보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
제로 트러스트(Zero Trust)에 대한 오해와 진실
2023.11.01
10,445
최근 사이버 보안 분야를 대표하는 키워드로는 생성형 AI(Generative AI)와 확장된 탐지 및 대응(XDR) 등을 꼽을 수 있을 것이다. 이러한 키워드들은 비교적 최근 등장한 반면, 등장한지 13년이 지났음에도 많은 관심을 받고 있는 키워드가 존재한다. 바로 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 뜻이 담긴 ‘제로 트러스트(Zero Trust)’다.
최근 사이버 보안 시장은 말 그대로 제로 트러스트 ‘홍수’의 시대라고 볼 수 있는데, 모든 보안 전략과 기술, 솔루션, 서비스 소개에 제로 트러스트가 빠지지 않고 있기 때문이다. 이 가운데 일부 벤더들은 제로 트러스트가 특정 솔루션이나 서비스 도입으로 완성되는 것이 아니고, 장기간 동안 진행되어야 한다는 것을 언급하면서도 어떤 솔루션이나 서비스 그리고 구현 방법을 이용하면 제로 트러스트를 이행할 수 있다고 주장하는 등 제로 트러스트에 대한 오해를 심심치 않게 발견할 수 있다.
이번 시간에는 사이버 보안 분야의 새로운 패러다임으로 떠오른 ‘제로 트러스트’와 관련해 발생하고 있는 오해를 풀어보는 시간을 갖고자 한다.
01. 사이버 보안의 새로운 패러다임 ‘제로 트러스트’
현시점에서 사이버 보안 분야의 가장 큰 화두는 바로 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 뜻을 지닌 ‘제로 트러스트(Zero Trust)’다. 기존 경계 기반(Perimeter Security) 보안 모델에서 제로 트러스트 보안 모델로의 전환을 위해 다양한 움직임들이 발생하고 있는데, 대표적으로 美 조 바이든(Joe Biden) 행정부는 제로 트러스트를 사이버 보안 표준으로 정하고 있다. 한국에서도 금융위원회를 비롯한 디지털플랫폼정부위원에서 제로 트러스트 도입을 발표하는 등 제로 트러스트는 사이버 보안 분야의 새로운 패러다임으로 등극하며 빠르게 확산되고 있다.
단지 일부 조직들이 제로 트러스트 보안 모델로의 전환을 시도하는 것만이 아닌 다양한 정책적 움직임들도 나타나고 있는데, 대표적으로 한국정보보호산업협회(이하 KISIA)와 한국인터넷진흥원(이하 KISA)는 올해 3월 제로트러스트위원회(이하 KOZETA)를 발족했으며, 같은 달 제로트러스트보안협의회(이하 KZTA)도 출범시켰다. 또한 올해 7월에는 과학기술정보통신부(이하 과기정통부)와 KISA가 △제로 트러스트의 개념 △제로 트러스트 보안 모델과 접근 방법 △성숙도 모델 △도입 시 고려 사항 △핵심 요소별 전략 등이 담긴 ‘제로 트러스트 가이드라인 1.0’을 발표하는 등 제로 트러스트 보안 모델을 확산시키기 위한 움직임이 다양하게 발생하고 있다.
1) 제로 트러스트에 대해
제로 트러스트는 네트워크 경계와 관계없이 그 누구도, 그리고 어떠한 활동이든 기본적으로 ‘신뢰하지 않는’ 것에 바탕을 둔 보안 개념이다. 모바일, IoT 기기, 클라우드 확산 등 디지털 트랜스포메이션과 코로나19로 인한 재택근무 활성화 등에 따라 기존 경계 기반 보안 모델은 한계에 도달하며 새로운 보안 모델로의 전환이 필요한 상황이 다가왔다. 바로 기존 경계 기반 보안 모델은 공격자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 보호 대상에 추가 인증 없이 접속할 수 있어 악의적 목적을 위해 데이터가 외부로 유출될 수 있다는 지적이 있기 때문이다.
반면 제로 트러스트 보안 모델은 설정된 네트워크 경계와 관계없이 아무도 신뢰하지 않는 것을 전제로 하는데, 제로 트러스트 보안 개념을 토대로 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야 할 자원으로 각각 분리·보호한다. 이를 통해 하나의 자원이 해킹됐다고 하더라도 인근 자원은 보호할 수 있고, 사용자 또는 기기 등의 모든 접속 요구에 대해 아이디/패스워드 외에도 다양한 정보를 이용해 인증하는 방식으로 보안 수준을 높일 수 있다. 악의를 품은 공격자는 항상 신뢰 구간 외부에 있고, 신뢰 구간 내부에 있는 사용자는 늘 믿을 수 있다는 기존의 경계 보안 모델과는 대비된다.
