보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
네트워크 보안의 발전, 제로 트러스트
2019.04.30
13,800
1. 개요
정보 유출 사고가 끊이질 않고 있다. 대표적으로 야후는 2016년 고객 약 5억 명의 계정정보가 도난 당했고, 같은 해 미국 대선 역시 정치인들의 이메일 폭로 스캔들로 얼룩졌다. 한 설문에 의하면 전 세계 기업 중 15%가 심각한 정보 유출 사고를 겪었다고 한다. 15%라면 높지 않게 볼 수도 있지만, 정보 유출 사건사고를 공개한 기업들로만 통계를 냈으니 낮다고 볼 수 만도 없다.
이렇게 정보 유출 사고가 계속되고 있는 가운데 ‘제로 트러스트(Zero Trust)’라는 개념이 떠오르고 있다.
숫자 ‘0’을 뜻하는 Zero와 ‘믿음’,’신뢰’를 뜻하는 Trust가 합쳐진 이 명칭은 아무것도 신뢰하지 않는다는 개념으로 시작한다. 기존에 사건이 터진 후 최대한 빨리 수습하는 방식이 아닌, 사전 방어 형태로 변해야 하는 상황에서 등장한 새로운 개념이다. 제로 트러스트 모델의 가장 큰 특징은 외부 네트워크와 마찬가지로 내부 네트워크도 신뢰하지 않고, 항상 인증하여 어플리케이션에 접속한다는 점이다. 기업들은 클라우드와 모바일의 급속한 확대에 따라 발생되는 어려움들을 해결하기 위해 기존의 네트워크 중심에서 사용자 중심의 보안 모델로 전환하고 있다. 이에 따라 속도와 효율성은 필수 요소가 되었고, 유연한 인프라와 더불어 언제 어디서나 모든 디바이스에서 간편하고 안전하게 어플리케이션에 접속할 수 있는 솔루션이 필요한 상황에서 제로 트러스트 모델이 주목 받고 있다.
그렇다면 지금부터 제로 트러스트의 필요성과 현 상황에 대해 알아보자.
2. 왜 제로 트러스트인가?
2017년 사이버시큐리티 벤처스의 연간 사이버범죄 보고서에 따르면, 2021년까지 사이버 범죄로 인한 전 세계적인 피해액이 6조 달러로 전망되며, 이는 지난 2015년 3조 달러 피해 규모의 두 배나 되는 수치이다. 문제는 기업들이 사이버 보안에 더 많은 자원을 투자하고 있으면서도 피해 규모가 줄어들 기미가 보이지 않는다는 것이다. 네트워크를 중심으로 한 기존 경계 중심 보안이 큰 효과를 얻지 못하자 기업들은 새로운 방법을 물색하기 시작했다. 외부 침입자만 경계하면서 내부에 있는 것들에 대해서는 조금의 의심도 하지 않는 기존 정보 보안이 아닌, 내부에 있는 것들에 대해서도 경계를 하는 제로 트러스트 모델이 데이터 유출 방지 모형의 새로운 솔루션으로 주목 받고 있는 것이다.
[그림 1] 2017~2019년 전세계 분야별 보안 지출금액 (단위 백만 달러) - (출처 : http://www.itworld.co.kr)
포레스터의 수석 분석전문가 체이닝 커닝햄은 “오늘날 IT 보안의 가장 큰 문제 가운데 하나는 내부적으로 지나치게 많은 이들에게 접속권한을 허용하고 있다는 것이다. 즉, 과한 신뢰가 문제다. 우리는 인터넷상에서 아무에게나 정보를 공개한다. 바로 이러한 지나친 신뢰가 보안에서는 치명적인 약점이 되고, 적어도 보안 측면에서는 과도한 신뢰가 독이다.”라고 지적했다. 새로운 모델의 등장으로 이제 기업들도 보안에 대한 새로운 사고를 가져야 한다고 전문가들은 경고하는데 이는 예전과는 달리 외부와 완전히 차단된 철옹성을 유지하기가 쉽지 않아졌기 때문이다.
