[아이티데일리] 전 세계 보안의 큰 흐름이 ‘제로 트러스트(Zero Trust)’라는 대명제 아래 급물살을 타고 있다. 미국과 유럽은 물론 우리나라까지 빠르게 시장이 형성되고 있는 제로 트러스트 보안은 가상사설망(VPN)과 물리적 망분리 등 국내 보안 시장을 이끌어 온 전통적 보안 모델을 대체할 것으로 기대받고 있다. 제로 트러스트 보안은 지난해 과학기술정보통신부 및 한국인터넷진흥원(KISA)이 가이드라인을 처음으로 발표하고, 실증사업을 진행하는 등 본격적으로 시장이 개화할 것으로 기대받고 있다. 그러나 일부 민간 기업들이 앞장서 제로 트러스트를 도입하는 가운데서도 정부 공공기관에 도입을 시작할 환경조차 마련되지 못했다는 지적이 나오고 있다.

한계 다다른 VPN

VPN은 2000년대 초부터 현재까지 20여 년 이상 활용돼 온 기술이다. 원격지에서 기업·기관의 업무 네트워크로 비교적 안전하게 접속할 수 있는 수단으로 현재까지도 어느 정도 인정받고 있다. 그러나 이제 기존의 VPN 기술은 보안상 문제로 인해 한계에 도달했다는 평가를 받고 있다.

기본적으로 VPN 기술은 접속을 위한 게이트웨이의 IP 주소가 노출된다는 점에서, 디도스(DDoS) 공격을 비롯한 공격자들의 다양한 공격 시도를 받을 수밖에 없다는 전문가들의 지적을 최근 받고 있다.

VPN은 네트워크상에서 내부와 외부를 구분하는 경계(Perimeter)를 전제하는, 일명 ‘경계 보안’ 개념을 반영한 기술이라고 할 수 있다. 쉽게 말해서 내부의 직원은 신뢰할 수 있고, 외부에서의 접속 시도는 신뢰할 수 없다는 것을 전제로 한다. 그러나 내부의 직원이라고 믿었던 접속자가 사실은 계정 정보를 탈취당한 공격자라면? 그때는 보안상 치명적인 피해를 줄 수 있는 위험인자가 되는 것이다. 그렇기에 단순히 경계를 정해두고 출입 시 자격만 증명하면 되는 환경은, 사실 언제든 치명적인 위협으로 발전할 가능성을 충분히 갖고 있다고 봐도 무방하다.

이러한 경계 보안 개념이 최근 들어 특히 지적받는 또 다른 이유로는 클라우드가 있다. 클라우드가 확산되면서 기업의 네트워크 환경이 크게 바뀌었기 때문이다. 뿐만 아니라 노트북과 스마트폰이 보급되면서 외부에서도 업무를 원활히 볼 수 있는 환경이 조성됐고, 여기에 코로나19 팬데믹까지 겹치면서 원격근무가 빠르게 보편화되자 경계 보안의 허점이 더욱 부각됐다.

이제 전문가들은 경계 보안 모델을 대표하는 VPN을 가급적 빠르게 대체해야 한다고 말하고 있다. 실제로 해외뿐만 아니라 국내에서도 VPN의 보안 취약점을 노린 공격이 여러 차례 발생하며 주목받기도 했다. 공격자가 VPN 인증 정보를 획득하기만 하면 기업·기관의 네트워크에 접속, 내부자만이 알고 활용해야 할 정보에 마음대로 접근할 수 있기 때문이다.

‘제로 트러스트’ 주목

‘제로 트러스트’ 개념은 VPN을 포함, 기존 보안 체계의 허점을 더이상 묵과할 수만은 없기에 등장했다. 제로 트러스트란 내부자를 포함해 모든 이용자에 대한 묵시적인 신뢰를 제거하고, 모든 액세스 시도를 지속적으로 검증함으로써 보안의 강도를 크게 높일 수 있다는 보안 기조를 말한다. 이는 ‘아무것도 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 말로 요약된다. 사용자(User) 및 기기(Device)가 누구인지, 즉 신원(Identity)을 파악해 모든 단계에서 지속적으로 확인하고, 부여하는 권한 역시 가급적 제한함으로써 내부망 침입에 성공하더라도 피해를 최소화할 수 있도록 한다.

시장조사기관인 마켓 앤 마켓(Markets and Markets)에 따르면 제로 트러스트 보안 시장은 2020년 196억 달러에서 2026년 516억 달러 규모로 성장할 전망이다. 연평균성장률(CAGR) 17.4%에 달하는 고성장을 구가할 것으로 예상되고 있는 것이다.

