Home > 전체기사

NSA의 제로트러스트 보안 가이드라인, 간단히 요약하고 정리하기

  |  입력 : 2022-05-12 09:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 정부는 제로트러스트의 도입을 진지하게 권장하고 있다. 민간 기업들을 돕기 위해 가이드라인까지 이미 발표한 상황이다. NSA는 제로트러스트 도입은 길게 보고 가야 하며, 점진적으로 꼼꼼하게 진행해야 한다고 강조했다.

[보안뉴스 문정후 기자] 소프트웨어와 테크놀로지의 발전 속도가 심상치 않다. 그러다 보니 각종 표준과 프로토콜을 제때 파악해 도입하는 일 조차 심각한 수준으로 난이도가 높아지게 되었다. 제로트러스트라는 개념이 최근 크게 주목과 환영을 받고 있긴 하지만 그러한 이유로 잘 도입되지 않고 있다. 그래서 2021년 2월 미국의 NSA는 제로트러스트라는 보안 모델을 도입하는 것에 대한 가이드라인을 발표한 바 있다. 필자는 이번 칼럼을 통해 그 가이드라인에 대한 가이드라인을 제공하고자 한다. 제로트러스트는 현재로서 꽤나 효과적인 보안 프로토콜임이 분명하기 때문이다.

[이미지 = utoimage]


제로트러스트 보안 : 훑어보기
제로트러스트 보안은 일종의 철학이며 동시에 보안에 대한 수많은 접근법 중 하나다. IT 분야를 담당하고 있는 결정권자들과 종사자들 모두 자신들이 다루고 있는 IT 기술과 사이버 보안 문제에 대하여 다시 한 번 생각해 보도록 만드는 개념이다. 이미 위협은 당신 주변에 있으며, 이미 은밀한 공격이 발생한 뒤라고 믿어야만 성립 가능한 것이기 때문이다. 이는 ‘아직 막을 수 있다’는 개념과 궤를 달리하며, 따라서 보안의 기존 철학을 송두리째 뒤집는다.

아직 세상의 많은 조직들이 이 개념을 완전히 받아들이지 않고 있다. 침해를 막겠다는 의지는 네트워크 아키텍처에 가득한데, 이미 공격은 발생했다는 전제 따위는 들어설 틈이 없다. 그런 확고한 의지 때문에 오히려 네트워크에 균열이 가고 빈틈이 생기는데 말이다.

제로트러스트 보안 모델은 데이터 중심의 아키텍처다. IT의 물리적 부분에 대한 관심을 조금 줄이고, ‘이동’에 조금 더 초점을 맞추는 것이다. 사이버 범죄자들이 결국 가져가려 하는 것이 무엇인지에 집중한다는 뜻이다. 그들이 원하는 건 데이터다. 그 데이터가 어디에 어떻게 전송되는지 알고, 그 과정을 보호하는 것에 집중하는 것이 제로트러스트라고 할 수 있다.

그러므로 제로트러스트는 접근 권한과 권한 설정에 있어 엄격할 수밖에 없다. 기업의 디지털 자산에 정상적인 사용자가 접근하는 것 자체부터 빡빡하게 설정하는 것이다. 빡빡하다는 건 다름 아니라 누구나 자신이 가진 권한 만큼만 데이터를 열람하고 다룰 수 있게 된다는 뜻이다. 권한 너머의 것에는 아무도 닿을 수 없다. 리스크를 기반으로 한 접근 통제라고도 말할 수 있다.

지난 수 년 동안 이러한 제로트러스트 보안 모델의 도입 비율은 꾸준히 증가하고 있다. 하지만 그 비율은 미비하며, 도입했다는 조직들도 이 제로트러스트를 전부 활용하고 있다고 말하기는 어려운 상태다. 

NSA는 왜 사기업 네트워크 보안에 신경을 쓰는가?
NSA의 주요 임무 중 하나는 국가 안보를 위협하는 모든 요소들을 제거하는 것이다. 국가 경제의 기반이 되는 시설들을 지키는 것도 NSA의 역할이다. 그런 임무를 수행하려면 이제 사기업과 공기관 사이의 벽이 허물어지고 보다 투명한 교류 채널이 만들어져야 한다. 예전에는 안 그랬을지 모르지만, 이제는 그런 방향으로 나아가는 것이 맞다. 네트워크는 결국 모두와 연결되어 있기 때문이다.

