보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
제로트러스트(Zero Trust) 전환 컨설팅
2024.04.02
666
01. 제로트러스트 구축 사례
'아무도 믿지 말라'라는 인식을 전제로 하는 보안 방법론 '제로트러스트'는 금융기관 등 주로 민감 정보를 다루는 산업을 중심으로 논의되기 시작했다. 그러나 최근 지능적이고 집요한 사이버 공격이 전방위적으로 확대됨에 따라, 산업을 불문한 다양한 기업들이 제로트러스트 도입에 관심을 갖는 추세다. 이를 보여주듯 관련된 컨설팅 문의가 대폭 증가하고 있다. 제로트러스트에 대해 고객이 문의를 하면, 보통 구축 사례를 기반으로 고객에 가장 적합한 모델을 설계한 후 적용하게 되는데, 그 모범 사례에 대해 공유하는 시간을 가져보고자 한다.
제로트러스트 도입을 위해선 SPA(Single Packet Authorization) 도입을 검토해야 한다.
SPA란 무엇일까?
기존 TCP/IP는 외부(인터넷)에 공개되어 있고, 그다음 TCP 세션을 맺는다. 그리고 그 Port에 바인딩 되어 있는 서비스에 연결하므로 이때 일반적인 인증 과정을 거치게 된다.
그렇다면 SPA는 어떨까? SPA는 클라이언트가 서버에 통신을 하려고 할 때 먼저 클라이언트가 패킷 하나에 서로를 신뢰할 수 있는 기밀정보를 포함해서 서버에게 보낸다. 이 단일 패킷에 서로를 신뢰할 수 있는 정보가 포함된 경우에만 서버는 클라이언트에게 세션을 맺도록 허락하는 것이다.
이제는 제로트러스트 구축 사례를 살펴보겠다.
1) 장치 유효성 검사
첫 번째, 접속하려는 단말의 고유한 HDD(Hard Disk Drive) Serial, M/B(Main Board) Serial을 SDP(Software Defined Perimeter)에 제공하여 지정된 자산인지 확인한다.(사전 자산 등록 필요)
기존 MAC(media access control address), IP, Port 기반 자산 검증은 MITM(Man In The Middle)에 의해 공격될 가능성이 높기 때문이다.
두 번째, 접속하려는 단말의 UEM(Unified Endpoint Management) 결과에 따른 접근통제이다.
UEM은 안티 멀웨어, 패치 관리, 보안 수준 평가, 애플리케이션/디바이스 통제를 통합하여 접속하려는 단말의 보안 수준을 평가하고 미달될 경우 접속을 차단하는 기능을 제공한다.
감염된 단말이 VPN(Virtual private network)을 통해 내부 리소스에 접근하여 횡적 이동을 통한 위협을 이러한 방식으로 차단할 수 있다.
2) SPA G/W(Gateway)
첫 번째, 자산으로부터 전달받은 SPA키 값을 사전 등록된 정보와 비교하여 다르다면 거부한다.
최근 많이 발생하고 있는 DDoS(Distributed Denial of Service)는 노출된 인증페이지를 통해 다수의 요청을 발생시킴으로써 서비스 장애를 유발하지만 SPA G/W는 SPA키 값을 먼저 검증함으로써 인증값 검증(DB 쿼리)을 하지 않음으로 트래픽을 감소시킨다.
두 번째, 만약 SPA키 값이 동일해 검증이 완료됐다면 OTP(One Time Password) 및 지문인식을 통해 사용자 인증을 하게 된다.
2팩터 인증 도입 시 사용자가 접속 시 더 편리한 지문인식을 OTP보다 먼저 고려해야 할 필요성이 있다.
세 번째, 만약 사용자 인증이 되었다면 해당 사용자의 접속단말과 사용자에 대한 권한에 맞게 리소스에 맞는 권한이 부여된다.
이때 사용자가 회사 외부 장치에서 접근한 게 확인되었다면 해당 사용자의 리소스 접근의 중요 시스템은 차단되고 일반 시스템만 접근되는 방식으로 적용이 된다. 이것을 동적 권한 할당이라고 한다.
앞서 나온 내용 도입한 체계를 도식화하면 다음과 같다.
02. 제로트러스트 전환 컨설팅
제로트러스트 도입 시 대부분 담당자들은 제로트러스트 가이드라인 1.0을 많이 참고할 것이다.
