Home > 전체기사

기업 보안 경계를 확장하라! 제로 트러스트 모델이란?

  |  입력 : 2020-11-06 18:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2010년 포레스터 연구원이 제안한 보안 모델...미국 인사관리국 침해사고 이후 본격 도입
네트워크와 데이터에 대한 접근을 무조건 의심하고, 신원과 자격을 철저하게 검증하는 것이 핵심


[보안뉴스 이상우 기자] 1998년 개봉한 재키 찬 주연의 영화 ‘Who Am I(국내 개봉명: 성룡의 CIA)’에서 악덕 CIA 요원 ‘모건’은 기억을 잃은 주인공에게 신뢰를 얻기 위해 이런 말을 했다.

“Dont trust anyone”

지난 주 열린 국제 시큐리티 콘퍼런스 ‘ISEC 2020’에서는 코로나19로 인한 비대면과 디지털 트랜스포메이션을 통한 업무환경 변화에 맞춰 어떤 보안 패러다임과 전략을 도입해야 하는지 논의가 펼쳐졌다. 이 행사에서 자주 언급된 화두는 바로 ‘제로 트러스트(Zero Trust)’ 모델이다.

[이미지=utoiamge]


제로 트러스트란 표현 그대로 ‘아무도 믿지 말라’는 의미다. 사람 혹은 기기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무도 신뢰하지 않는 보안 전략이다. 이들이 접근하기 위해서는 먼저 누구인지, 어떤 접근권한을 가지고 있는지, 안전한 인가장비인지 등 유효성을 입증한 뒤 권한을 받아야 한다.

이러한 개념은 지난 2010년, 세계적인 연구기관 포레스터 리서치(Forrester Research) 보안위협 팀의 존 킨더백(John Kindervag) 수석 애널리스트가 제안한 보안 모델로, 오늘날 코카콜라, 구글, 웨스트젯 항공 등 다양한 기업에서 쓰는 전략이다. 특히, 미국 하원은 인사관리국(OPM) 침해사고 이후 모든 정부기관이 제로 트러스트 모델을 채택할 것을 권장하고 있다.

비록 10년 전에 등장한 개념이지만, 오늘날 상황에도 어울리는 전략이다. 코로나19 확산으로 인해 원격·재택근무를 도입하고 있으며, 업무 공간이나 기기가 사무실을 벗어나 가정이나 카페 등 다양한 공간으로 확장되고 있다. 과거에는 외부에서 접근하는 공격자를 차단하는데 주력했지만, 이제는 직원도 기업 외부에서 접근을 시도하는 상황이다. 이 때문에 무조건 접근을 차단하는 것이 아니라, 확실한 제로 트러스트 모델을 기반으로 철저한 신원 확인 프로세스를 거쳐 필요한 만큼의 접근 권한만 제공하는 방향으로 보안 패러다임을 전환할 필요가 크다.

클라우드와 원격근무로 기존 보안 경계가 회사 밖으로 넓어져
최근 기업 보안 환경은 네트워크, 기업용 애플리케이션, 클라우드 등 외부와 접촉할 수 있는 지점이 늘어났으며, 사용자와 기기 역시 다양해졌다. 단적인 예로, 회사에서 지급하던 PC만을 사용하던 과거와 달리, 개인용 PC나 스마트폰을 이용해 업무 시스템에 접속하고 사내 네트워크뿐만 아니라 가정 및 모바일 광대역 등 다양한 방식으로 기업 네트워크에 접근한다.

[사진=utoimage]


앞서 언급한 것처럼 기존에는 큰 울타리 하나만 세워 기업을 보호했다면, 이제는 외부에 나가 있는 기기와 사용자 각각에 울타리를 쳐야 하는 상황이다. 각각의 울타리 크기는 작지만, 울타리 전체 면적은 과거와는 비교할 수 없을 정도로 넓어진 셈이다. 이 같은 환경에서 개별 사용자와 기기에 대해 모두 보안을 적용하고 관제하는 것은 많은 비용과 노력이 드는 일이다.