이러한 기조가 유지된다는 건 기업이 정부에, 정부가 기업에 위협 첩보를 알리고 경고한다는 뜻이 된다. 이렇게 함으로써 국가가 활용할 수 있는 모든 인재들의 능력이 해킹 공격으로부터 나라 전체를 보호하는 데에 쓰일 수 있다. 좋은 인재를 정부나 기업들에 뺏긴다고 더 이상 말할 수 없는 것이  이런 상호 첩보 교류의 장점이기도 하다.

지난 몇 년 동안 우리는 사이버 보안 사고가 기하급수적으로 증가하는 것을 목도해 왔다. 멀웨어를 앞세운 공격은 2020년 한 해 동안 358% 증가했고, 2021년 랜섬웨어로 인한 피해 규모는 200억 달러에 이르렀다. 그러면 그럴수록 데이터는 모든 사람과 기업과 기관들에게 소중한 자산 및 경제의 기본 재료가 되어가고 있다. 데이터 침해 공격에 당한 기업들이 그 다음부터 겪어야 하는 고난의 연속 또한 사례가 풍성히 존재한다.

기술에 대한 일반인들의 의존도는 매일 높아지고 있다. 암호화폐, 사물인터넷, 메타버스 등 새로운 기술에 대한 두려움도 점점 옅어지고 있고, 심지어 전부 이해하지 않고도 빠르게 도입한다. 이런 모든 흐름을 종합했을 때 민간인이나 민간 기업들을 겨냥한 사이버 범죄들은 더 이상 개인 및 사기업의 일이라고 하기가 힘들다. 점점 더 국가 안보에 영향을 미치는 일이 되고 있다.

NSA가 강조하는 제로트러스트 모델 구축법
그렇다면 NSA는 제로트러스트 모델을 어떤 식으로 도입하라고 미국 기업들에 권고하고 있을까? NSA가 제일 먼저 강조하는 건 제로트러스트라는 개념을 모든 임직원들에게 가르쳐 누구나 제로트러스트를 제대로 이해하도록 하라는 것이다. 제로트러스트에 대한 선입견이나 오해를 전부 없애고, 그럼으로써 부정적인 생각 혹은 의문스러운 점을 전부 해소해야 한다고 NSA는 강조한다.

NSA의 가이드라인에 따르면 제로트러스트에 대해 교육해야 될 내용은 여러 가지다. 그중 첫 번째는 제로트러스트 소프트웨어를 설치하는 것으로 제로트러스트가 구축되는 건 아니라는 것이다. 많은 일반인들은 제로트러스트를 특정 소프트웨어나 애플리케이션으로 생각하고 있고, 그래서 큰 고민을 하지 않는다. 제로트러스는 클릭 몇 번으로 되는 게 아니며, 데이터를 다루고 교류하고 처리하고 저장하고 삭제하는 모든 과정에 대한 종합적 접근법 자체다.

그러므로 제로트러스트는 순식간에 짜잔하고 설치되는 그런 게 아니다. 당연히 제로트러스트 보안을 하루아침에 시작할 수도 없다. 일부 전문가들 사이에서는 ‘제로트러스트는 여정’이라는 소리도 나오고 있는데, 적절하다. 제로트러스트를 성공적으로 도입하는 데에는 수년이 걸릴 수도 있다.

NSA도 제로트러스트를 점진적으로 도입하는 것을 권고한다. 기어서 가다가 걷고, 걷다가 뛰는 식으로 접근하라고 강조한다(crawl, walk, run). 조심스럽게, 그러므로 최대한 시간을 들여 꼼꼼하게 나아가는 것이 중요하다는 게 NSA의 입장이다. 가장 기본적인 원칙들부터 순서대로 도입하는 것 역시 NSA가 강조하는 부분이다. 기초부터 탄탄히 마련해야 보다 고차원적인 개념과 원칙까지도 적용하기가 수월해진다.

기본부터 점진적으로 진행하라는 건 무슨 뜻인가? 바로 적잖은 인내심이 요구된다는 것과, 조심스럽게 기획하여 꾸준하고 조심스럽게 시행해야 한다는 것이다. 제로트러스트를 도입한다는 건 결국 장기적으로 디지털 자산을 보호하기 위한 기본 프레임워크를 형성하는 것이므로 서둘러서 좋을 것이 전혀 없다. 보안 프레임워크 안에 들어가는 사용자, 데이터, 장비, 트래픽을 이해하고, 데이터가 어떻게 어떤 목적으로 흘러가고 사용되고 처리되는지를 더 면밀히 이해하는 데 충분한 시간을 써야 한다. 