글로벌 시장뿐만 아니라 국내에서도 제로 트러스트에 대한 보안 업계의 관심이 높다. 과학기술정보통신부 주관으로 2022년 10월 ‘제로 트러스트·공급망 보안 포럼’이 발족, 국내 환경에 적합한 한국형 제로 트러스트 보안의 제도 및 기술적 방향성을 수립하고자 나섰으며, 지난해인 2023년에는 KISA와 함께 제로 트러스트 가이드라인 1.0을 발표하고 2개 컨소시엄을 통해 실증사업도 진행했다. 또한 한국정보보호산업협회(KISIA)가 산하에 제로트러스트위원회(KOZETA)를 발족하고 국내에 제로 트러스트 보안을 활성화하기 위해 나섰으며, 그와는 별도로 한국제로트러스트보안협회(KZTA)도 창립한 후 본격적인 활동을 시작하는 등 국내에서도 본격적으로 제로 트러스트의 확산이 시작되는 분위기다.

핵심 원칙 마련…SDP ‘주목’

제로 트러스트는 특정한 보안 솔루션을 도입함으로써 보안이 개선되는 것을 말하는 것이 아니다. 취약한 현재의 보안 수준을 보다 높은 수준으로 개선하기 위한 기본 철학이자, 핵심 원칙, 동작 원리라고 할 수 있다. 즉 기술적인 접근 외에도 조직 문화, 보안 관련 업무 프로세스 개선까지 포함될 수 있는 것이다.

지난해 발표된 과기정통부·KISA의 제로 트러스트 가이드라인 1.0에서는 제로 트러스트의 기본 철학을 6가지로 정리해 소개하고 있다.

또한 가이드라인은 이러한 기본 철학을 만족하는 제로 트러스트 아키텍처를 구현하기 위한 접근 방법에 대해서도 정의했다. 제로 트러스트를 실제로 구현하는 데 있어 핵심 원칙으로 제정된 것은 △인증 체계 강화 △마이크로 세그멘테이션(Micro Segmentation) △소프트웨어 정의 경계(Software Defined Perimeter; SDP) 등 3가지다.

제로 트러스트의 기본 원칙에 따라 보호해야 할 모든 데이터와 컴퓨팅 서비스는 각각의 자원(Resource)으로 분리돼 보호된다. 그리고 이를 가능하게 해주는 접근 방법이 바로 마이크로 세그멘테이션이다. 또한 접근 제어를 위한 핵심 기능이 바로 소프트웨어 정의 경계(SDP) 기술이다.

SDP는 신원(Identity) 기반으로 자원에 대한 접근을 제어하는 소프트웨어 프레임워크로 네트워크 장치, 단말 상태, 사용자 아이디 등을 확인한 후 권한이 정의된 사용자 및 기기에 대해서만 접근 권한을 부여한다. 인증받지 못한 기기는 어떠한 서비스 연결 정보도 알 수 없다. DNS 정보, IP 주소 등을 전혀 알 수 없기 때문에 접근 포인트가 원천 차단된다고 할 수 있다.

국내 대표 SDP 솔루션 기업 ‘엠엘소프트’

국내에서는 대표적으로 엠엘소프트(대표 이무성)가 SDP 솔루션을 선보이고 있다. 엠엘소프트는 한국전자통신연구원(ETRI)으로부터 TAPS(Trust Access Protection Solution) 기술을 이전받아 글로벌 기준을 충족하는 범용 SDP 솔루션인 ‘티게이트 SDP(Tgate SDP)’를 개발했다.

회사는 SDP 기술을 정의한 미국 CSA(클라우드보안연합)에도 가입, 국내를 대표해 SDP 기술을 내재화하며 기술 발전을 함께하고 있다. 티게이트 SDP는 서버, 애플리케이션, 데이터 등 중요 정보자원을 게이트웨이(Gateway)로 은폐해 보호하는 방식을 사용한다. 특히 SPA(Single Packet Authorization)를 핵심 기술로 사용하면서 SPA 기반의 인증을 거쳐야만 네트워크에 접속할 수 있도록 하고, 공격자에게 SDP 컨트롤러가 유일한 공격 통로로 보이게 함으로써 보안을 강화한다.

티게이트 SDP는 △장치 유효성 검사를 통해 단말 복제가 불가능하고 △SPA 키로 ID를 확인해야만 응답하므로 디도스(DDoS) 공격이 방지되며 △화이트리스트 기반으로 항시 공격 차단이 가능한 다이내믹 방화벽을 활용한다. 또한 △IP 보안을 이용한 강력한 보안 터널 연결을 제공하고 △지정된 애플리케이션만 서비스 연결이 가능하며 △대상 네트워크 정보를 외부에 노출하지 않는 서버 스텔스(Server Stealth) 등이 특징인 솔루션이다.

