[아이티데일리] 제로 트러스트(Zero-Trust)는 널리 사용되는 용어임에도 많은 조직에 혼동을 주고 있다. 가트너는 제로 트러스트를 사용자와 장치를 명시적으로 식별하고 그들에게 적절한 정도의 액세스 권한을 부여하는 보안 패러다임으로 정의한다. 즉 기업들이 위험은 줄이고 마찰은 최소화하면서 비즈니스를 운영할 수 있도록 하는 것이다. 제로 트러스트는 특정 아키텍처 및 기술의 마인드셋, 패러다임, 전략 또는 구현의 형태로 적용될 수 있다.

실시간 상황 기반 제어를 사용해 엔터프라이즈 리소스에 대해 최소 권한 액세스 제어(Least-Privileged Access Control)를 구현한다는 아이디어는 매일 직면하는 위협의 공격을 막으려는 조직에게 매력적일 수밖에 없다.

ZTNA(Zero-Trust Network Access)와 같은 제로 트러스트 기술을 채택하는 조직은 하이브리드 원격 인력을 지원하기 위해, 또는 경계 보안 제어의 실패에 대한 대응 차원에서 해당 기술을 도입한다. 멀웨어(Malware)는 감염 및 측면 이동에 활용할 벡터를 제공하는 조직 자산 간의 암시적 신뢰와 도용된 크리덴셜을 이용한다. 보안업체는 이 기회를 활용해 기존 기술을 재패키징하고, 새로운 보안 방식에 투자하려는 조직들에게 침해 및 사고를 줄여줄 새로운 기술들을 제공했다.

그러나 제로 트러스트는 하나의 기술만으로 달성할 수 있는 것이 아니다. 성숙하고 광범위하게 배포되기에 이를 구현하기 위해서는 여러 다른 구성 요소의 통합이 필요하며, 종종 추가 예산과 수준 높은 프로그램, 그리고 다년간의 구현 노력이 필요하다.

MIT 링컨 연구소(MIT Lincoln Laboratory)는 조직이 규모에 맞게 제로 트러스트를 구현하는데 3년에서 5년이 필요하다고 밝혔으며, 구글(Google)의 비욘드코프 백서(BeyondCorp Whitepapers)에 따르면 비욘드코프로의 마이그레이션은 수년이 걸렸다고 한다. 상위 레벨의 제로 트러스트 아키텍처는 <그림 1>과 같다.

조직이 제로트러스트를 활용하려면 제로 트러스트 아키텍처 내 데이터의 최소 권한 액세스, 리소스 민감도 및 기밀성 측면을 고려해야 한다. 이러한 개념은 새로운 것이 아니다.

과거 최소 권한 액세스 제어를 구현하려는 조직들은 범위를 확장하고 제어를 세분화하는 과정에서 많은 어려움을 겪었다. 제로 트러스트는 이러한 문제에 면역이 되어 있지 않다. 조직은 제로 트러스트를 성공적으로 달성하기 위해 미리 계획하고, 인력 및 리소스에 투자해야 하며, 제로 트러스트를 보안에 대한 일회성 솔루션으로 생각해서는 안 된다.

전략적 계획 가정 (1) : 2026년까지 대기업의 10%가 성숙하고 측정 가능한 제로 트러스트 프로그램을 시행할 것이다.

시장에 미치는 영향 (1) : 제로 트러스트 전략은 조직이 얼마만큼의 투자를 하는지, 투자로부터 얻을 수 있는 이익은 얼마인지에 대한 비즈니스 관점에서 추진돼야 한다. 조직이 사이버 보안을 비즈니스 투자의 일환으로 설명할 수 있다면 제로 트러스트를 위한 노력은 다른 보안 프로그램들과 함께 보다 선제적이고 구조화될 수 있으며 측정이 가능하게 될 것이다.

공급업체들은 제로 트러스트에 대한 마케팅을 강화하고 있다. 미국 국방부 및 사이버보안 및 기반시설 보안청(CISA)과 같은 조직은 조직과 연결된 모든 도메인과 리소스에 제로 트러스트 개념을 적용했다.

