션즈 박재혁 과장이 ‘NIST SP 800-207 ZTA(Zero Trust Architecture) 기반 제로 트러스트 보안 솔루션 전략’을 주제로 발표했다.

SGA솔루션즈는 NIST의 SP 800-207에서 제시하는 7가지 제로 트러스트 원칙에 가장 부합하는 솔루션을 제공할 수 있음을 자신한다. 회사는 사용자, 디바이스, 정책 엔진, 엔터프라이즈 리소스 등 광범위한 분야에 걸쳐 보유하고 있는 솔루션들을 ‘SGA ZTA’라는 이름으로 통합해 풀 스택(Full-Stack) ZTA 솔루션을 제공한다.

SGA ZTA는 △강력한 신원 인증 △지속적 디바이스 검증 △동적 정책 적용 △엔터프라이즈 리소스 보호 등 4가지를 특징으로 한다. 즉 SGA ZTA는 △통합 엔드포인트 관리(UEM) △정책 결정 및 관리(ICAM; Identity, Credential, and Access Management) △정책 이행(PAM 게이트웨이(Privileged Access Management Gateway), 제로 트러스트 포털) △엔터프라이즈 리소스 보안(PAM/CWPP/CNAPP) △정책 지원(위협 인텔리전스, 보안 정보 및 이벤트 관리(SIEM), 보안 시각화) 등 넓은 영역에 걸쳐 제로 트러스트 구현이 가능한 솔루션들로 구성돼 있다.

먼저 UEM 측면에서 안티 멀웨어, 보안패치관리, 보안수준평가, 앱 및 디바이스 통제 등을 제공한다. 리스크 스코어링(Risk Scoring), 모니터링, 정책 설정과 배포 및 적용, 상태 확인, 에이전트 구동 및 중지, 로그 수집 등의 역할을 수행할 수 있다. 정책 및 설정 관리 측면에서는 제로 트러스트를 구현하는 데 중요하게 작용하는 ICAM 솔루션을 제공한다. 완전하게 인증되고 인가된 사용자 및 디바이스에 한해 리소스에 접근할 수 있도록 하며, 사용자 및 디바이스의 보안 상태를 평가하고, 그에 따른 사용자 및 디바이스를 인증하며, 정책 및 접근을 관리하는 솔루션을 제공한다.

정책 이행 측면에서는 PEP 관점에서 사용자 디바이스의 보안 상태를 평가하고, 이를 바탕으로 동적인 보안을 적용한다. PAM 게이트웨이를 프록시(proxy)로 설정해 시스템 서버에 원격으로 접속할 때 PAM 게이트웨이를 통해 접속하도록 구성했다. PDP(ICAM)에 정의된 정책을 기반으로 사용자 및 디바이스 접근 제어가 가능하다. 사용자 인증 시 안전한 접근을 위해 모바일 OTP 등 다중팩터인증(MFA) 기술도 적용할 수 있다. 제로 트러스트 포털은 업무환경, 접근대상 등에 따라 접근 제어를 적용할 수 있도록 돕는다.

엔터프라이즈 리소스 보안 측면에서는 PAM을 통해 특정 사용자 및 디바이스에 대한 접근통제를 충족한다. 특정 작업 수행 시 최소 권한을 적용하도록 한다. 파일, 명령어, 프로세스 등에 대한 통제가 가능하다. CWPP(클라우드 워크로드 보호 플랫폼) 솔루션을 통해서는 클라우드 또는 레거시 환경에서의 워크로드 보안을 충족한다. CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼) 솔루션도 제공, 컨테이너 보안과 애플리케이션 보호를 책임진다.

이밖에 정책 지원 측면에서는 위협 인텔리전스(Threat Intelligence)를 적용했으며, SIEM(보안 정보 및 이벤트 관리) 솔루션을 기반으로 APT(지능형지속위협) 탐지 및 대응도 지원한다. 마지막으로 보안 경보 알람, 이벤트 대시보드, 사용자 행위 재연, 보안 위협 가시화, 사용자 행위 가시화 등을 제공하는 보안 시각화 솔루션을 통해서도 보안 관리자의 정책 지원 업무를 돕는다.

박재혁 과장은 “SGA솔루션즈는 지난 2021년 과학기술정보통신부에서 추진한 약 100억 원 규모의 제로 트러스트 국책과제 사업을 수행하고 있다. 또한 최근에는 지니언스, 소프트캠프와 컨소시엄을 이뤄 한국인터넷진흥원(KISA)의 제로 트러스트 보안 실증사업을 수행하게 됐다. 이를 통해 한국형 모범 제로 트러스트 모델을 도출할 예정이다. 향후 네트워크, 애플리케이션, 데이터 영역으로 파트너십을 강화해 더욱 완벽한 제로 트러스트 보안을 구축할 수 있도록 많은 노력을 기울일 것이다”라고 덧붙였다.