특히 엠엘소프트는 티게이트 솔루션으로 지난 2021년 6월 NAC(네트워크접근제어) 기능으로 망분리 관련 보안 인증서를 획득했음은 물론, 2023년 9월에는 VPN 기능에 대한 보안기능확인서까지 획득하며 내부망과 외부망 모두를 책임질 수 있는 보안 솔루션을 보유하고 있음을 강조하고 있다.

 작은 것부터 시작해야

전문가들은 최근 위험도가 낮은 것부터 하나씩 제로 트러스트 기반으로 보안 체계를 전환하기 시작할 것을 권고하고 있다. 새로운 제로 트러스트 패러다임을 도입해나가야 할 시점인 것은 맞지만, 그것이 특정 솔루션을 도입해 해결되는 것이 아닌 데다 아직 초기인 만큼 여러 가지 문제에 부딪힐 확률이 있기 때문이다.

이에 기업에 미치는 영향이 상대적으로 적은 시스템부터 제로 트러스트를 도입하고, 운영 과정에서의 문제점을 검토한 후 점차 더 중요한 시스템에까지 적용을 확대하라는 것이다. 현재 가장 적합한 것으로 꼽히는 것은 클라우드 기반 자원, 혹은 원격 근무자가 사용하는 비즈니스 프로세스가 있다.

망분리, VPN 대체 기대

무엇보다 제로 트러스트는 궁극적으로 국내에서 금융권 등 중요 산업의 보안을 책임져 온 망분리와 VPN을 대체해나가는 방향으로 발전할 것으로 기대받고 있다는 점에서 많은 주목을 받고 있다.

기존 망분리는 비용이 2배로 증가한다는 단점뿐만 아니라 업무 효율 측면에서도 문제가 있는 것이 사실이다. 무엇보다 클라우드 확산과 생성형AI까지 업무혁신을 위한 다양한 최신 기술을 활용하는 데 망분리 환경이 적합하지 않다는 지적이다. 하지만 SDP 또는 ZTNA(제로 트러스트 네트워크 액세스) 기술 기반의 제로 트러스트 아키텍처를 도입하면 보안성을 높은 수준으로 유지하면서도 비용을 절감하고, 업무 효율까지 높일 수 있을 것으로 기대된다. 다만 이는 현재 SDP와 같은 신기술이 아닌, 망분리를 기본 원칙으로 하는 규제가 존재하는 한 국내에서 확산이 쉽지 않은 게 현실이다.

VPN 역시 마찬가지인 상황이다. 현재 제로 트러스트는 정부가 주도적으로 차세대 보안 패러다임으로 밀고 있다. 하지만 현재 정부 및 공공기관은 제로 트러스트 기반의 보안 아키텍처를 주도적으로 적용해나가기보다는 VPN 활용을 우선하고 있다. 이는 마찬가지로 공공에서 SDP와 같은 기술을 도입할 명확한 근거가 없기 때문인 것으로 분석된다.

현재 업계에서 제로 트러스트 도입이 본격화되지 못하고 있는 가장 큰 원인 중 하나라고 지적하는 것은 국가정보원이다. 제로 트러스트와 관련, 아직까지 명확한 제도 반영 의지를 보여주지 않고 있기 때문이다. 즉 제로 트러스트 관련 솔루션은 아직 CC인증 대상이 아니라 정부 공공기관에 도입이 불가능한 상황이다. 과기정통부를 비롯해 금융보안원 등이 제로 트러스트를 우선 순위로 삼고 적극적으로 적용을 권고하고 있는 데 비해 다소 보수적으로 대응하고 있다는 평가다. 국정원이 올해 1월 중으로 새로운 가이드라인을 발표할 것이라고 알려지기도 했지만, 1월이 다 가도록 소식이 없는 만큼 예정보다 다소 늦어질 것으로 보이는 상황이다.

적시에 적확한 지원이 필요

현재 보안 업계 패러다임을 전환시킬 것으로 기대받으면서 본격적으로 시장이 개화하고 있는 제로 트러스트. 하지만 수많은 공공기관들이 제로 트러스트를 도입해 한층 강화된 보안 태세를 갖추게 되는 수준에 도달하기에는 갈 길이 먼 상황이다. 그러나 지난해 진행된 제로 트러스트 실증사업에 대한 국내 보안 기업들의 높은 관심에서도 감지할 수 있듯, 차세대 기술을 향한 업계의 기대가 매우 큰 상황이다. 보안 업계는 정부 및 관련 기관들이 글로벌 제로 트러스트 보안 산업을 우리 손으로 이끌어나갈 수 있도록 적시에 적확한 지원을 해주기를 기대하고 있다.