보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

제로트러스트 여정을 시작하는 당신을 위한 필독 가이드

2024.07.31

47,292

세계에서 가장 유명한 탐정인 셜록 홈즈는 “나는 결코 예외를 두지 않는다. 예외는 규칙을 반증하는 것이다 (I never make exceptions. An exception disproves the rule)”고 말했다. 이는 사건을 마주할 때 어떠한 구분이나 고정관념 없이 일어날 수 있는 모든 가능성을 철저히 조사해야 한다는 그의 원칙주의적인 태도를 보여준다. 홈즈는 모든 증거와 진술을 의심하고 또 반복적으로 검증함으로써 작은 빈틈 하나 놓쳐서는 안된다고 강조했다. 그리고 홈즈의 이러한 원칙은 현대 보안 세계에서도 여전히 유효한 것으로 보인다.

‘예외를 두지 말 것’ 제로트러스트의 시작

제로트러스트(Zero Trust)는 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’라는 인식을 전제로 하는 보안 방법론이다. 조직 내부와 외부를 구분해 내부자에게는 높은 신뢰도를 부여했던 전통적인 경계 기반 보안과는 달리, 모든 접근을 잠재적 보안 위협이라 바라보는 방식이다.

최근 디지털 전환 시대에 접어들면서 모바일, 태블릿 PC, IoT 등 기존보다 더욱 다양한 스마트 디바이스들이 업무에 활용되기 시작했고 팬데믹을 거치며 재택근무나 원격 근무와 같은 비대면 근무 환경이 크게 확산되었다. 또한 클라우드 서비스가 점차 보편화되면서 이를 통해 데이터를 저장하고 공유하는 상황도 늘었다. 이 모든 과정을 거치며 조직의 IT 환경은 점점 더 복잡해져갔고 조직 내부와 외부를 나누는 경계는 모호해졌다. 한 마디로 IT 환경이 빠르게 변화함에 따라 단순히 경계를 기준으로 내 편과 네 편을 나누는 게 무의미해지는 지점에 도달했다. 이는 곧 ‘내부자’라고 해서 ‘내 편’이라고 ‘예외’를 두어서는 안된다는 말로 이어진다.

[그림 1] ‘제로트러스트’로의 보안 패러다임 변화 (출처: 과학기술정보통신부, 재구성: 이글루코퍼레이션)

제로트러스트 구현을 위한 성공 조건

제로트러스트는 말 그대로 ‘비 신뢰’를 전제로 하기 때문에 끊임없는 검증과 평가가 핵심이다. 위협이 언제 어디서든 발생 가능하다는 인식하에 조직 내부의 네트워크, 시스템, 그리고 리소스에 접근하고자 하는 모든 사용자와 기기에 대한 인증을 지속적으로 수행하고, 신뢰 수준 평가를 기반으로 최소 권한을 부여하는 등의 세밀한 접근 제어가 이뤄져야 한다. 물론 반복적인 검증을 거친 접근이라고 하더라도 신뢰가 ‘제로’인 상태이기 때문에 보안 상황에 대한 지속적인 모니터링이 반드시 동반되어야 한다.

이러한 상황을 고려했을 때, 제로트러스트 보안 체계를 성공적으로 구현하기 위해 가장 중심이 되는 건 보안 정보 및 이벤트 관리(SIEM) 솔루션이다. SIEM은 오늘날 기하급수적으로 생성되는 데이터를 실시간으로 수집하고 분석해 보안 위협을 신속히 탐지하고 대응할 수 있도록 도와준다. 제로트러스트 환경에서는 모든 활동과 트래픽을 지속적으로 감시하고 검증해야 하므로, SIEM의 중앙 집중화된 모니터링 기능과 이를 통한 가시성 확보는 필수다. 모든 접근 주체와 조직망에 대한 신뢰 수준을 끊임없이 검증하고 관리하는 데 핵심적인 역할을 수행한다고 할 수 있다.

그 다음으로 중요한 건 제품 간 연동 가능성이다. 제로트러스트는 단일 솔루션이나 서비스로 구현될 수 없다. 그 누구도 그 무엇도 신뢰할 수 없기 때문에 공격이 발생 가능한 각 구역마다 최적화된 보안 기술을 방패처럼 세우는 일이 성공적인 제로트러스트 보안의 기초가 된다. 이에 제로트러스트를 도입하고자 하는 조직들은 보안 환경 진단을 토대로 조직에 최적화된 제로트러스트 아키텍처를 설계한 뒤, 우선 순위에 부합하는 보안 솔루션들을 구축하고, 이에 대한 운영 및 관리를 수행하는 순으로 진행해야 한다. 아무리 기술적으로 뛰어난 솔루션이라고 할지라도 다른 보안 제품과 연동이 되지 않는다면, 다시 말해 설계한 제로트러스트 아키텍처 내 통합될 수 없다면 고려 대상에서 멀어질 수밖에 없다.