“제로 트러스트 시큐리티 업무 환경 구현”

마지막 세션으로는 소프트캠프 강대원 본부장이 ‘제로 트러스트 시큐리티(Zero Trust Security) 업무 환경 구현’을 주제로 발표했다.

강대원 본부장은 “최근 원격근무가 확산되고 지사나 대리점, 해외 사업장 등 업무 공간은 물론 업무 관련 도구와 시스템 등까지 확장되면서 보안의 경계가 사라지고 있는 상황”이라고 설명하고, “이처럼 회사가 직면한 보안 이슈를 해결할 수 있는 방안이 제로 트러스트 보안”이라고 덧붙였다.

소프트캠프는 제로 트러스트 구현 방안으로 △침해를 가정한 ‘신원 인식의 세분화(Identity-Aware Micro-Segmentation)’ △상황에 따라 다양한 ‘조건부 접근(Conditional Access)’ 정책의 운영 △정보의 원천적 유출방지를 위한 ‘암호화(Encryption)’ △외부 위협의 ‘격리(Isolation)’ △외부 유입 정보의 ‘필터링과 재구성(Content Disarm & Reconstruction; CDR)’ △외부 단말기에 설치하지 않아 ‘흔적을 남기지 않는 접근(Traceless Access)’ △가시성 확보를 통한 ‘지속적 관리(Continuous Management)’ 등을 제시한다.

그리고 소프트캠프는 이런 방안들을 그동안 개발해 보유하고 있는 여러 솔루션들로 대응할 수 있으며, 이를 ‘시큐리티365(Security 365)’라는 브랜드의 통합 제품군으로 제공하고 있다.

강대원 본부장은 시큐리티365에 포함된 △사내 업무시스템에 대한 제로 트러스트 기반 보안 원격접속 서비스인 ‘실드게이트(SHIELDGate)’ △문서 암호화 솔루션 ‘실디알엠(SHIELDRM)’ △스토리지 암호화 ‘실드라이브(SHIELDrive)’ △문서·파일·이메일 무해화 솔루션 ‘실덱스 파일(SHIELDEX File)’ 및 ‘실덱스 메일(SHIELDEX Mail)’ △원격 브라우저 격리(Remote Browser Isolation) 솔루션 ‘실덱스 리모트 브라우저(SHIELDEX Remote Browser)’ 등의 솔루션들을 소개했다.

강 본부장은 특히 소프트캠프의 솔루션에 ‘제로 트러스트 조건부 접근(Conditional Access)’ 엔진을 포함시켰다는 점을 강조했다. 이를 통해 누가, 언제, 어디서 내부 디바이스에 접속하는지를 확인하고, 필요할 경우 OTP나 SMS 등을 활용해 2차 인증을 거쳐 신원 인증을 보강하며, 업로드나 다운로드 등 이벤트에 따라 정책을 다르게 적용해 내부 시스템 또는 외부 클라우드에 접속할 수 있도록 한다.

시스템 측면에서는 문서를 암호화하거나, DRM(디지털 저작권 관리)을 변환하고, 백업 또는 삭제하며, 결재를 하는 등의 작업을 할 수 있다. 유저 측면에서는 접속을 차단한다던가, 공지 또는 알람을 띄우거나, 스크린 마킹을 하는 등의 조치를 할 수 있도록 한다.

또한 ‘리모트 브라우저 격리(Remote Browser Isolation; RBI)’ 기술도 제공한다. RBI는 가트너에서 제로 트러스트 아키텍처 구현을 위한 기술 중 하나로 꼽기도 했다. 인터넷 브라우징을 일회용 컨테이너에서 실행하고, 화면만을 사용자에게 전달하므로 악성 코드가 사용자의 PC에 영향을 미칠 수 없다. RBI는 국내 금융권에서 논리적 망분리를 충족하는 기술로 인정받기도 했다. 소프트캠프의 실드게이트 솔루션을 활용하면 사내 업무시스템을 사용할 때 RBI 기술로 격리된 상태에서 접속함으로써 보안을 강화할 수 있다.

마지막으로 강대원 본부장은 “소프트캠프는 기존에 문서 보안 회사로 알려져 있었지만, 지금은 클라우드 SaaS(서비스형 소프트웨어)에 대한 조건부 접근(Zero Trust Conditional Access) 기술 기반의 다양한 솔루션을 제공하는 ‘시큐리티365’ 제품을 출시, 제로 트러스트에 잘 대응할 수 있도록 지원하고 있다”고 강조하며 발표를 마쳤다.