제로 트러스트 프로토콜 및 기술 그리고 제로 트러스트의 효과를 측정하기 위한 운영 지표에 대한 표준은 거의 없는 상태다. 공급업체는 종종 특정 제품을 중심으로 자체 성숙도 모델 및 벤치마킹 서비스를 인용하고 있기는 하지만 제로 트러스트에 대한 벤치마킹은 모든 사람이 따라야 할 보편적인 표준이 없어 측정이 어렵다.

범위와 성숙도는 또 다른 중요한 문제다. 조직은 제로 트러스트의 범위와 제로 트러스트 제어의 정교함에 대해 정의해야 할 필요성을 느끼고 있다. 모든 조직이 제로 트러스트 제어에서 최고 수준의 성숙도를 달성하기 위해 노력해야 하는 것은 아니다.

제로 트러스트 제어 효과의 이익은 다음과 같이 감소하고 있기 때문이다. 인터넷 가시성에서 애플리케이션을 제거하면 웹 애플리케이션에 대한 가장 흔한 유형의 공격인 외부 해킹 및 디도스(DDoS) 공격으로 인한 위험이 크게 줄어든다. 전체 네트워크 액세스 대신 애플리케이션에 대해 장치 액세스를 추가로 제한하면 측면 멀웨어 전파 위험이 감소한다. 지속적인 상황에 기반한 위험 조정 액세스 정책을 활용하는 것이 민감한 리소스와 위험한 사용자에게 적합할 수 있다.

가트너의 예측에 따르면 대부분의 조직은 제로 트러스트 여정의 시작 단계에 있다. 제로 트러스트가 가져올 결과를 기대하면서도 실제 제로 트러스트 구현 후 현실에서 일어날 문제에 초점을 맞추는 경우는 드물다.

여정이 조금 더 진행된 조직은 표준화가 이루어지지 않은 서로 다른 공급업체들의 여러 정책 정의 혹은 정책 엔진의 복잡성으로 인해 난관에 봉착한다. 최소 권한 액세스를 구현하고 유지하는 것은 여러 가지 IT 환경을 고려할 때 쉬운 일이 아니며 제로 트러스트 정책 또한 예외는 아니다. 현재는 제로 트러스트 제어 내에서 리소스가 완전히 격리돼있는지, 의도한 정책이 시행되고 있는지 조직이 확인할 수 있도록 제로 트러스트 보증 테스트 도구와 서비스가 부족하다.

제언 (1) : 성숙하고 측정 가능한 제로 트러스트를 구현하기 위해서는 다음을 기억해야 한다.

● 제로 트러스트가 사이버 위협을 제거할 것이라고 가정하지 말고 얼마나 많은 피해를 줄일 수 있는지 정량화한다. 사이버 위험 정량화 기술과 결과 기반 지표(ODM, Outcome driven metrics)를 사용해 제로 트러스트에 대한 투자를 이끌어 낸다.
● 일차적으로 가장 중요한 자산에 대한 위험을 줄이기 위해 제로 트러스트를 구현한다. 위험 완화에 대해 가장 많은 이점이 발생하는 지점이다.
● 사이버 복원력(Cyber Resilience) 및 지속적인 위협 노출 관리(CTEM) 계획같이 다른 예방적 보안 전략으로 제로 트러스트를 보완한다.
● CISA 성숙도 모델 혹은 공급업체별 모델 등 다른 기존 모델에서 파생된 고유한 성숙도 모델을 구축해 조직의 내부 제로 트러스트 목표에 대한 진행 상황을 추적한다. 조직에 맞게 조정되지 않은 성숙도 모델의 상대적 벤치마크 평가 도구를 채택하는 것보다 효과적이다.
● 구현 후 제로 트러스트 상태를 유지하는 데 필요한 리소스에 투자한다. 여기에는 구현된 제어에 대한 리소스 격리 및 최소 권한 액세스 정책 준수 테스트가 포함된다.

전략적 계획 가정 (2): 2026년까지 사이버 공격의 절반 이상이 제로 트러스트에 대해 무관심한 영역에서 일어날 것이다.