이 때문에 제로 트러스트 모델이 주목받고 있다. 기업 내 관리자가 네트워크에 접속하는 모든 기기를 점검하고 관리하는 것은 현실적으로 매우 어려우며, 사용자 역시 자신의 기기에 관리자가 개입 및 제어하는 것을 선호하지 않는다. 이에 관리자는 모든 사용자와 기기에 보안을 적용하는 대신, 컴플라이언스를 위반할 것이라고 가정한 상태에서 취급하며, 이들이 데이터, 앱, 인프라, 네트워크 등에 접속하려고 하면 철저한 신원 확인 및 인증을 통해 권한을 부여한다. 특히, 인증 이후에도 최소한의 영역에만 접근할 수 있도록 권한을 적용해 수평이동을 줄일 수 있다.

차단보다는 철저한 신원 인증에 초점
이러한 인증 과정에는 기본적인 ID와 비밀번호 같은 지식기반 인증뿐만 아니라 OTP나 보안 키 등 소유기반 인증, 지문이나 홍채 등 속성기반 인증을 복합적으로 사용해 신원에 대한 철저한 확인이 가능하다. 가령 시스코는 멀티팩터 인증인 DUO를 통해 접속자의 신원과 기기 상태를 파악하는 솔루션을 제공한다. 사용자의 스마트폰이나 웨어러블 기기 등을 인증에 이용할 수 있으며, 이 과정에서 사용자 수준에 맞는 정책 적용 및 기기 자체의 보안 점검 등이 이뤄진다.

▲MS의 제로 트러스트 전략에 대해 강연하고 있는 한국마이크로소트 박상준 매니저[사진=보안뉴스]


마이크로소프트는 애저 액티브 디렉토리(Azure Active Directory, Azaure AD) 기업용 ID 서비스를 기반으로 사용자 인증을 지원한다. 계정 하나로 여러 클라우드 애플리케이션 및 데이터에 접속할 수 있는 SSO(Single Sign On)로 사용자가 복잡한 계정과 비밀번호를 외워야 하는 불편함을 줄임과 동시에 지문, 얼굴, 보안 키 등을 통한 멀티팩터 인증을 더해 보안성을 높였다.

아카마이 역시 SSO와 멀티팩터 인증 기반 솔루션을 제공한다. 아카마이는 과도한 ID와 비밀번호 조합은 사용자의 피로도를 높이고, 결과적으로 암호 재사용 및 취약한 암호를 사용하게 된다고 설명한다. 반대로 지나치게 어려운 비밀번호를 적용해 사용자가 잊을 경우, 이를 지원하는 IT 부서의 불필요한 업무 증가로 더 중요한 보안 영역에 집중하기 어렵다. 이러한 이유에서 간편한 로그인(SSO)과 멀티팩터 인증을 통한 신원 확인을 통해 불편함을 줄이고 생산성을 높일 수 있다.

제로 트러스트 구현을 위한 존 킨더백의 조언
제로 트러스트 모델을 제안한 존 킨더백은 효과적인 구현을 위해 몇 가지 권고사항을 소개한 바 있다. 우선 민감한 데이터 접근에 대해 가시성을 높이는 일이다. 데이터 위치를 파악하고 누가 얼마나 자주 접근하는지, 어떤 수준으로 보호해야 하는지 파악해야 제대로 된 보호가 가능하다는 의미다. 또한, 민감한 데이터의 위치를 파악했다면 이 데이터가 어떤 방식으로, 어떤 경로를 통해, 어느 위치까지 움직였는지도 파악해야 한다.

자동화한 컴플라이언스를 게이트웨이에 적용하고, 꼭 필요한 만큼만 접근을 허용해야 한다. 또한, 이 기준을 정하기 위해 IT 팀은 어떤 사용자가 어떤 데이터에 얼마나 자주 접속하는지 파악해야 하며, 단순히 경로나 프로토콜 같은 하드웨어적인 부분뿐만 아니라 어떤 애플리케이션을 이용했는지, 인증방식은 무엇인지 등에 대해서도 이해할 필요가 있다.

트래픽에 대한 가시성 확보 역시 중요하다. 모든 트래픽을 모니터링하면서 악성행위를 찾는 것은 물론, 보안을 강화해야 할 부분까지 능동적으로 찾을 수 있기 때문이다. 특히, 내부에서 시작되는 공격의 경우 기존처럼 외부 접근만을 파악해서는 탐지하기 어려운 만큼 네트워크를 세분화하고 각 네트워크에 대한 가시성을 확보해야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비