"아무도 믿지 마세요"
어떤 영화의 카피처럼 보일 수도 있겠지만 최근 IT 보안 이슈를 언급할 때 종종 등장하는 말이다. 내부 인트라넷에 접속한 유저에 대해서도 신뢰하지 않고 검증한다는 기본 개념을 의미하고 '아무것도, 그 누구도 신뢰하지 않는다'를 전제로 하는 사이버 보안의 새로운 접근 방식이다. 그리고 이를 일컬어 '제로 트러스트(Zero Trust)'라고 한다. 사이버 보안 전문가인 존 킨더버그(John Kindervag)가 무려 10여 년 전에 제시한 개념이다. '신뢰'라고 하는 보기만 해도 믿음직스러운 단어 자체가 IT 보안 이슈에서 가장 취약할 수 있다는 것을 내세운 것이다. 그렇다면 무엇을 믿지 말라는 것인가? 나와 매일 아침 커피 마시는 후배? 친형처럼 믿고 따랐던 타 부서의 선배? '제로 트러스트'라는 개념은 불특정 다수의 시스템이라든지 우리가 흔히 사용하는 인트라넷과 네트워크 등 안전한 것도, 믿을 수 있는 사용자도 없다는 것을 기본 전제로 하는데 그게 누구든 인증 절차와 신원 확인을 필수적으로 해야 하고 접속 권한이 있음에도 접근할 수 있는 레인지를 최소화하여 리스크를 극단적으로 줄인다는 것이다.
코로나19로 직격탄을 맞은 이 세상은 철저하게 비대면으로 전환되었다. 우리의 삶 역시 매우 크게 변화했다. 마스크를 써야 했고 사람들과 거리를 둬야 했다. 더구나 화상회의, 재택근무, 원격수업 등 코로나19 임팩트 이후 코로나 바이러스에 대한 방역은 물론이고 네트워크 보안에 대한 것 역시 매우 중요하다는 메시지를 수차례 던지기도 했다. 테크놀로지가 하루가 다르게 진화하는 것처럼 디지털 대전환이라는 시대의 흐름에 따라 해커들 혹은 해킹 집단의 공격도 더욱 위협적으로 변화한 느낌이다. 더구나 스마트폰과 태블릿 이외 다양한 디바이스가 생겨나면서 보안체계라는 것이 한계에 부딪힌 상황이다. 클라우드, 사물인터넷, 인공지능 확산에 따른 네트워크 등 언제 어디서나 모든 디바이스에서 특정 리소스에 접근해야 하는 필수 조직들은 빈틈없이 완벽한 보안 체계를 마련해야 하는데 제로 트러스트의 경우 보다 효과적으로 해결할 수 있도록 설계된 사이버 보안 모델이다. 존 킨더버그의 제로 트러스트 아키텍처에는 신원 확인은 필수적이고 기본적이다. 더구나 액세스 권한 부여 전에 접근 가능한 디바이스 검증과 권한 부여 후에도 최소한의 접근 범위로 안전을 추구한다는 것에 있다.
제로 트러스트의 필요성 그리고 따져봐야 할 것
제로 트러스트는 지금의 사이버 보안 이슈에서 단연코 최상의 모델이라고 입을 모아 말한다. 위치에 관계없이 모든 유저와 디바이스, 애플리케이션을 상호 인증하고 최소한의 권한을 부여하면서 보안 리스크를 최소화하고 있다. 데이터 접근에 대한 모든 요청들을 동적으로 인증하고 리소스에 대해서도 최소 권한 액세스로서 보장해야 할 테니 데이터를 보다 효과적으로 보호할 수 있게 될 것이다. 액세스 허용 여부를 결정하기 위해서는 데이터의 속성부터 접근 유저가 누구인지 등 인프라 환경에 따라 제로 트러스트 정책을 적용할 수 있다. 제로 트러스트라는 획기적인 아이디어는 무결성에 그 가치를 두고 있다. 애초에 굳게 닫힌 문이라서 유저 수가 많은 거대 조직이라면 상당히 복잡한 아키텍처를 요구할 수도 있다. 제로 트러스트라는 것이 몇 명 되지 않는 스타트업이나 소기업에만 적용할 수는 없지 않은가? 오히려 조직이 방대할수록 그 위험성은 커진다. 더구나 디지털 대전환 시대 속에서 빅테크 기업들이 챙겨야 할 영역이 상당한 수준이라는 점도 생각해봐야 할 것이다. 제로 트러스트 구현을 위한 인력도 필요하고 시스템 비용도 고려해야 하며 그만큼 생산성과 효율성도 잘 따져봐야 한다. 통상적으로 제로 트러스트를 전문으로 하는 보안 공급업체와 상호 협력하는 것으로 해결하기도 한다. 조직의 스케일에 관계없이 효과적으로 보안 솔루션을 구현할 수 있는데 액세스를 동적으로 제어할 수 있고 IT 보안 향상은 물론 비용도 절감할 수 있다고 한다. 사실 솔루션을 구축하는 비용에 대해 부담을 가질 법도 하지만 공격받은 시스템 복구에 들어가는 비용을 생각하면 이는 나름의 합리적인 투자인 셈이다.
