컴퓨터 환경에서부터 시작해서 스마트폰으로 이어지는 개개인의 금융 생활. 한때는 여러 가지 보안 프로그램을 설치하고 OTP, 보안카드 등을 입력하면서 인터넷뱅킹을 이용하곤 했는데 최근에는 스마트폰 금융 앱을 활용해 은행 업무 및 주식 등 다양한 업무를 처리하곤 합니다.
하지만 편리한 만큼 개개인을 향한 보안 이슈는 끊임없이 문제를 제시하고 있습니다. 만약 비밀번호가 탈취 당한 상태에서 스마트폰이 상대방에게 건네진 상태라면, 금융 보안은 물론 SNS, 메신저 등 사이버 범죄로부터 자유로울 수 없습니다. OTT 플랫폼에서 시청할 수 있는 영화 '스마트폰을 떨어트렸을 뿐인데'에서도 스파이웨어를 통한 범죄를 소재로 다루면서 시청자들에게 경각심을 일깨워주기도 했습니다.
일상생활 속에서 발생하는 이슈는 무엇이 있을까요? 최근 들어 광고 문자, 전화가 되게 많이 걸려 오는 것을 경험하고 있습니다. 필자뿐 아니라 주변 지인들의 이야기를 들어봐도 공감할 수 있는 부분이었습니다. 어떻게 내 번호, 신상 정보를 알고 전화를 걸 수 있을까 생각해 보면 개인정보이용 방침에 동의를 했는데 그 정보가 유출되어 영업, 광고에 활용되고 있다는 것을 알 수 있습니다. 심지어 필자는 특정 플랫폼에 결제 정보를 등록해두어 편리하게 원하는 상품을 즉시 결제할 수 있도록 해두었는데, 내가 아닌 다른 누군가의 결제 시도로 인해 카드 재발급을 받는 등 번거로운 과정을 겪기도 했습니다. 편리한 만큼 내 정보는 스스로 지킬 수 있도록 다시 한번 경각심을 갖는 것이 필요하다는 생각이 들었습니다.
그렇다 보니 아무도 믿지 말라는 의미의 '제로트러스트'가 보안 이슈를 언급할 때 자주 등장하고 있습니다. 말 그대로 아무도 믿지 않는다는 의미를 담고 있고 체계적인 인증 절차, 신원 확인을 필수로 합니다. 신뢰를 기본으로 가정하지 않고 내부, 외부 등 모든 트래픽에 대해서 다시 한번 체계적인 검증을 거칩니다. 따라서 혹여나 발생할 수 있는 접근 권한이 없는 외부 사용자로 하여금 내부 시스템에 접근하지 못하도록 해 보안 강화 그리고 무결성 유지가 가능합니다.
아무도 믿지 않는다는 제로트러스트, 3가지 원칙을 기반으로 운영됩니다. 앞서 언급했던 것처럼 모든 사용자 그리고 장치, 디바이스는 신뢰하지 않습니다. 또한 내부 & 외부에서 발생하는 모든 트래픽은 검증을 진행하며, 최소한의 권한만 부여해 악용 및 악의적인 활용을 막아냅니다.
그렇다면 제로트러스트를 완성하기 위해 어떤 검증이 필요할까요?
국내 인증 보안 기업 센스톤에서는 단방향 다이내믹 인증 기술(OTAC)을 적용한 솔루션을 제시하기도 했습니다. 매번 새로운 인증코드를 생성하고 특정시간 동안만 유효하도록 설정해 금융, ICS/OT 영역 등에서 각종 사이버 보안의 허점으로부터 개인과 기업을 지킬 수 있는 인증 환경을 만들어낸다는 점이 인상적이었습니다.
한편, 금융결제원에서도 제로트러스트 수단을 확보하고 있습니다. 지난 23년도에 개최된 코리아 핀테크 위크 행사 중 금융결제원 부스에서 스마트폰 NFC 기능과 신용카드 IC 칩을 활용한 본인 인증 방식을 시연했습니다. 그동안 스마트폰에 의존하던 인증을 신용카드를 추가하여 인증 매체로 활용하게 되었고 개개인이 금융 생활의 안전을 지키는 방법으로 트러스트원 도입을 추진하고 있습니다.
피싱, 개인정보 탈취 등 보안 이슈가 계속해서 증가하고 있는 가운데, 언제 어디서든지 발생할 수 있는 사이버 공격으로부터 본인 스스로 안전하게 지키는 것이 중요해졌습니다. 사용자와 기기의 접근 권한에 대한 효과적인 제로 트러스트 모델의 중요성은 더더욱 커지지 않을까 예상해봅니다.
일상과 가장 가까운 금융 서비스부터 기업, 공공 서비스에 이르기까지 제로 트러스트 보안이 잘 구축되기를 기대해봅니다.