해당 가이드라인의 제로트러스트 성숙도 모델(ZTMM) 6가지 기준 점검을 통해 성숙화 해나간다면 어려움이 있을 것이고 정확하지 않을 것이다.
앞서 1번에서 설명한 기술을 바탕으로 기업에서 도입하기 위해선 사전 그리고 사후 컨설팅이 필요한데 그 이유는 다음과 같다.
기업의 모든 서비스를 제로트러스트화 하는 것은 예산상 어려움이 있을 것이다. 그래서 단계적 적용이 필요하다는 것이다. 제로트러스트의 일부 서비스 적용이 기업의 도입 효과를 직감할 수 있는 수단이라고 생각한다. 그래서 제로트러스트 성숙도 모델은 3단계에 걸친 고도화를 위한 5~10년의 계획은 틀리다는 것이다.
제로트러스트 전환 컨설팅의 세부 과업은 다음과 같다.
1) 자산 식별
먼저 일부 도입할 범위를 지정해야 하고 해당 범위에 속하는 자산을 식별해야 한다.
자산 유형에 맞는 솔루션 보유 여부를 확인해야 하며 솔루션 도입의 범위도 현재 도입된 솔루션 기반 추가 도입 여부를 기업의 위협을 기반으로 평가하여 적용해야 한다.
주로, 해킹 등 위협이 발생하는 단말 PC를 대상으로 모의해킹을 수행하여 해당 위협 여부를 확인할 수 있다.
2) 유저와 디바이스 리스트화
앞서 설명한 SPA기반의 디바이스 인증을 추가 도입하기 위해선 사용자별 디바이스를 등록해야 한다.
담당자의 수동 작업을 최소화하기 위해 사내 디바이스를 등록할 수 있는 기능을 웹페이지에 추가하는 것을 권고한다.
3) 데이터흐름 도식화
사용자 유형별 접근할 수 있는 리소스와 더불어 해당 과정에서 어떠한 인증과 절차를 거치는지 등 현황 파악이 우선되어야 한다. 그래야 제로트러스트 전환 과정에서 최대한 현재 리소스는 활용하며 구현할 수 있는 방안과 추가 도입이 필요한 기능 등을 도출할 수 있다.
해당 과정은 컴플라이언스에서 요구되는 점검사항이 아니고 ISMS-P 등 인증기준보다 강화된 점검 활동으로 과정상 문제점을 다수 발견할 수 있다.
4) 적절한 권한 부여 여부 확인
동적 권한 할당과 F/W상에서의 동적 차단을 위해선 기업 내부의 정책 강화가 필요하다.
정책 강화를 위해선 현황 파악 과정이 필요한데 컨설턴트를 통해 직접 접속을 하면서 권한 세분화와 보안정책 설정이 가능하다.
컨설턴트가 직접 유형별 계정에 접속해 권한 적정성을 확인하는 것은 기존 컴플라이언스의 요구사항이 아니기 때문에 처음 점검을 하게 되면 권한이 과도하게 부여되어 있는 경우가 대다수이다.
제로트러스트 전환을 단계적으로 수행했다면 현황에 맞게 정책 개정이 필요하다.
03. 결론
담당자는 해당 기업 고객(이용자, 임직원, 경영진)의 어려움을 인지하고 보안 활동을 통해 어려움이 해소될 수 있도록 해야 한다.
비즈니스 밸류 달성 및 담당자의 성과 평가를 위해서 문제점 전략 수립을 통한 컨설팅을 권고한다.
예로 제로트러스트라는 것이 있지만, 이것이 추가적인 업무 또는 추가적인 통제가 아닌 실제 고객 정보 또는 중요 정보 보호를 위한 더 나은 방안은 없는지, 불필요한 보안 통제가 있어 개발 등 타부서 업무의 제한을 가하고 있지는 않은지, 기업의 비즈니스 밸류 달성을 위해 전사적인 보안 목표 수립 및 활동에 변화를 줄 필요는 없는지 검토의 결과가 될 수 있는 것이다.
정형화된 컨설팅(취약점 진단, ISMS-P인증 등) 외에도 기업 현황에 맞는 컨설팅을 통해 맞춤형 정보보호 관리 체계를 수립할 것을 권고한다.