[아이티데일리] 사이버 보안의 패러다임이 변화하고 있다. 기존의 보안이 외부로부터의 공격을 감지하고 차단하는 데 집중한 ‘경계형 보안’이었다면, 이제 “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”는 제로 트러스트(Zero Trust)의 원칙 아래 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 것이 보안 업계의 새로운 지상과제로 떠올랐다.

본지(컴퓨터월드/아이티데일리)는 지난달 12일 서울 양재동 엘타워에서 한국제로트러스트보안협회와 함께 국내에 제로 트러스트 보안 구현을 위한 마중물을 붓고자 ‘보안 패러다임의 대전환, 『제로 트러스트』’를 주제로 ‘2023 정보보호 솔루션 컨퍼런스’를 개최했다. 제로 트러스트에 대한 독자들의 관심과 열의를 엿볼 수 있었던 이번 행사 내용을 정리했다.

“제로 트러스트 시큐리티 업무 환경 구현”

마지막 세션으로는 소프트캠프 강대원 본부장이 ‘제로 트러스트 시큐리티(Zero Trust Security) 업무 환경 구현’을 주제로 발표했다.

강대원 본부장은 “최근 원격근무가 확산되고 지사나 대리점, 해외 사업장 등 업무 공간은 물론 업무 관련 도구와 시스템 등까지 확장되면서 보안의 경계가 사라지고 있는 상황”이라고 설명하고, “이처럼 회사가 직면한 보안 이슈를 해결할 수 있는 방안이 제로 트러스트 보안”이라고 덧붙였다.

소프트캠프는 제로 트러스트 구현 방안으로 △침해를 가정한 ‘신원 인식의 세분화(Identity-Aware Micro-Segmentation)’ △상황에 따라 다양한 ‘조건부 접근(Conditional Access)’ 정책의 운영 △정보의 원천적 유출방지를 위한 ‘암호화(Encryption)’ △외부 위협의 ‘격리(Isolation)’ △외부 유입 정보의 ‘필터링과 재구성(Content Disarm & Reconstruction; CDR)’ △외부 단말기에 설치하지 않아 ‘흔적을 남기지 않는 접근(Traceless Access)’ △가시성 확보를 통한 ‘지속적 관리(Continuous Management)’ 등을 제시한다.

그리고 소프트캠프는 이런 방안들을 그동안 개발해 보유하고 있는 여러 솔루션들로 대응할 수 있으며, 이를 ‘시큐리티365(Security 365)’라는 브랜드의 통합 제품군으로 제공하고 있다.

강대원 본부장은 시큐리티365에 포함된 △사내 업무시스템에 대한 제로 트러스트 기반 보안 원격접속 서비스인 ‘실드게이트(SHIELDGate)’ △문서 암호화 솔루션 ‘실디알엠(SHIELDRM)’ △스토리지 암호화 ‘실드라이브(SHIELDrive)’ △문서·파일·이메일 무해화 솔루션 ‘실덱스 파일(SHIELDEX File)’ 및 ‘실덱스 메일(SHIELDEX Mail)’ △원격 브라우저 격리(Remote Browser Isolation) 솔루션 ‘실덱스 리모트 브라우저(SHIELDEX Remote Browser)’ 등의 솔루션들을 소개했다.

강 본부장은 특히 소프트캠프의 솔루션에 ‘제로 트러스트 조건부 접근(Conditional Access)’ 엔진을 포함시켰다는 점을 강조했다. 이를 통해 누가, 언제, 어디서 내부 디바이스에 접속하는지를 확인하고, 필요할 경우 OTP나 SMS 등을 활용해 2차 인증을 거쳐 신원 인증을 보강하며, 업로드나 다운로드 등 이벤트에 따라 정책을 다르게 적용해 내부 시스템 또는 외부 클라우드에 접속할 수 있도록 한다.

시스템 측면에서는 문서를 암호화하거나, DRM(디지털 저작권 관리)을 변환하고, 백업 또는 삭제하며, 결재를 하는 등의 작업을 할 수 있다. 유저 측면에서는 접속을 차단한다던가, 공지 또는 알람을 띄우거나, 스크린 마킹을 하는 등의 조치를 할 수 있도록 한다.

또한 ‘리모트 브라우저 격리(Remote Browser Isolation; RBI)’ 기술도 제공한다. RBI는 가트너에서 제로 트러스트 아키텍처 구현을 위한 기술 중 하나로 꼽기도 했다. 인터넷 브라우징을 일회용 컨테이너에서 실행하고, 화면만을 사용자에게 전달하므로 악성 코드가 사용자의 PC에 영향을 미칠 수 없다. RBI는 국내 금융권에서 논리적 망분리를 충족하는 기술로 인정받기도 했다. 소프트캠프의 실드게이트 솔루션을 활용하면 사내 업무시스템을 사용할 때 RBI 기술로 격리된 상태에서 접속함으로써 보안을 강화할 수 있다.

마지막으로 강대원 본부장은 “소프트캠프는 기존에 문서 보안 회사로 알려져 있었지만, 지금은 클라우드 SaaS(서비스형 소프트웨어)에 대한 조건부 접근(Zero Trust Conditional Access) 기술 기반의 다양한 솔루션을 제공하는 ‘시큐리티365’ 제품을 출시, 제로 트러스트에 잘 대응할 수 있도록 지원하고 있다”고 강조하며 발표를 마쳤다.