[컴퓨터월드] 사이버 보안의 새로운 패러다임인 ‘제로 트러스트(Zero Trust)’가 국내에서도 본격적인 확산을 위해 기지개를 펴고 있다. “절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)”로 요약되는 제로 트러스트 보안은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 가이드라인을 발표하고 실증사업을 진행하면서 마중물을 부었다. 그리고 올해는 지난해보다 한층 확대된 규모로 시범사업을 진행, 이를 통해 본격적인 제로 트러스트 보안의 확산이 기대된다. 이제 보안 담당자들은 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 제로 트러스트 보안을 본격적으로 구현하고자 관심을 집중하고 있다.

이 같은 분위기 속에서 본지(컴퓨터월드/IT DAILY)는 6월 11일 서울 양재동 엘타워에서 “제로 트러스트: 이제는 확산이다”를 주제로 ‘2024 정보보호 솔루션 컨퍼런스’를 개최했다. 행사는 국내 제로 트러스트 보안을 주도하는 기업들의 발표를 통해 독자들이 제로 트러스트 보안의 개념부터 아키텍처, 구현 전략, 평가 모델, 핵심 솔루션 등을 한자리에서 이해하고, 관련 솔루션들의 시연까지 경험해 볼 수 있는 자리로 꾸며졌다.

“제로 트러스트, 이제는 확산이다”

‘2024 정보보호 솔루션 콘퍼런스’의 키노트는 아주대학교 사이버보안학과 박춘식 교수가 맡았다. 박춘식 교수는 이번 행사 주제와 같은 ‘제로 트러스트, 이제는 확산이다’를 제목으로 한 강연을 준비했다.

박춘식 교수는 제로 트러스트의 확산을 위해서는 먼저 오해부터 살펴봐야 한다며 발표를 시작했다. 제로 트러스트는 특정 제품을 도입해 실현할 수 있는 것이 아니며, 경계보안과 제로 트러스트 중 어느 쪽인지를 선택해야 한다거나, 방화벽을 사용하지 않는다고 생각하는 것, 그리고 단순히 클라우드 경유로의 원격 접속이 제로 트러스트라거나, 아이디(ID) 관리를 강화, 개선하는 것이 제로 트러스트라고 생각하는 것 등이 대표적인 착각이라고 설명했다.

이어 박 교수는 제로 트러스트와 관련해 예상했던 국내 상황에 대해서도 꼬집었다. 많은 솔루션들이 제로 트러스트 솔루션이라고 주장하거나, 전략이나 개념이 아닌 기술 중심으로 접근하는 것, 장거리 전략이 아니라 단거리로 제로 트러스트를 바라볼 것이라는 예상들이 적중했다는 게 최근의 현실이라고 설명하며 “제로 트러스트가 전략으로 인지되지 않고 있고, 조직들은 보유한 자산을 파악조차 못하고 있다. 제로 트러스트의 핵심인 트러스트 알고리즘에 대한 개념, 그리고 입력 정보에 대한 가이드도 없다. 그리고 현재 정부의 제로 트러스트 정책도 매우 미흡하다”면서 “지금처럼 제로 트러스트가 추진되면 단순히 버즈워드(buzzword)로 끝나게 될 것이 우려된다”고 말했다.

이어 박춘식 교수는 제로 트러스트의 개념 모델과 논리 모델, 실현 모델 등을 설명하면서 “깊은 이해와 정확한 정의 없이는 제로 트러스트를 제대로 구현할 수 없다”고 말했다. 제로 트러스트를 보다 깊이 이해하기 위해서는 PDP(정책결정지점)과 PEP(정책시행지점), 그리고 리소스를 명확화하고, 주체(subject)에 대한 신뢰성을 어느 시점에 줄 것인지를 생각해야 한다. 또한 트러스트 알고리즘에 대한 고민과 정보수집의 신뢰성 확보, 상관분석, 동적 액세스 제어 등에 대한 고민도 필요하다.

박 교수는 제로 트러스트 구축 성공을 위한 선행 핵심 요소들도 소개했다. 자동화된 자산 인벤토리를 구축해야 하고, 보호 대상 영역과 공격 대상 영역을 정의해야 하며, 성숙도 평가 및 현황 분석, 필러(pillar)별 성숙도를 위한 단계별 추진 계획 등이 제시됐다.

