[2023 보안 핫키워드-5] 2023년, 보안분야에서 진짜 ‘HOT’한 제로트러스트와 공급망 보안

입력 : 2022-12-29 17:52

아무 것도 믿지 말라, 제로트러스트...보안원칙의 하나로 자리 잡아
솔라윈즈 등 굵직한 사건 연이어 터지며 주목받은 공급망 보안, SBOM이 대안으로 떠올라

[보안뉴스 원병철 기자] 2014년과 2015년, 연이어 발생한 미국 연방인사관리처(OPM) 해킹사건은 2,200만 명의 개인정보 유출과 함께 미국사상 최악의 해킹사건으로 꼽혔다. 특히 연이은 해킹공격에 인사관리처의 사용자 인증 시스템의 허술함과 보안 실태의 문제점이 수사결과 밝혀지면서 미국 정부를 중심으로 ‘제로트러스트(Zero Trust)’ 모델의 도입이 요구됐다.


제로트러스트는 ‘아무것도 믿지 말라’는 의미로 1994년 S.P. March의 ‘Formalising Thrust as a Computational Concept’ 보고서에서 처음 언급됐고, 이후 2003년 제리코 포럼(Jericho Forum)의 ‘조직 IT시스템 경제 정의’와 2009년 구글의 제로트러스트 환경 ‘BeyoundCorp’ 등에서 거론됐다. ‘제로트러스트’라는 용어는 2010년 포레스터 리서치의 존 킨더버그(John Kindervag) 수석 애널리스트가 발표한 ‘No More Chewy Centers : Introducing The Zero Trust Model of Information Security’ 보고서였는데, 비교적 보안이 느슨한 내부에 사이버 범죄자들이 침투했을 때 새로운 보안모델로 제로트러스트를 주장했다.

이러한 제로트러스트는 초기에는 보안기업의 마케팅 용어로 사용되며 하나의 솔루션처럼 소개됐지만, OPM 해킹사건 이후 미국표준기술연구소(NIST)가 2020년 8월 ‘SP 800-207’ 보고서에서 ‘제로트러스트 아키텍처(Zero Trust Architecture)’를 소개하면서 ‘보안원칙’ 중 하나로 자리 잡게 됐다. 실제로 SP 800-207 보고서 이후 미국 연방정부와 의회는 제로트러스트 도입에 팔을 걷었다.

2021년 5월 바이든 대통령은 ‘국가 사이버보안 개선을 위한 행정 명령(Executive Order 14028)’을 발표했고, 6월 미국 사이버보안 전담기관 CISA는 제로트러스트 성숙도 모델(Pre-decisional Draft)을 발간했다. 7월에는 NIST가 ‘행정명령(EO-14028)’ 관련 주요 소프트웨어에 대한 보안성 관련 지침을 발표했고, 미국백악관관리예산처(OMB)는 제로트러스트 사이버 보안 원칙을 향한 미 연방정부 전략에 관한 각서를 발표했다. 2022년 5월 NIST는 제로트러스트 아키텍처 계획 : 연방 관리자를 위한 계획수립 지침 백서 ‘CSWP 20’을 발간했으며, 같은 해 8월 제로트러스트 아키텍처 구현(SP-1800-35A~D, Preliminary Draft)을 발간했다.

공급망 보안은 연이어 발생한 ‘공급망 공격(Supply Chain Attack)’에 대응할 수 있는 방법으로 제시됐다. 여기서 공급망이란 소프트웨어 개발부터 배포, 설치, 유지보수에 이르는 모든 과정을 말하며, 공급망 공격이란 공격자가 공급망의 과정에 개입해 변조된 소프트웨어를 사용자의 시스템에 전달되도록 하는 공격이다. 대표적인 공급망 공격 사건인 미국의 솔라윈즈는 유지보수(업데이트) 단계를 노려 발생한 사건이다. 공격자는 솔라윈즈의 시스템 내부에 침입해 업데이트 파일을 변조하고, 정상적인 업데이트 채널을 통해 사용자에게 전파했다.

공급망 보안이 이슈가 된 이유는 외부의 공격도 있지만, 대부분의 소프트웨어가 오픈소스를 이용하거나 라이브러리를 엮어서 하나의 시스템을 만드는 경우가 많다는 것도 한몫했다. 문제는 이러한 상태에서 하나의 컴포넌트(소프트웨어 모듈을 미리 만들고, 필요할 때 이를 조립하는 것)에 ‘취약점’이 발생할 경우 이를 이용한 모든 소프트웨어가 감염될 수 있다는 점이다. 심지어 취약점이 있는 컴포넌트를 사용했는지 조차 모르고 지나칠 수도 있다.

이때 필요한 것이 바로 SBOM이다. SBOM은 Software Bill of Materials, 즉 소프트웨어 자재 명세서의 줄임말로, 이를 이용해 어떤 컴포넌트로 구성됐는지 파악해 놓으면, 나중에 취약점이 발생했을 때 바로 확인해 대응할 수 있다. 물론 소프트웨어 자체에 취약점이 있다면 SBOM이 도움이 안 될 수도 있지만, 현재 많은 사이버 공격그룹들이 공급망 공격에 집중하는 상황에서 최소한의 보안 강화를 할 수 있다는 점에서 주목받고 있다. 바이든 행정부도 행정명령 14028을 통해 SBOM을 언급했다.

이처럼 미국정부를 중심으로 제로트러스트와 공급망 보안(SBOM)이 체계를 갖추고, 영국 등이 보조를 맞추고 있는 상황에서, 우리나라 역시 2022년 10월 26일 ‘제로트러스트·공급망 보안 포럼’을 발족하고 기존 보안체계의 한계를 뛰어 넘는 신보안체계 마련에 나섰다. 때문에 제로트러스트와 공급망 보안, 이 두 가지 키워드는 2023년 사이버보안의 판도에 큰 영향을 끼칠 것으로 기대된다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 3

  SW 공급망 보안 가이드라인 1.0 발표.....

• 4

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 5

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...