[아이티데일리] 사이버 보안의 패러다임이 변화하고 있다. 기존의 보안이 외부로부터의 공격을 감지하고 차단하는 데 집중한 ‘경계형 보안’이었다면, 이제 “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”는 제로 트러스트(Zero Trust)의 원칙 아래 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 것이 보안 업계의 새로운 지상과제로 떠올랐다.

본지(컴퓨터월드/아이티데일리)는 지난달 12일 서울 양재동 엘타워에서 한국제로트러스트보안협회와 함께 국내에 제로 트러스트 보안 구현을 위한 마중물을 붓고자 ‘보안 패러다임의 대전환, 『제로 트러스트』’를 주제로 ‘2023 정보보호 솔루션 컨퍼런스’를 개최했다. 제로 트러스트에 대한 독자들의 관심과 열의를 엿볼 수 있었던 이번 행사 내용을 정리했다.

“보안 패러다임의 대전환, 제로 트러스트”

‘2023 정보보호 솔루션 컨퍼런스’ 행사는 ‘보안 패러다임의 대전환, 제로 트러스트’를 주제로 한 아주대학교 사이버보안학과 박춘식 교수의 키노트 강연으로 시작됐다.

박춘식 교수는 “기존 경계형 보안에서 심층 보안으로, 그리고 제로 트러스트 보안으로 패러다임이 변화해왔다”고 설명하면서 제로 트러스트에 대한 미국 국가 표준기술 연구소(NIST)의 정의에 대해 간략하게 소개했다. NIST에 따르면 제로 트러스트는 ‘네트워크가 침해당한 경우라 해도, 정보시스템이나 서비스에서 요청한 권한에 대해 정확한 액세스 결정을 시행할 때, 불확실성을 최소화하도록 설계된 개념과 아이디어의 집합체’라고 정의된다.

이에 대해 박춘식 교수는 “NIST는 시스템에 대한 ‘액세스(Access)’와 많은 관련성을 두고 제로 트러스트를 정의하고 있다”고 설명하며 “특히 액세스를 정책에 따라 결정하도록 정책 결정지점(PDP)과 정책 시행지점(PEP) 등을 두는 것이 특징”이라고 덧붙였다.

이어 박 교수는 제로 트러스트 아키텍처(ZTA) 7원칙, 논리적 구성 요소, 접근 방식 등에 대해서도 소개했다. 제로 트러스트 보안을 연방정부에 선도적으로 적용해나가고 있는 미국은 ‘ZTA 7원칙’을 수립했다. 7원칙은 △리소스 식별 △통신 확보 △접근 권한 부여 △접근 권한 정책 △보안 상태 유지 △사용자 인증 △보안 상태 개선 등으로 요약된다. 영국의 경우에는 미국과 거의 유사하지만 ‘ZTA 8원칙’을 제시하고 있다.

이와 관련해 박춘식 교수는 “미국과 영국이 다르게 정했듯이, ZTA 원칙은 우리나라도 환경에 맞춰서 따로 정할 수 있다. 또한 과학기술정보통신부, 국방부 등 부처별로 다른 원칙을 정할 수도 있다. 즉 정해진 것이 아니라, 다양하다는 것”이라고 설명하고 “하나 강조하고 싶은 부분은 지켜야 할 리소스(자산)를 파악하고, 중요도를 식별해야 하는 것부터 시작해야 그에 이어 정책을 결정할 수 있다는 것이다”라고 덧붙였다.

또한 제로 트러스트 아키텍처 접근 방식의 경우에는 NIST에서 소개하는 △사용자의 신원과 신원에 할당된 속성을 기반으로 아키텍처를 구성하는 ‘강화된 신원 관리 구조’ △기업 네트워크 세그먼트에 연결된 리소스를 게이트웨이 형태로 보호하는 ‘세그먼트 활용 구조’ △기존 네트워크를 확장 및 관리하는 오버레이 네트워크나 소프트웨어 정의 네트워킹(SDN)과 같은 개념을 사용해 에이전트와 리소스 게이트웨이 간의 주문형 통신 채널을 설정하고 구현하는 ‘소프트웨어 정의 경계(SDP)’ 등 3가지를 언급했다.

이어 박춘식 교수는 제로 트러스트 도입 프로세스, 성숙도 모델, 주요 구성 요소 등에 대한 전반적 내용들을 언급하면서 청중이 제로 트러스트가 무엇인지를 개략적으로 이해할 수 있는 강연을 펼쳤다. 박 교수는 “기업 주체 식별, 기업 소유 자산 식별, 주요 프로세스 식별 및 프로세스 실행에 수반하는 위험 평가 등 제로 트러스트 도입의 3개 단계는 앞서 말했듯 조직 스스로를 알아야 한다는 것이 중요하다. 이어 ZTA 후보 정책을 수립하고, 후보 솔루션을 식별하며, 초기 도입과 모니터링을 거쳐 ZTA를 확장시켜나가야 한다”고 설명했다.

또한 미국 국토안보부(DHS)와 CISA(사이버보안 및 인프라 보안국), 국토안보부(NSA), 포레스터리서치, 마이크로소프트 등 다양한 곳에서 제로 트러스트 성숙도 모델을 만들어 선보이고 있다고 소개하면서 “성숙도 모델을 통해 조직은 제로 트러스트와 관련해 어느 정도의 위치에 있고, 무엇을 더 해나가야 하는지를 결정하고 보완해나갈 수 있다”고 덧붙였다.

아울러 박춘식 교수는 하루아침에 조직의 보안 전체를 제로 트러스트 보안으로 교체할 수는 없고, 기존 경계형 방어와 제로 트러스트를 조합한 하이브리드 제로 트러스트 모델을 도입하는 것이 가장 현실성 있는 방법이라고 언급했다. 즉 가상사설망(VPN)이나 네트워크접근제어(NAC) 같은 솔루션에서부터 제로 트러스트를 적용해나가면서, 조직 전체에 수년에 걸쳐 제로 트러스트 보안을 적용하는 것을 추진해야 한다는 것이다.

박춘식 교수는 “제로 트러스트는 과정이지 목표는 아니다. 이행과 구축이 복잡하고 긴 시간이 소요될 것이다. 제로 트러스트의 개념과 아이디어를 표준으로 만드는 데도 오래 걸릴 것이다. 현재 제로 트러스트를 제대로 구축했는지 평가하는 것도 어렵다. 하지만 시간이 지나면서 하나씩 만들어질 것”이라면서 “제로 트러스트는 어떤 솔루션을 도입해서 되는 것이 아니라, 복수의 기능에 의해 구성되는 보안 개념이다. 특히 기존의 보안 관련 습관이나 문화를 바꿔야 한다. 이를 위해서는 경영자는 물론 조직 전체의 소통과 이해가 필수다. 제로 트러스트는 문화이자, 철학이자, 전략의 문제다”라고 조언했다.