박 교수는 “제로 트러스트는 특정 솔루션을 도입해서 되는 것이 아니며, 시간을 갖고 지속적으로 접근해야 한다”면서 “제로 트러스트를 구축한 후 비용과 직원 수가 증가하는 등 단점도 있을 수 있다. 또한 제로 트러스트 도입으로 줄일 수 있는 리스크는 전체의 1/4 정도라는 것도 알아야 한다. 만병통치약이 아니다”라면서 “국내 제로 트러스트 확산을 위해서는 개념 및 전략 인식이 우선돼야 하고, CEO나 CISO 등 수요자가 중심이 돼야 한다. 또한 제로 트러스트는 기존 솔루션을 활용하면서 새로운 기술을 적용하는 하이브리드 전략으로 가야 한다. 마지막으로 성공 사례를 기반으로 다양한 솔루션들을 패키지로 묶어 쉽게 적용할 수 있는 제로 트러스트 2.0으로 나아갈 수 있도록 해야 하며, 이를 위해서는 정부가 법과 제도를 정비하고 실증사업으로 성공 사례를 확보할 수 있게 지원하는 등 제로 트러스트를 민간으로 확산시킬 수 있도록 주도해야 한다”고 강조했다.

제로 트러스트 보안 모델과 구현 전략

다음으로는 엠엘소프트의 전략기획팀장 이재준 이사가 연단에 올라 ‘제로 트러스트 보안 모델과 구현 전략’을 주제로 발표했다. 이재준 이사는 먼저 제로 트러스트의 배경과 개념, 아키텍처와 기술, 아키텍처 구현 전략 등을 설명하며 청중들이 제로 트러스트를 간략하게 이해할 수 있는 시간을 마련했다.

이재준 이사는 먼저 기존 경계기반 보안 모델이 클라우드, 모바일 등 환경에서 적합하지 않았기에 제로 트러스트가 부상했고, 이에 미국 정부에서도 행정명령으로 제로 트러스트 보안 도입을 명문화한 것이라고 설명했다. 그리고 제로 트러스트 가이드라인 1.0에서 제로 트러스트 구현의 핵심 원칙으로 소개한 소프트웨어 정의 경계(Software Defined Perimeter; SDP) 솔루션을 중심으로 설명을 이어갔다. 제로 트러스트 아키텍처의 핵심 보안 기능은 접근제어 정책이며, 여기에 SDP 기술 기반으로 제로 트러스트 아키텍처를 구현할 수 있다.

이어 이 이사는 미국표준기술연구소(NIST)의 제로 트러스트 7대 기본 원칙과 제로 트러스트 아키텍처 보안 모델 및 논리 구성 요소, 제로 트러스트 액세스(ZTA) 모델 등에 대해 상세한 설명을 이어갔다. 그는 “PEP가 ‘절대 믿지말라(Never Trust)’는 환경을 만들고, PDP가 다양한 신뢰도 판단용 데이터(PIP; 정책 정보 지점)를 기반으로 ‘항상 검증하라(Always Verify)’는 작업을 수행한다. 이것이 가장 핵심”이라면서 “그리고 가장 중요한 것은 무엇을 보호할 것인지, 거기에 누가 접근할 수 있는지를 먼저 설계하고 아키텍처를 도입해야 한다”고 덧붙였다.

다음으로 이재준 이사는 SDP를 좀 더 이해할 수 있도록 설명을 이어갔다. SDP는 신원을 기반으로 리소스에 대한 액세스를 제어하는 보안 프레임워크로, CSA(Cloud Security Alliance)에서 개발했다. SDP는 특히 대상 네트워크 정보를 외부에 노출하지 않는 것이 가장 큰 특징이다. 엠엘소프트는 SDP 기술을 기반으로 제로 트러스트 구축에 나서고 있다.