시장에 미치는 영향 (2): 제로 트러스트 아키텍처(ZTA) 프로젝트는 리소스를 동원하고 다년간 투자를 요구하는 힘든 프로젝트다. 제로 트러스트를 향한 업계의 과장 광고와 공급업체의 공격적인 약속으로 인한 높은 기대치는 ZTA로 달성 가능한 한계치를 덮어버린다.

엔터프라이즈 공격 표면은 더 빠르게 확장되며 ZTA가 보호할 수 있는 범위를 넘어 확장된다. ZTA 범위를 벗어나 확장되고 보호되지 않는 공격 표면, 보다 수익성이 높고 악용하기 쉬운 공격으로 피봇하는 공격자, ZTA 구현의 결함의 조합으로 인해 조직은 위험에 빠질 것이다.

가트너는 이전에 여러 번 입증된 바와 같이 공격자가 ZTA 범위 밖의 자산과 취약점을 피벗하고 표적으로 삼을 것으로 예측한 바 있다. 이는 합법적인 자격증명을 활용한 공격의 증가, ZTA의 보안 제어 부분에서 모니터링되지 않는 서비스 크리덴셜 피벗, 공개 API 스캔 및 악용, 그리고 너무 엄격한 ZT 정책을 피하고자 자신만의 바이패스(우회법, bypass)를 만든 직원들을 소셜 엔지니어링, 강제 또는 결함 악용을 통해 보다 직접적으로 대상화하는 방식으로 나타날 수 있다.

또한 제로 트러스트를 구현하는 데 필요한 기술도 성숙되지 않아, 조직은 더 쉬운 구현을 위해 통합 플랫폼을 사용하거나 최상의 구성 요소를 선택해 높은 비용을 지불해야 하는 상황에 직면하는 딜레마에 빠지기도 한다. 이는 공격자들이 악용할 수 있는 구현의 공백을 만들 수 있다. 세분화된 액세스 정책을 관리하는 비용은 자산과 사용자 페르소나(persona)가 증가함에 따라 기하급수적으로 증가한다.

제언 (2): 위와 같이 가정된 상황에서 위험을 예방하기 위한 방법은 다음과 같다.

● ZTA의 범위와 한계에 대해 ZT 후원자, IT 및 비즈니스 이해관계자와 명확하게 소통하고 필요한 기술의 성숙도와의 차이를 이해한다.
● ZTA 범위 밖의 위협 벡터에 대한 방어와 ZTA 전체에서 우선순위, 투자 및 리소스의 균형을 유지한다.
● 지속적인 위협 노출 관리(CTEM) 프로그램을 실행해 인벤토리를 개선하고 ZTA 범위를 넘어서는 위협에 대한 노출을 최소화한다.
● 외부에 노출되고 관리되지 않거나 혹은 식별되지 않은 자산의 경우, CTEM 접근 방식을 사용해 위험 감소를 위한 최상의 후보를 ZTA 내로 가져와 식별한다.

전략적 계획 가정 (3): 2027년까지 조직의 20%가 ZTNA 및 마이크로세그멘테이션(Micro segmentation)을 위해 동일한 업체를 최종 후보로 선정할 것이다. 이는 2022년 5% 미만에서 크게 증가한 수치이다.

시장에 미치는 영향 (3): 조직들은 제로 트러스트를 향한 전략 및 운영상의 변화와 ZTA 지원에 대해 관심을 보이고 있다. 제로 트러스트 기술은 2021년 말까지 순조롭게 발전되어 왔다. 그러나 기업들이 계속해서 ZTA 계획을 가속화하고 전략적 계획 단계를 넘어 실질적 구현 프로젝트로 전환함에 따라 구매자의 요구사항과 공급자의 역량 사이에는 여전히 격차가 존재하고 있다.