기업들은 더 이상 데이터센터를 통해 고립된 시스템 네트워크를 운영하지 않고, 일부는 클라우드 상에서 운영하며 직원, 파트너, 고객 등 여러 사용자들이 자유롭게 다양한 기기, 다양한 위치에서 이에 접속할 수 있도록 하고 있다.
즉, 사용자가 장소와 시간을 고려하지 않고 어디서나 접근할 수 있는 현 상황에 맞춰 네트워크 보안에서 사용자 중심 보안으로 전환하고 있음을 알 수 있다. 제로 트러스트 모델은 사용자의 위치 및 기타 데이터를 기반으로 기업 시스템에 접속하려는 특정 사용자나 기기, 혹은 어플리케이션에 대한 신뢰 여부를 결정하도록 한다. 우선 시스템에 접근하려는 사용자가 누구인지를 파악해야 한다. 제대로 된 사용자가 맞는지, 어떤 앤드포인트를 통해 접속을 시도하는지, 이 앤드포인트가 안전한 앤드포인트인지, 보안 상태는 어떠한지를 확인한다. 또한 사용자가 어떤 시스템에 접속하기 위해 일정한 조건을 만족하도록 요구하는 방식으로 조건부 접속권한을 허용할 수도 있다.
이를 위해 제로 트러스트 모델에서는 다중 인증, IAM(Identity and Access Management, 계정 접근관리), 스코어링 및 파일 시스템 인가 등의 기술을 활용한다. 또한 맡은 업무별로 필요한 최소한의 접속 권한만을 각 계정에 허용하도록 운영한다면 제로 트러스트 모델을 통해 언제, 어디서, 무엇을, 어떻게 접속하려는 가를 빠짐없이 파악하고 통제할 수 있게 된다. 오늘날의 IT 대부분이 그러하듯 제로 트러스트 역시 단순한 기술이 아닌 일련의 프로세스이자 인지하고 있어야 할 복합적인 개념이다.
3. 제로 트러스트의 현 상황
제로 트러스트 네트워크를 구현하는 일은 쉽지 않은 일이다. 대표적으로 구글과 아카마이가 있다. 구글은 대부분의 기업은 전형적인 Perimeter Model 보안 아키텍처를 적용하는데, 이를 벗어나 VPN 및 권한 네트워크 액세스 모델에서 자사의 새로운 제로 트러스트 환경인 Beyond Corp로 옮겨가는데 약 6년이라는 시간이 소비 했다. 이 과정에서 직무 역할과 분류에 대한 재정의와 재구성, 장치 추적을 위한 완전히 새로운 마스터 인벤토리 서비스 구축, 앱에 대한 가시성 향상, 사용자 인증 및 액세스 제어 정책 개편 등의 작업을 진행했고, 상시 확인 네트워크 구축 경험을 바탕으로 하는 엔터프라이즈 보안 모델, 제로 트러스트 보안 개념을 구현했다. 액세스 제어 기능을 네트워크 경계에서 개별 기기로 이전해 직원들이 전통적인 VPN을 사용하지 않고도 어느 위치에서나 안전하게 업무를 수행할 수 있게 됐다.
[그림 2] Beyond Corp 전체 접속 과정 (출처 : http://noplanlife.com/)
위 그림과 같이 Beyond Corp모델은 방화벽이나 VPN과 같은 전형적인 보안 장비 없이 기기, 사용자 인증을 비롯한 다양한 요소를 분석한 결과만으로 접근 제어를 한다.