마지막으로 이재준 이사는 자사의 제로 트러스트 보안 핵심 솔루션을 소개했다. 이 이사는 “엠엘소프트는 CSA 표준 SDP 규격을 준수하는 ‘티게이트SDP(TgateSDP)’라는 솔루션으로 제로 트러스트 보안을 구현하고 있다. SDP 게이트웨이를 보호해야 할 시스템의 앞단에 둠으로써 대상 서비스의 서버를 숨겨 공격 대상을 특정하기 어렵게 하고, SDP 클라이언트를 통해 사용자 PC의 감염 상태를 확인, 무결성에 문제가 없는 경우 내부 네트워크에 접근을 허용한다. 공격자는 SDP 컨트롤러에만 접근 가능하기 때문에 디도스(DDoS) 공격이나 아이디/패스워드 무작위 대입 공격이 불가능하다”고 소개하며 발표를 마무리했다.

“SGA 제로 트러스트 컨설팅 및 SGA ZTA 구축 방안”

다음으로 SGA솔루션즈 전략기획팀 박재혁 차장이 ‘업무 중요도를 고려한 제로 트러스트 성숙도 평가 방법론 및 SGA ZTA 솔루션 전략’이라는 슬라이드를 기반으로 발표를 이어갔다. 박재혁 차장은 우선 간략하게 제로 트러스트의 개념에 대해 언급하고, 제로 트러스트 성숙도 모델에 대해 소개했다. 성숙도 모델은 현재 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA), 국내 KISA, 포레스터(Forrester) 등에서 각자 모델을 선보이고 있는 상황이다. SGA솔루션즈는 실제 사업을 하면서 성숙도 평가를 진행했던 경험을 공유했다.

SGA솔루션즈는 사내 직원인지, 재택근무자인지, 고객사인지 등과 같은 접근경로(use case)를 종합적으로 조사, 분석, 검토해 각 상황에 맞는 인프라와 보안 정책, 보안 기술 등을 확인하고 이를 제로 트러스트 성숙도 분석을 위한 기반으로 활용했다. 또한 보호해야 할 접근 대상 리소스를 시스템, 데이터, 애플리케이션 3가지로 분류하고 업무 중요도를 기준으로 리소스의 마이크로 세그멘테이션(micro segmentation) 및 중요도 기준 성숙도 수준을 적용하는 것을 목표로 성숙도 분석 모델을 설계했다.

뿐만 아니라 제로 트러스트 핵심 요소별로 성숙도 파악을 위한 체크리스트를 만들어 평가를 진행, 성숙도와 요구사항 간 갭(gap)을 도출했다. 업무 중요도 역시 상, 중, 하로 나눠 마찬가지로 체크리스트를 통해 성숙도-목표치 간 갭을 도출했다. 이러한 방법들을 통해 제로 트러스트 도입 기관 및 기업의 성숙도 현황을 파악하고 육각형 모델로 평가 결과를 도출, 목표한 제로 트러스트 성숙도에 도달할 수 있는 방안을 제시하고 있다.

SGA솔루션즈는 사용자 기기(PC)를 관리할 수 있는 통합 엔드포인트 관리(UEM) 솔루션과 PAM(권한 있는 접근 관리) 게이트웨이, ICAM(자격 증명 및 액세스 관리), ZTS(제로 트러스트 세그멘테이션) 등 다양한 부문의 솔루션을 보유하고 있고, 이러한 솔루션들을 통합해 풀 스택 제로 트러스트 구축이 가능한 ‘SGA ZTA’를 선보이고 있다.

박재혁 차장은 “제로 트러스트는 어떤 솔루션 하나를 도입해 완성할 수 없고, 단계별로 적용하며 보안 향상도를 높여나가야 한다”면서 “SGA솔루션즈는 2021년부터 NIST의 아키텍처를 기반으로 제로 트러스트 아키텍처(ZTA) 보안 사업을 해왔다. 엔터프라이즈 리소스에 접근하는 모든 사용자에 대한 강력한 신원 인증, 리소스에 접근하는 모든 사용자 디바이스에 대한 지속적 검증, 정책 엔진을 통한 동적 접근제어, 보호해야 할 모든 자산에 대한 보호 등을 제공할 수 있다”고 말했다.