ZTNA는 제로 트러스트의 기업의 좋은 출발점이 된다. 오늘날 ZTNA의 주요 사용 사례는 원격 작업자를 위한 위험 완화 및 보호다. 최근에는 데스크 바운드 사용자, 온프레미스(on-premise) 네트워크 리소스 또는 워크로드 간 통신을 처리하는 공급업체는 점점 줄어들고 있다. 에이전트 기반 ZTNA는 조직의 가장자리에서 제로 트러스트를 구현하기 위해 확장된 인력에 제공되는 대규모 SASE(Secure Access Service Edge) 아키텍처 또는 SSE(Security Service Edge) 제품의 일부로 배포되고 있다.

또한 애플리케이션들은 모놀리식(Monolithic) 아키텍처에서 마이크로서비스 기반(MicroServices-Based) 아키텍처로 발전했으며, 기존의 물리적 또는 가상 머신에서 분산형 인프라(Disaggregated Infrastructure)로 이동했다.

따라서 완벽한 엔드 투 엔드 가시성을 위해 워크로드와 최종 사용자에게 더 가까운 세부적인 제어 기능을 적용해야 할 필요성이 생겼고, 이는 조직 입장에서 기존의 세그멘테이션 방법보다 더욱 바람직하다. 마이크로세그멘테이션은 방화벽 기능을 추상화해 개별 워크로드에 더 가깝게 배치해 이러한 수준의 제어 기능을 제공한다. 그러나 일반적으로 마이크로세그멘테이션 기술은 최종 사용자의 원격 액세스를 보호하기 위한 ZTNA 기능이 부족하다.

제로 트러스트 기술을 사용하려는 조직은 조직 전체의 보안 상태를 개선하고, 승인되지 않은 측면 트래픽 이동의 위험을 완화하며, 운영 복잡성 및 관리를 낮추기 위해 노력하고 있다. 그러나 클라이언트는 관리하기 어려운 솔루션을 밀어내면서까지 이 작업을 수행해서는 안 된다. 완전한 제로 트러스트 전략을 달성하려면 조직은 최소한 원격 액세스 사용자, 온프레미스 사용자 및 워크로드 간 연결 문제를 해결해야 하며, 이 때 ZTNA와 마이크로세그멘테이션이 모두 구축돼야 한다.

ZTNA 및 마이크로세그멘테이션의 일부 얼리 어답터(Early adopter)들은 서로 다른 제로 트러스트 솔루션을 사용할 경우 문제가 발생한다는 사실을 확인했다. 개별 기술과 제품을 사용하면서 유사한 여러 개의 정책 세트를 유지하면 불필요한 운영 관리 오버헤드가 발생한다는 것이다.

이런 이유로 조직들은 전체 아키텍처 복잡성을 낮출 수 있는 단일 업체, 단일 통합 및 단일 관리 인터페이스를 찾고 있다. 공급업체 솔루션은 제로 트러스트에 대한 전략적 관점을 포함해 RBAC(Role-Based Access Control) 및 ABAC(Attribute-Based Access Control)와 같은 액세스 제어를 지원하는 관리 창을 제공해야 한다. 이를 통해 IT 부서에서는 조직이 정책 준수 여부 관점에서 워크로드, 사용자 및 엔드포인트가 격리되었는지에 대해 명확한 가시성을 확보한다는 확신을 얻을 수 있다.

통합 ZTNA 및 마이크로세그멘테이션 솔루션은 IT팀이 시스템 관리자와 애플리케이션 팀에 높은 수준의 아키텍처 리스크 인사이트와 마이크로세그멘테이션 관점, 그리고 보안과 엔드포인트 팀을 위한 ZTNA 관점을 제공하며 격리된 대규모 조직에 적합하다.

제언 (3): 조직을 위한 권장 사항은 다음과 같다.

● 성숙도와 요구 사항에 따라 운영 주기를 단축하고 문제를 해결하는 제로 트러스트 솔루션을 구현할 때 가능한 한 적은 수의 공급업체를 선택한다.
● 완전히 통합된 에이전트나 정책 엔진이 아니더라도 오늘날 ZTNA와 마이크로세그멘테이션 옵션을 모두 제공하는 파트너 혹은 공급업체를 파악한다.
● 공급업체에 단순화된 제로 트러스트 정책의 정의, 변화하는 동적 환경에 대응할 에이전트 감소와 자동화에 대한 장기적인 로드맵과 비전을 요청한다.
● 추상적인 정의에도 불구하고 미래에는 이것이 통합된 정책으로 변화할 것이라 예상하며 상위 레벨의 제로 트러스트 정책을 정의한다.
● 최소한 단일 통합 대시보드와 리포팅 콘솔을 통해 제로 트러스트 정책의 가시성을 개선할 수 있는 공급업체 혹은 공급업체 파트너를 우선시한다.