제로 트러스트를 위한 기술
제로 트러스트 솔루션을 구축하는 국내외 기업들 역시 다양한 보안 기술 사례를 언급하곤 한다. 비밀번호가 없는 제어 모델이라든지 생체 인식 시스템처럼 사용자 경험을 보다 쉽게, 그러면서도 보안이라는 완벽함을 추구하고자 한다. 사이버 테크 기업인 센스톤의 경우 OTAC라는 기술을 제로 트러스트 해결방안으로 제시하기도 했다. 여기서 말하는 OTAC는 단방향 무작위 고유식별 인증 기술(One-Time Authentication Code)을 의미한다. 비통신 환경 속에서도 매회 변경되는 일회성 인증 방식이고 실시간으로 생성된 코드는 다른 유저와 중복되지 않는다. 1번 밖에 사용할 수 없고 중복되지도 않으며 시간제한이 있는 코드는 해커의 접근을 원천적으로 차단한다. 계정(ID/PW)이 탈취되거나 도용된 정보로 접근을 시도해도 재사용 자체가 허용되지 않는 코드로는 인증이 불가능하다. 즉, 제로 트러스트가 말하는 '아무도 믿지 말라'는 원칙을 철저히 지키면서 인증된 사용자를 검증하고 식별할 수 있는 셈이다. 특히, 철저한 보안을 이유로 아예 통신망을 차단하거나, 무선인터넷조차 허용되지 않는 시스템에서도 코드 생성이 가능하기 때문에 사용자 입장에서는 불편함조차 느끼지 않는다. 결국 유저와 디바이스 식별 및 인증을 동시에 지원할 수 있는 테크놀로지다.
어떤 회사는 인트라넷에 진입하려고 할 때 아이디와 비밀번호 그리고 OTP를 사용하기도 한다. 굉장히 번거로운 일이겠지만 PC를 통한 인트라넷 접속에는 스마트폰에 탑재된 OTP를 반드시 활용하도록 되어있다. 이메일 하나만 보더라도 이러한 보안 절차를 거쳐야 한다. 일반적인 네이버나 다음의 이메일을 활용할 때에는 스팸메일조차 어렵지 않게 확인 가능하지만 어떤 경우에는 1회성 OTP를 요구할 때도 있다. 누가 보지 않을 스팸일 뿐이지만 여기에서도 철저한 보안을 유지하는 셈이다. '아무도 보지 않을 것이다'라고 확신할 수 있지만 보안모델의 한계점이 보이는 상황 속에서 이러한 제로 트러스트는 추상적이지만 결국 우리가 처한 상황 속에는 지극히 현실이다. 다소 취약할 수 있는 디바이스의 보안, 기존에 존재했던 보안 시스템을 우회할 수 있는 교묘하고 영악한 지능형 위협에 대한 보안, 어디에서 무엇으로 연결하고 접근하는지 권한에 대한 보안, 최소한의 접근 권한을 제어하는 액세스 보안 등 불확실한 것을 제로에 수렴하는 정도로 최소화하는 것이어야 한다.
어떤 IT 회사를 방문했던 적이 있다. 노트북에 있는 시리얼 넘버를 확인하고 스마트폰의 카메라 렌즈 앞으로 스티커를 붙여 사전 검증을 통해 안으로 진입할 수 있었다. 마치 공항 검색대를 지나는듯한 느낌이었다. 그렇게 검색대를 지나면 내 활동은 딱히 제약 받지 않는다. 제로 트러스트 원칙 안에서는 수시로 검증해야 하고 내가 활동하는 액션 자체를 모니터링하는데 센스톤의 보안 기술인 OTAC는 일회용 인증코드를 통해 기기 접속을 인증하고 정상 작동 여부까지 검증한다고 한다. 애초에 무겁지 않은 스펙이고 환경 제약 없이 적용할 수 있다는 장점이 있다. 테크놀로지는 지금 이 순간에도 진화를 거듭하고 있다. 그렇게 진화하는 동안 우리 주변 환경은 그에 맞게 변화한다. 우리가 손에 쥐고 있는 디바이스부터 우리가 활동하는 수많은 공간 속에 존재하는 시스템도 변화를 맞이하고 있다. 인공지능 테크놀로지가 아무리 발전했어도 결국은 사람이 하는 일이 존재하는 법. 이러한 변화도 삶의 질을 높이는 것이라지만 빈틈이 생기면 그 자체로 위협이 될 수 있는 것도 사실이다. 그런 의미에서 제로 트러스트라는 것은 우리가 살아가는 동안에도 올바른 테크놀로지의 가치를 위해 챙겨야 할 과제인 것 같다.