“제로 트러스트 아키텍처의 핵심 솔루션 - 마이크로 세그멘테이션”

다음은 굿모닝아이텍 권중술 상무가 ‘제로 트러스트 아키텍처의 핵심 솔루션 - 마이크로 세그멘테이션’을 주제로 발표했다. 권 상무는 2023년 기업 당 평균 응용 프로그램 수가 1,061개에 달해 공격 표면이 계속해서 증가하고 있고 디도스, 웹 공격, 봇 공격, 크리덴셜 스터핑, 멀웨어, 랜섬웨어 등 위협의 종류 역시 다양해지고 있다고 지적하며 발표를 시작했다. 그리고 공격자들이 네트워크의 경계를 공격하는 것이 아니라 신뢰를 이용해 내부로 침입하고 있다는 점에서 경계 보안의 한계가 있다는 점을 언급하며 제로 트러스트가 떠오른 배경을 다시 한 번 설명했다.

권중술 상무는 “KISA 제로 트러스트 가이드라인은 인증체계 강화, 마이크로 세그멘테이션, 소프트웨어 정의 경계 등 3가지를 핵심 원칙으로 내세우고 있다”고 설명하고 “특히 가트너의 위험 기반 워크로드 보호 제어 계층 구조에서도 마이크로 세그멘테이션은 가시성, 네트워크 방화벽과 함께 최근 워크로드 보호를 위한 핵심 요구사항으로 꼽히고 있다”고 덧붙였다.

마이크로 세그멘테이션은 구획을 나눠 중요한 시스템들을 좀 더 안전하게 보호하기 위한 것으로 새로운 것은 아니다. 일반적으로 시스템이 공격을 당해 멀웨어 등에 감염되면 가능한 모든 시스템에 접근해 감염을 확산한다. 하지만 마이크로 세그멘테이션을 통해 추가 확산을 방어하는 것이 가능하다.

권중술 상무는 굿모닝아이텍이 ‘아카마이 가디코어(Akamai Guardicore)’의 마이크로 세그멘테이션 및 인포스먼트(enforcement) 기능을 통해 제로 트러스트를 적용할 수 있다고 소개했다. 실제 아카마이는 자사가 보유한 글로벌 인프라에 가디코어를 적용했다. 350만 개의 내·외부 연결 통로를 보유하고 있는 것을 확인한 뒤 불필요하고 검증되지 않은 통신을 제거, 120개의 필수 연결만 허용함으로써 공격표면을 99.3% 감소시키는 효과를 거둘 수 있었다는 설명이다. 또한 한 국내 금융사도 아카마이 가디코어를 이용해 컨테이너 환경의 보안을 통제할 수 있었다. 가디코어는 퍼블릭 클라우드와 가상머신(VM), 그리고 레거시 시스템까지 모든 자산을 통합해 관리할 수 있다.

권중술 상무는 “AGS(아카마이 가디코어 세그멘테이션)는 제로 트러스트 원칙을 적용해 가장 간단하고 빠르며, 직관적인 방법을 제공하는 소프트웨어 기반 마이크로 세그멘테이션 솔루션이다. 모든 인프라를 지원하며, 네트워크 가시성을 확보할 수 있도로 돕고, AI 기반으로 보안 정책 추천도 가능하며, 전사적 제로 트러스트를 위한 운영 관리를 도울 수 있다”고 소개하면서 발표를 마쳤다.

“제로 트러스트 기반 클라우드 환경의 계정 관리 서비스 SHIELD ID”

오전 마지막 발표로 소프트캠프의 강대원 본부장이 ‘제로 트러스트 기반 클라우드 환경의 계정 관리 서비스 실드아이디(SHIELD ID)’를 주제로 연단에 올랐다. 강대원 본부장은 “아이덴티티 관리가 제로 트러스트 보안의 시작점”이라고 운을 떼면서 최근 자사가 출시한 제로 트러스트 기반의 ICAM(자격 증명 및 액세스 관리) 및 IDP(아이덴티티 프로바이더) 솔루션 ‘실드아이디(SHIELD ID)’를 소개했다.