Beyond Corp을 기능적으로 크게 세 부분으로 나눌 수 있다. 첫 번째로 기기 인증이 있다. 구글의 임직원용 시스템
서비스는 인증된 기기에서만 접속이 가능하다. 사용자 기기에 관련된 다양한 정보를 수집하고 분석하여, 안전한 기기에서만 접근을 허용하도록 검증한다. 다음으로는 사용자를 인증한다. 기기 인증과 마찬가지로 사내 시스템은 인가된 사용자에게만 접속이 허용된다. Beyond Corp 아키텍처는 구글의 모든 User 및 Group 데이터베이스와 연동되어 있어 사용자명, 소속, 그룹, 업무 카테고리, 사용자 근무 위치 정보를 반영한다. 임직원의 업무가 변경되거나 퇴사 등 인사 변경이 발생하게 되면 즉시 DB에 반영되어 시스템 접속 허용 여부를 결정하게 된다. 마지막으로 접근제어 엔진이 위에서 언급한 다양한 요소를 분석/판단하여 접속을 허용하거나 차단하는 역할을 담당한다. 이 때 두 가지 타입의 데이터를 사용하여 접속을 차단하는데, 사용자 PC 취약점 스캔 결과, OS 버전 및 패치 여부, 설치된 SW 목록 등의 관측 데이터와 기기에 등록된 정보, DNS, DHCP, VLAN 등의 입력 데이터를 사용한다. 관측 데이터와 입력 데이터의 각각의 요소에 대해 안정성과 적합성을 판단하여 Beyond Crop의 접속 여부를 결정하게 된다.
현재 시장에서는 아카마이가 내놓은 제로 트러스트 기반의 보안 솔루션인 원격 접근 제어 솔루션 EAA(Enterprise Application Access)와 악성 사이트 접속 차단 솔루션 ETP(Enterprise Threat Protector)가 기업들에게 주목 받고
있다. 기존 기업의 수 많은 직원이 외부에서 기업 망으로 접속할 때 사용하는 VPN이 허용된 애플리케이션 이외에도 다른 곳에서도 접속할 수 있어 큰 보안 위협이 존재했던 것과는 달리, EAA는 클라우드를 통해 기업에게 애플리케이션 단위의 원격 접속을 제공한다. 권한이 부여된 사용자 및 디바이스만 전체 네트워크가 아닌 필요한 내부 애플리케이션에 접속하도록 하는 동시에 내부로 향하는 모든 인바운드 방화벽 포트를 닫는 방식으로 작동하는 보안 솔루션이다.
ETP는 DNS를 활용한 멀웨어, 랜섬웨어, 피싱, 제로데이 공격 등 다양한 위협을 탐지 및 차단하여 기업 내부의 보안을 강화한다. 언제 어디서나 사용자와 디바이스가 안전하게 접속할 수 있도록 클라우드 상에서 DNS를 통해 보안 위협을 모두 감지해 차단하는 보안 솔루션이다.
[그림 5] Akamai의 제로 트러스트 레퍼런스 아키텍처 (출처 : https://www.akamai.com)
4. 제로 트러스트 도입 단계
이처럼 기업들이 제로 트러스트모델을 위해 노력하고 있는 가운데, 여러 전문가들이 제로 트러스트 모델을 도입하기 위한 단계를 5단계로 정의했다. 지금부터 제로 트러스트 모델을 도입하기 위한 단계에 대해 알아보도록 하자.
▶ 제로 트러스트 도입을 위한 5단계
1단계 : 제로 트러스트 정의
정책 측면에서 목표를 설정하고, 그 목표를 달성하기 위한 로드맵을 만들어 보는 단계로 ‘제로 트러스트’란 어떤 것인지를 정의하고, 제로 트러스트 및 관련 기술의 이행 방법에 관해 결정하는 단계
2단계 : 사용자 경험 이해
제로 트러스트 모델을 기획하는 과정에서 사용자 경험에 미칠 영향도 생각해야 한다. 인증 및 확인 절차 없이는 그 어떤 사용자도 신뢰하지 않기 때문에 사용자의 시스템 및 데이터 사용 경험에 따라 확연히 달라지기 때문이다.
3단계: 적합한 아키텍처 선택
제로 트러스트 모델 이행에는 세 가지 방식이 존재하는데, 각각의 장단점을 확인하고 목적에 맞는 방식을 선택해야 한다.