제로트러스트를 실현하는 ‘확장형 탐지 조사 대응(XDIR)’

사실 제로트러스트 보안에는 정해진 답이 없다. 제로트러스트의 성공적인 구현을 위해 세부적으로 어떤 게 필요하고 또 어떻게 운영해야 하는지, 누구에게나 통용되는 절대적인 법칙이 없기 때문에 이 모든 게 아직은 뜬구름 잡는 이야기처럼 들릴 수 있다. 그렇기에 이런저런 현실적인 이유로 쉽사리 시작조차 하지 못하는 조직도 분명 존재할 것이다. 이에 제로트러스트 보안 도입을 망설이고 있는 모든 이들을 위해, 그 여정에 한 발짝 더 가까워질 수 있는 현실적인 방안을 제안하고자 한다.

‘확장형 탐지 조사 대응(XDIR, eXtended Detection, Investigation, and Response)’ 체계는 여러 보안 기능들의 통합을 바탕으로 포괄적인 관점에서 보안 운영 효율성을 향상시키는 아키텍처다. 이름 그대로 탐지, 조사, 대응의 유기적인 연계를 통해 보다 확장된 보안 기능을 제공한다고 생각하면 이해가 쉽다. 단편적인 보안 솔루션들을 결합해 여러 보안 도구와 기술에서 데이터를 수집하고 분석함으로써 한층 포괄적이고 신속한 보안 운영 및 위협 대응이 가능하도록 한다. 한 마디로 핵심 보안 영역을 결합하여 종합적인 위협 탐지 및 대응 체계를 구축하고, 조직에게 전체 환경에 대한 통합된 시야를 제공해 준다. 아무것도 신뢰할 수 없는 IT 환경 속의 복잡한 보안 운영을 보다 수월하게 수행할 수 있도록 가장 중심에서 돕는 역할을 한다고 볼 수 있다.

이글루코퍼레이션의 SPiDER ExD(스파이더 이엑스디)는 고급 수집-분석-대응-확장 기능을 통합적으로 제공하는 차세대 SIEM이다. 여러 이기종 솔루션 간의 연동 및 최신 보안 기능 확장을 통해 사고 모니터링부터 분석, 탐지, 대응을 포괄하는 보안 운영 워크플로우를 지원한다. 또한 클라우드 네이티브 환경에 특화된 기능 제공으로 온프레미스와 클라우드 환경 모두를 아우르며, 클러스터(Cluster) 기반 빅데이터 아키텍처와 레플리카(Replica) 기능을 토대로 데이터 수집·적재 안정성을 보장하고, 고유의 분류형 AI 기술을 포함한 고도화된 탐지·조사 기법 적용으로 위협 분석의 정확성까지 갖췄다.

SPiDER ExD는 보안 기능의 자유로운 확장 및 통합을 지원하는 포괄적인 솔루션이다. 컨테이너 서비스를 중심으로 한 플랫폼 및 UI 통합을 통해, 조직은 SPiDER ExD를 토대로 XDIR 체계를 구축할 수 있다. 각 조직의 니즈에 맞춰 보안 위협 데이터 수집 범위를 확장하고, 생성형 AI 등의 탐지·조사 기법을 추가하며, 보안 운영 및 위협 대응 업무를 자동 수행할 수 있게 되는 방식이다. 최종적으로는 기능의 확장을 통한 통합 플랫폼화로, 전체 공격 표면을 포괄하는 가시성을 확보할 수 있게 된다. 실질적인 제로트러스트 보안 실현을 위해 필수적으로 선행되어야 하는 일이자 그 여정의 기반을 다지는 과정이라고도 할 수 있다.

[그림 3-2] XDIR 체계의 중심 SPiDER ExD (출처: 이글루코퍼레이션)

네트워크면 네트워크, 클라우드면 클라우드 이렇듯 각 구역 별 대표 보안 솔루션들을 하나 둘 늘려가다 보면 언젠간 제로트러스트 보안을 실현할 수 있을 것이라 생각하는 이도 적지 않다. 다만 구색 맞추기 식의 무분별한 도입은 오히러 관리 업무의 급증과 대응 프로세스의 복잡성을 심화시키는 역효과를 초래하기 마련이다. XDIR과 같은 체계적인 접근이 더욱 각광받는 이유다. 단편적인 기술의 통합을 넘어 전체 보안 체계의 유기적인 작동을 가능하게 하고 또 이를 통한 신속하고 효율적인 보안 운영이 실현될 수 있도록 조직의 접근 방식을 재정립하는 일이 중요해진 시점이다.