실드아이디 솔루션은 국내 컴플라이언스에 부합하는 다양한 인증 수단을 지원한다. QR코드, FIDO2 U2F, 지문, OTP, 웹 인증(Web Authn), SMS 및 이메일, 간편 인증, 소셜 로그인까지 폭넓다. 특히 클라우드 환경에 적합한 사용자 인증 솔루션으로서 모든 클라우드 계정 및 권한을 중앙에서 관리할 수 있고, 서비스별로 제로 트러스트 기반의 조건부 적응형 접근통제(ZTCA)를 지원한다. 내부의 LDAP, AD, 인사DB 뿐만 아니라 ‘애저 AD’ 등 클라우드 환경의 인사정보 소스까지 통합해 계정 관리를 할 수 있다. 클라우드 SaaS(서비스형 소프트웨어) 및 업무 시스템에 대한 사용자 인증을 싱글사인온(SSO)으로 할 수 있고, 과학기술정보통신부의 제로 트러스트 가이드라인을 준수한다. 클라우드뿐만 아니라 기업 내부 설치형으로도 서비스 제공이 가능하다.

소프트캠프는 또한 다양한 제품을 활용해 SaaS 사용을 통제할 수 있도록 지원하고 있다. 먼저 강대원 본부장은 원격 브라우저 격리(RBI) 기술을 소개했다. RBI는 서버상의 가상 브라우저를 통해 인터넷에 접속하고, 사용자 브라우저에서는 접속한 화면을 픽셀 스트리밍으로 전송받는 기술이다. 브라우저 격리 기술은 최근 들어 웹 기반 공격에 대응할 수 있는 가장 효과적인 방법으로 꼽히고 있다. 강 본부장은 “챗GPT에 일급비밀을 업로드할 수 있어 보안 문제가 지적되고 있는데, RBI 기술을 활용하면 사용자가 인증한 후 정보를 입력할 수 있도록 할 뿐만 아니라 입력한 정보를 바로 보내지 않고 RBI에서 개인정보와 민감정보를 식별해 차단할 수 있게 할 수 있다”고 설명했다.

소프트캠프는 리모트 브라우저 기능을 포함하는 제로 트러스트 조건부 적응형 접근통제(ZTCA) 정책 기반의 보안 원격 접속 솔루션 ‘실드게이트(SHIELDGate)’를 제공하고 있다. 뿐만 아니라 문서 저장에 대한 보안을 중계하는 ‘실드라이브(SHIELDrive)’, 문서 보안 솔루션 ‘실디알엠(SHIELDRM)’, 유입문서 무해화(CDR) 솔루션 ‘실덱스 파일(SHIELDEX File)’ 등 다양한 솔루션으로 사내 업무 시스템 전체에 대한 보안을 책임지고 있다.

강대원 본부장은 “소프트캠프는 마이크로소프트 팀즈(Microsoft Teams)나 코파일럿(Copilot)과 같은 최신 생성형 AI 솔루션까지를 포함, 내외부 사용자가 SaaS를 사용할 때 인증에서부터 접속, 문서 활용, DRM 등까지의 전 과정을 아우르는 솔루션 제품군을 갖추고 있다”고 소개하며 발표를 마쳤다.

“제로 트러스트, 어떻게 적용할 것인가?”

점심식사 후 이어진 ‘2024 정보보호 솔루션 콘퍼런스’의 마지막 세션에서는 ‘제로 트러스트, 어떻게 적용할 것인가?’를 주제로 투이컨설팅의 김정욱 이사가 발표했다.

먼저 제로 트러스트와 관련, 글로벌 시장부터 살펴보면 범 정부 차원으로 제로 트러스트 관련 정책이 점진적으로 확대되고 있다. 마켓앤마켓 전망에 따르면 2023년 311억 달러에서 2028년 679억 달러로 이 기간 연평균 16.9% 성장할 것으로 기대된다. 국내에서도 과기정통부와 KISA, 국가정보원, 금융감독원 등이 각자 제로 트러스트 관련 정책을 마련, 정비해나가고 있는 상황이다. 이처럼 아직까지 제도적 상황이 준비 중인 만큼 보안 담당자들 역시 제로 트러스트에 대한 이해가 필요한 것이 사실이다. 김정욱 이사는 “인증 체계 강화, 마이크로 세그멘테이션, 소프트웨어 정의 경계, 이 3가지가 유기적으로 돌아가는 구조가 제로 트러스트의 완벽 구현 이미지라고 생각하고 있다”고 말하고 “여기에 더해 제로 트러스트 접근제어를 위한 논리 컴포넌트로 PEP, PDP, 그리고 PIP(정책 정보 지점)이 필요하다”고 덧붙였다.

