제로 트러스트(Zero Trust)는 빛 좋은 개살구?
최근 보안분야에서 많이 회자되는 ‘제로 트러스트’는 이미 사이버 보안분야에서 존재해온 개념이기도 하다. ICT 분야에서는 새로운 용어나 컨셉은 만들어지기 무섭게 들불처럼 번지면서 솔루션업체들은 너나 할 것없이 이를 채택한 솔루션이라는 미명 아래 마케팅에만 열을 올리는 것이 전혀 낯설지는 않다.
보안 관련업체들은 새로운 개념이나 용어가 지향하는 원천적인 방향을 무시하고 자사의 이익을 쫓아가는 아전인수식 해석에 따라 본래의 취지나 의미가 무색하게 만드는 경우가 잦아서 제로 트러스트를 먼저 검토하고 발전시켜온 미국 국방성과 국립표준기술연구소(NIST)를 중심으로 그 의미와 내용을 살펴보고자 한다.
성과 해자(Castle-and-moat) 보안모델
제로 트러스트를 얘기하기 전에 현재의 보안모델에 대해 살펴보면 과거 1980년대 IBM 주전산기 쓰던 시절에는 사실상 특화된 SNA 네트워크와 RACF(자원접근제어)같은 시스템으로 네트워크 접근을 통제하고 사용자 ID 및 암호 검사를 통해 사용자를 식별하고 확인해왔다.
이후 인터넷이 태동하면서 그 동안 도외시되었던 정보보호 및 보안 문제가 서서히 불거져 나오게 되고 금융기관 등에서는 업무용 컴퓨터에 2개의 NIC(랜카드)을 설치하여 하나는 내부망에, 또 하나는 인터넷에 연결하여 사용하는 지금 생각하면 다소 원시적인 과정을 거쳐왔다.
인터넷의 산업화가 급격히 진전되면서 해킹, 바이러스 등 보안위협이 증가함에 따라 네트워크를 경계선으로 하여 내부망과 외부망을 구분하고 외부 영역은 갱스터가 난무하는 무법지대로 규정짓게 된다.
이에 성(내부조직)을 보호하기 위하여 주위에 해자(네트워크 경계)를 설치하고 출입은 오로지 성문 앞 다리(방화벽, IPS, IDS, 백신 등)를 통하도록 구성된 성과 해자 보안모델을 거의 대부분의 기관과 조직에서 채택하고 있다.
하지만 이런 경계형 보안 모델은 내부자에 의한 보안위협, 메일 등을 통한 사회공학적 보안침해 등에는 전혀 도움이 되지 않는다. 2차 세계대전사에도 프랑스가 독일의 침공을 대비하여 마지노선을 엄청 강화하였지만 독일 전차부대는 마지노선을 우회하여 프랑스가 생각지도 않았던 아르덴 숲을 통하여 조용히 침공한 바 있다.
제로 트러스트(Zero trust) 보안모델
NIST의 Special Publication 800-207에 의하면 ‘기본적으로 제로 트러스트는 자원 보호에 중점을 둔 사이버 보안 패러다임이며 신뢰(trust)는 절대 암묵적으로 부여되지 않고 지속적으로 평가되어야 한다는 전제에 바탕을 둔 개념’이라고 기술하고 있다.
한편 ‘제로 트러스트 아키텍처는 아이덴티티(사람 및 사물 개체), 자격 증명, 접근관리, 운영, 엔드포인트, 호스팅 환경 및 상호 연결 인프라를 포괄하는 엔터프라이즈 리소스 및 데이터 보안에 대한 종단 간 접근 방식을 구체화한 것을 말한다. 초기에는 임무를 수행하는 데 필요한 최소한의 권한(예: 읽기, 쓰기, 삭제)만 부여하는 것으로 자원을 제한하는 데 있다’고 제시한다.
또한, TIC(신뢰할 수 있는 인터넷 연결) 및 기관 경계 방화벽은 강력한 인터넷 게이트웨이를 제공하지만 이는 인터넷을 통한 공격을 차단하는 데 도움이 될 뿐 네트워크 내부의 공격을 감지하고 차단할 수는 없으며 기업 경계 외부의 주체(예: 재택 또는 원격 근무자, 클라우드 기반 서비스, 에지 디바이스 등)를 보호할 수도 없다고 강조하고 있다.
제로 트러스트 및 제로 트러스트 아키텍처에 대한 정의는 다음과 같다.