4단계 : 사용자 및 기기에 대한 까다롭고 정확한 인증 절차 도입
제로 트러스트가 다른 보안들과 구분되는 가장 큰 차이점은 보안 이행 메커니즘이 네트워크 주변부에 집중하는 것이 아니라 대상이 되는 시스템과 애플리케이션 자체에 집중한다는 점이다.
다음은 인증 절차 고려사항이다.
- 사용자 다중 인증(MFA, MultiFactor Authentication)을 통한 패스워드 강화 및 추가적인 인증 절차를 통한 접근 권한 부여
- 인증 받은 사용자가 자신의 기기를 등록하고, 확인 받을 수 있는 시스템 필요
- 기기 인증에도 최소한의 보안 요구 사항을 설정하고 해당 기준을 충족하는 기기만 네트워크에 접근할 수 있도록 설정
5단계 : 문제점에 대비
통합 인증 및 접근 제어 시스템을 구현 및 관리하고, 중요한 데이터에 대한 접근일 제공하는 모든 애플리케이션 을 식별해야 한다. 또한, 사용자에게 부여된 모든 권한은 일시적이고 시간 제한적이며, 자동으로 말소될 수 있도록 관리를 하고, 문제점들에 대해 대비할 수 있어야 한다.
미국 샌프란시스코에서 매년 열리는 세계 최대 규모 보안 콘퍼런스인 ‘RSA콘퍼런스2019’에서도 전 세계 보안 트렌드로 ‘제로 트러스트’ 모델이 집중 조명을 받았고, 변해가는 IT 흐름에 따라 제로 트러스트 모델을 도입하는 기업들이 늘어나고 있다.
5. 결론
과거에는 기업 내부에 존재하는 IT 인프라를 보호하기 위해 방화벽으로 네트워크 기반의 방어선을 구축했다면 최근엔 클라우드 도입이 확대되면서 내·외부 IT 인프라를 구분하는 것이 점점 더 무의미해지고 있다.
많은 기업이 IT인프라를 클라우드로 이전하면서 내·외부 네트워크의 경계선이 사라짐에 따라 제로 트러스트라는 모델이 주목 받고 있다. 내부 환경에 있는 요소들을 신뢰하도록 교육받았던 과거에서 벗어나 이제는 내부 환경에 있는 요소들도 의심할 수 있도록 지속적인 교육이 필요하다. 또한 ‘신뢰하되 검증’하는 방식이 아닌 ‘검증하고 신뢰하지 않는’ 방식으로 모든 사용자와 디바이스를 인증하고 권한을 확인해야 한다. 이러한 보안 체계의 근본적인 변경을 통해 과거 발생했던 수많은 보안 사고와 같은 사고를 예방할 수 있으리라고 본다.
6. 참고자료
[1] 네트워크 보안의 가장 현대화된 답, 제로 트러스트https://www.boannews.com/media/view.asp?idx=53045
[2] 제로 트러스트 Zero – Trust
https://blog.naver.com/tomspury/221417677247
[3] “제로 트러스트”, 보안의 새로운 사고방식
https://www.itworld.co.kr/news/107938
[4] “구글과 아카마이가 가는길” 제로 트로서트 네트워크 구축에 필요한것 http://www.itworld.co.kr/news/109989
[5] BeyondCorp: A New Approach to Enterprise Security
https://ai.google/research/pubs/pub43231
[6] Enterprise Threat Protector
[7] 기업 보안에 ‘제로 트러스트’ 기반 솔루션 급부상
[8] 구글의 BeyondCorp
[9] 제로 트러스트 위협 방어를 위해 Akamai를 선택해야하는 이유https://www.akamai.com/kr/ko/multimedia/documents/brochure/why-akamai-for-zero-trust-threat-prevention.pdf
[10] 기업 보안에 대한 새로운 접근 ‘제로 트러스트 보안
https://blog.lgcns.com/1952