기초적인 개념 설명에 이어 김 이사는 제로 트러스트에 대한 현실적인 질문에 대해 언급했다. 제로 트러스트가 무엇인지, 왜 바꿔야 하는지, 바꾼다면 기존의 것을 다 바꿔야 하는건지, 그리고 실제로 어떻게 적용해야 하는지 등이다. 포티넷 조사에 따르면 현재 고객들은 제로 트러스트가 필요하다는 것을 공감하고는 있으나, 도입을 위한 구체적인 가이드, 방법론이 없어 구현에 어려움을 호소하고 있다. 국내에서 진행된 한 설문에서도 제로 트러스트 보안 도입에 대해 절반 이상이 “의사는 있지만 구체적인 계획은 없다”고 답했다. 계획이 전혀 없다고 답한 경우도 17%에 달했다. 정보보호 투자는 법과 규정에 어긋나지 않을 정도로만 한다는 현실적 상황과, 정보보호 실무 인력이 소수 정예로 운영된다는 한계도 지적됐다. 즉 현재 제로 트러스트 보안 도입은 복잡하고 긴 시간이 소요된다는 점에서 쉽지 않고, 현재 성공 사례나 평가 체계가 잘 알려져 있지 않은 데다 내부적 반대에도 직면하고 있다는 점에서 장벽이 존재한다. 이에 김정욱 이사는 기존 보안 환경에서 제로 트러스트 철학을 적용하는 방법과, 시나리오를 기반으로 제로 트러스트를 적용하는 방법, 큰 범위부터 적용하고 이후 상세 적용하는 방법 등 3가지의 부분 도입 케이스를 제시했다.

이어 김 이사는 투이컨설팅이 수립한 성숙도 모델에 대해 설명했다. 해당 모델은 우선 제로 트러스트 성숙 수준을 핵심 영역별로 진단하고, 이에 따라 단계적 도달 목표를 설정한다. 그리고 목표 수준을 달성하기 위해 수행해야 할 과제를 도출하며, 이후 과제의 우선순위와 단계적 로드맵을 수립한다. 마지막은 과제를 프로젝트 또는 태스크포스(TF) 형태로 수행하는 단계다.

특히 투이컨설팅은 자사가 축적한 경험과 국내외 성숙모델을 참조해 자체 모델을 개발했다. 준비, 도입, 확산, 성숙, 최적화 등 5가지 단계로 성숙도를 평가하고 있으며 이는 △식별자/신원 △기기/엔드포인트 △네트워크 △시스템 △응용/워크로드 △데이터 등 6가지 영역과 가시성 및 분석, 자동화 및 통합, 거버넌스를 포함하는 3가지 교차 영역을 기반으로 측정된다.

이어 김정욱 이사는 제로 트러스트 접근법을 준비, 계획, 구현, 운영, 피드백 및 개선 등 5가지 단계로 나눠 소개했다. 준비 단계에서는 충분한 검토와 체계적인 준비를 통해 도입 계획을 수립하게 된다. 계획 단계에서는 성숙도 평가를 기반으로 제로 트러스트 도입 과제를 도출하고, 아키텍처를 설계한다. 구현 단계에서는 제로 트러스트 아키텍처 설계에 따라 적합한 솔루션을 선택한다. 이후 운영 단계와 피드백 및 개선 단계에서는 정책 시행에 대한 모니터링을 지속적으로 시행하면서 제로 트러스트 보안 적용을 확장해 나간다.

마지막으로 김정욱 이사는 “제로 트러스트 기술은 지속적으로 발전하고 다양화될 것이며 기술의 구현이 아닌 철학과 그 적용에 대한 고민이 우선돼야 한다. 그리고 한 번에 제로 트러스트 사상과 기술이 적용되는 것은 현실적으로 어려우며, 기존 보안 기술이 필요한 영역과 제로 트러스트 적용 영역이 단계적으로 확대되는 것이 바람직하다”고 설명하고 “기업/기관이 모두 동일한 방법으로 적용할 수 없고, 현재 수준을 정확히 평가하는 것부터 시작이다”라고 덧붙였다.