‘제로 트러스트는 네트워크가 침해된 것으로 여겨지는 상황에서 정보 시스템 및 서비스가 각각의 요청에 대한 접근 권한을 정확하고 최소한으로 판단하려고 할 때 불확실성을 최소화하기 위한 개념과 발상의 모음이다. 제로 트러스트 아키텍처란, 제로 트러스트 개념을 활용하고 구성 요소 관계, 워크플로우 설계 및 액세스 정책을 포괄하는 기업의 사이버 보안 계획이며, 컴포넌트간 관계, 워크플로우 설계, 액세스 정책이 포함된다. 따라서 제로 트러스트 기업은 제로 트러스트 아키텍처 계획의 산물로 기업을 위해 마련되는 네트워크 인프라(물리적 및 가상) 및 운영 정책을 말한다.’
제로 트러스트 원칙
제로 트러스트에 대한 많은 정의와 논의에서는 광역 경계 방어(예: 기업 방화벽)를 제거하는 개념을 한 요인으로 강조하고 있다. 제로 트러스트 아키텍처는 제로 트러스트의 기본 원칙을 준수하여 설계하고 배포되는데 여기에는 7가지의원칙을 제시하고 있다.
- 모든 데이터 소스 및 컴퓨팅 서비스는 리소스로 간주된다.
- 네트워크 위치에 관계없이 모든 통신을 보호해야 한다.
- 개별 엔터프라이즈 리소스에 대한 액세스 권한은 세션별로 부여된다.
- 자원에 대한 접근은 관찰 가능한 클라이언트 ID, 애플리케이션/서비스 및 요청 자산 상태를 포함한 동적 정책에 의해 결정되며 다른 행동 및 환경적 속성을 포함할 수 있다.
- 기업은 모든 소유 및 관련 자산의 무결성 및 보안 상태를 모니터링하고 측정한다.
- 모든 자원에 대한 인증 및 권한 부여는 가변적이며 접근이 허용되기 전에 엄격하게 시행한다.
- 기업은 자산, 네트워크 인프라 및 통신의 현재 상태에 대해 가능한 한 많은 정보를 수집하고 보안 태세를 개선하기 위해 사용한다.
제로 트러스트, 오해와 이해 사이
기존의 전통적 보안모델이 머리속에 각인된 상태에서 성을 지키기 위해 설치한 해자를 메우고 성문을 열어 젖히는 제로 트러스트는 쉽사리 다가오지 않는 개념이기도 하다. 아마도 위의 7가지 원칙 중 1가지라도 제대로 구현하여 운영중인 경우는 찾기 어려울 것 같다. 왜냐하면 제시된 원칙 한가지라도 완수하기 위해서는 전사적인 투자와 노력이 따를 수밖에 없으며 무엇보다도 제로 트러스트를 수용하는 코페르니쿠스적인 사고의 전환이 요구된다고 본다.
그러면 제로 트러스트는 빛 좋은 개살구일까? 그렇지는 않는 것 같다. 제로 트러스트의 원론적인 접근에는 많은 시간과 비용, 조직의 변화 등이 선행적으로 요구되다 보니 현실과 상당한 온도차가 있어 보인다.
하지만, 클라우드와 데브옵스가 일반화된 오늘날의 열린 IT환경하에서 우리는 열심히 출입문만을 막고 있지만 갈수록 주변에는 감시조차 소홀한 열려 있는 문들이 너무 많다는 점을 깨닫고 있다. 이미 기밀성과 무결성에만 중점을 둔 기존의 보안정책은 비즈니스의 가용성을 심하게 훼손하고 있으며 새로운 보안위협의 등장에 따라 더욱 악화될 것이다. 이렇게 기존 보안모델의 한계가 점차 뚜렷해지는 상황에서 ‘제로 트러스트’는 임종을 맞는 기존 보안모델의 구원자가 될 충분한 자격을 갖추고 있다고 하겠다. 다만 추상적이고 광범위한 개념을 어떻게 현실로 유도하고 구체화하느냐는 것이 중요한 과제가 될 것 같다.
제로 트러스트의 전체적인 체계를 이해하기 위해서는 제법 적지 않은 시간의 투자가 필요하나 제로 트러스트가 주장하는 철학을 바탕으로 제시한 원칙을 통해 쉽게 알아차릴 수 있는 키워드는 결국 ‘인증’이라 하겠다. 왜냐하면, 제로 트러스트의 7가지 묵직한 원칙들은 모두 ‘인증’기술을 바탕으로 이루어질 수밖에 없기 때문이다.
따라서, 광범위한 자원과 접근에 대한 강력하고 효율적인 ‘인증’수단의 확보가 제로 트러스트 보안모델의 첫 걸음을 위한 가장 중요한 열쇠라 하겠다.