전략적 계획 가정 (4): 2025년까지 조직의 60% 이상이 제로 트러스트를 보안의 시작점으로 채택할 것이다.

시장에 미치는 영향 (4): 성공적인 제로 트러스트 이니셔티브는 마케팅 및 규제 압력에도 불구하고 기술 이상의 것을 필요로 한다. 기본적으로 제로 트러스트는 많은 보안 프로그램의 기반을 형성한 암묵적 신뢰(Implicit Trust)를 제거한, ID 및 컨택스트를 기반으로 한 명백한 신뢰(Explicit Trust)를 뜻한다. 이를 위해서는 보안 프로그램과 제어 목표가 설정되는 방식이 변경돼야 하고, 특히 액세스 수준에 대한 기대치가 변화해야 한다.

이 문제는 ‘제로 트러스트’라는 용어에 그 의미가 함축되어 있다. 누구도 신뢰하지 못한다는 의미를 담고 있기도 하지만, 반대로 과하지 않은 필요한 양만큼의 신뢰를 한다는 뜻이기도 하다. 모든 책임을 수행할 수 있는 ‘적절한’ 신뢰는 발생할 수 있는 실수로부터 자신과 조직을 보호한다.

사이버 보안 리더는 먼저 제로 트러스트 프로그램만 실행하려는 시도를 경계해야 한다. 보안에 대한 접근 방식에 변화를 주지 않으면 이전 패턴이 반복되고 그 결과 값비싼 신기술만 적용할 뿐 보안에 대한 효과가 없어 이 접근 방식은 실패하게 될 것이다.

두 번째로 경영진의 지원이 필요하다. 이는 기술적인 측면만을 의미하는 것이 아니라, 제로 트러스트가 어떻게 새로운 비즈니스에 접근할 수 있고 탄력적인 환경을 제공하며 보다 유연한 액세스를 허용하는 지에 대해 설명해 준다. 경영진의 지원 없이 문화를 바꾸려는 시도는 현상을 유지하려는 힘에 의해 실패하기 쉽다.

마지막으로 복잡성과 과도기로 인한 중복성이 인정되어야 한다, 조직은 마이그레이션에 따라 이전 제어가 필요해지고 보안 팀은 두 가지 접근 방식을 운영해야 한다. 새로운 접근 방식은 세분화돼야 하지만, 그것이 관리될 수 있는 범위 내에서 기술적 목표를 달성할 수 있을 만큼 세분화돼야 한다. 이러한 두 가지 세분화 목표는 제로 트러스트로의 성공적인 전환을 위해 지속적으로 평가되고 조정돼야 하는 필수 요소다.

보안 리더가 이러한 문제를 해결해야 제로 트러스트에 대한 성공 확률이 높다. 제로 트러스트 이니셔티브의 성공을 위해서는 제로트러스트가 단순한 기술을 넘어 중요한 변화가 요구되는 여정임을 인정하는 것이 중요하다.

제언 (4): 제로 트러스트의 이점을 실현하고자 하는 조직은 다음을 기억해야 한다.

● 과도기로 인한 복잡성을 인정하고 해결한다. 관리 용이성과 보안 목표에 모두 부합하는 세분화된 현실적인 목표를 설정한다.
● 제로 트러스트가 기술적인 노력이 아니라 사고 방식 및 보안 접근 방식의 전환임을 확실히 한다.
● 비즈니스 관련성과 하이브리드 우선 환경에서 탄력성 및 민첩성을 지원하는 방법을 전달함으로써 제로 트러스트 접근 방식이 제공할 수 있는 것이 무엇인지 명확히 한다.