제로트러스트 구축의 첫 번째 : 기어가라
제로트러스트를 구축하기로 했다면 초기 단계(기어가는 단계)에서 기업들이 해야 할 것은 데이터의 흐름을 분석하는 것이라고 NSA는 가이드라인을 통해 강조한다. 많은 기업들이 사내 데이터 흐름을 잘 이해하고 있다고 생각하는데, 실제로 정확한 현황을 파악하고 있는 기업은 50~60%라고 한다. 데이터의 흐름을 파악하라는 건, 데이터가 어떤 경로를 거쳐서 이동하는지, 그리고 어디에 저장되는지를 정확히 이해하라는 뜻이다. 어떤 데이터가 클라우드에 있으며, 어떤 데이터가 온프레미스에 있는지, 어떤 데이터가 암호화 되어 있는지를 알고 있어야 한다.

데이터에 대한 이해도가 갖춰졌다면 네트워크를 알아봐야 할 차례다. 데이터가 통과하는 통로 그 자체를 이해해야 한다는 뜻이다. 네트워크에 연결된 사용자가 누구이며, 잠재적 사용자는 누구인지, 있어서 안 될 사용자는 어떤 사람들이며, 네트워크의 정상적인 상태는 어떠하며, 누가 어떤 권한을 가지고 어떤 범위로 움직이는지를 전부 알아두어야 한다. 예를 들어 액티브 디렉토리를 사용하는 경우 퇴직자들의 계정이 전부 삭제되어 있는지 등을 살피는 것도 이 단계에 포함된다.

여기에 더해 최근 유행하는 것처럼 원격 및 하이브리드 근무 환경을 구축한 경우, 인증과 내외부 장비 모니터링을 능동적으로 진행해야 한다. 네트워크 현황을 파악할 때 이러한 부분까지도 전부 아우르는 게 중요하다. 결국은 정해진 애플리케이션들만 정해진 네트워크에 접속할 수 있도록 하는 것이 제로트러스트의 목표이니, 그러한 맥락에서 조사를 진행하는 것이 좋다. 이 ‘기어가는’ 단계의 목표는 데이터, 네트워크, 사용자, 장비, 애플리케이션 사이의 다이내믹을 조사하는 것이라고 정리할 수 있다. 

사용자의 관점
조직들과 사용자가 가장 걱정하는 것 중 하나는 ‘제로트러스트를 도입하면 생산성이 떨어지지 않을까?’이다. 아무도 믿지 않고, 모든 것을 매 단계마다 확인하고 넘어간다고 하니 생산의 흐름에 방해가 될 것이 쉽게 예상되기 때문이다. NSA는 이 부분에 대해 “제로트러스트가 사용자의 경험에 부정적인 영향을 준다면, 그건 잘못된 것”이라고 말한다. 사용자 입장에서 무슨 변화가 있었는지 체감이 안 될 정도가 되어야 잘 도입된 제로트러스트라고 한다. 

그렇지만 사용자 입장에서 아무런 변화를 느끼지 못하는 게 정상이라는 건 아니다. 분명히 사용자와 데이터/네트워크 간의 관계에는 변화가 있어야 하고, 이는 사용자가 네트워크에 접속하고 데이터를 활용할 때의 기본적인 마음가짐 자체의 변화를 요구한다. 특히 사용자가 로그인하는 방법에는 변화가 있을 수밖에 없다.

우리는 사용자 ID와 비밀번호를 입력해 로그인 하는 데에 익숙해져 있다. 제로트러스트가 성공적으로 도입되면 다중인증이 기본이 된다. 또한 한 가지 방법이 아니라 여러 가지 인증 방법이 도입될 가능성도 높다. 이런 부분에 있어서는 사용자의 경험이 바뀔 것을 예상하는 것이 좋고, 미리 알리고 교육하는 것이 현명하다. 다중인증은 NSA만이 아니라 국방부와 국가안보보장전략실 등에서도 강력히 추천하는 인증 기법이다.

결론
제로트러스트는 소통과 연결이 가능한 장비들과 사용자, 방법을 제한한다. 그러므로 네트워크 관리자 입장에서 바라봐야 하는 노이즈를 크게 줄여준다. 트래픽을 추적하고 분석하고 관리하는 게 훨씬 편해진다는 뜻이다. NSA의 제로트러스트 전략 책임자인 랜디 레즈닉(Randy Resnick)은 “제로트러스트는 두려워할 것이 아니라 받아들여야 할 개념”임을 강조한다. 그리고 “이런 제로트러스트가 서서히 자리를 잡아감에 따라 해킹 사고 소식이 조금씩 줄어드는 것을 체험할 수 있을지도 모른다"고 희망하고 있다. 

글 : 샘 보체타(Sam Boceta), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)