2) 제로 트러스트 배경과 타임라인
제로 트러스트 보안 모델은 최근 많은 주목을 받고 있는데, 사실 제로 트러스트 용어와 개념은 이미 13년 전에 등장했다. 지난 ’10년 리서치 기관 포레스터 리서치(Forrester Research)의 애널리스트 존 킨더벅(John Kindervag)은 더 이상 모든 접속 주체들은 신뢰할 수 없으니 기업(조직)의 내부 자산에 대한 접근 권한을 제한해야 한다고 주장했는데, 이와 동시에 처음으로 제로 트러스트 용어와 개념을 사용한 보안 모델을 발표했다.
그리고 제로 트러스트 용어와 개념이 등장하고 얼마 지나지 않아 민간 기업 가운데 처음으로 구글(Google)이 지난 ‘14년, 자체 개발한 제로 트러스트 보안 모델 ‘BeyondCorp’를 사내 적용시키며 많은 주목을 받았다. 이후 다양한 조직에서 제로 트러스트 보안 모델로의 전환을 위한 성숙도 모델 및 핵심 요소 등에 대해 정의했는데, 美 국립표준기술연구소(이하 NIST)가 지난 ‘20년에 발표한 7가지 제로 트러스트 원칙이 담긴 ‘제로 트러스트 아키텍처(NIST SP 800-207)’와 美 사이버 보안 및 인프라 보안국(이하 CISA)이 지난 ‘21년 발표한 ‘제로 트러스트 성숙도 모델(Zero Trust Maturity Model, 이하 ZTMM)’이 대표적이다.
수많은 기관과 조직에서 제로 트러스트와 관련해 발표한 모델들과 정책들을 살펴보면 공통점을 발견할 수 있다. 바로 제로 트러스트는 단기간 내에 이뤄낼 수 없으며, 한 번에 모든 것을 바꾸는 것이 아니라는 점이다. 제로 트러스트로의 전환은 기존에 구현되어 있는 보안 환경에 제로 트러스트 보안 모델의 원칙을 기준으로 △전략 △아키텍처 △솔루션 △서비스 등을 서서히 하나씩 변화시키면서 보다 성숙한 제로 트러스트 보안 모델로 나아가야 한다.
02. 제로 트러스트에 대한 3가지 커다란 오해
이처럼 사이버 보안 분야에서 제로 트러스트가 강조되다 보니 최근 사이버 보안 시장은 말 그대로 제로 트러스트 ‘홍수’의 시대라고 불리고 있다. 모든 보안 전략과 기술, 솔루션, 서비스 소개에는 제로 트러스트가 빠지지 않고 있는데, 이로 인해 제로 트러스트에 대한 오해도 심심치 않게 발견할 수 있다.
1) 제로 트러스트는 하나의 제품 또는 제품 모음이다?
제로 트러스트에 대한 가장 큰 오해는 제로 트러스트가 하나의 제품 또는 제품 모음이라는 시각이다. 사이버 보안 분야에서 제로 트러스트가 유행하자 일부 벤더에서는 자사의 보안 솔루션과 서비스를 바탕으로 제로 트러스트를 달성할 수 있다고 포장하고 있다. 여기에 더해 제로 트러스트가 특정 제품(솔루션, 서비스 등) 도입으로 완성되는 것이 아니고, 장기간 진행되어야 한다는 것을 언급하면서도 일부 제품이나 구현 방법을 이용하면 쉽고 빠르게 제로 트러스트를 이행할 수 있다고 주장하는 벤더들도 심심치 않게 찾아볼 수 있다.
이들의 주장과는 다르게 하나의 제품만으로는 제로 트러스트를 이행할 수 없는데, 이와 관련해 美 CISA는 지난 ‘21년 발표한 ZTMM V1.0을 통해 “제로 트러스트는 사용자, 시스템, 데이터, 애플리케이션, 자산 간 세분화된 보안 제어를 통해 ID, 컨텍스트, 데이터 중심 접근 방식으로 전환하는 것”이라며 “결코 쉬운 일이 아니며, 사이버 보안 철학과 문화에 변화를 필요로 한다. 획일적인 보안 투자가 아니라, 가장 중요한 데이터와 서비스를 시작으로 보안 투자를 신중하게 할당해야 한다.”라고 강조했다.
이는 제로 트러스트가 단지 하나의 제품(솔루션, 서비스 등) 또는 제품의 모음으로는 이행할 수 없다는 것을 의미하며, 제로 트러스트는 정책, 전략, 아키텍처, 원칙 등으로 바라보는 게 적합하다는 것을 나타낸다. 바로 사전에 정의된 ‘신뢰’를 제거하고 모든 것을 새롭게 의심하고 지켜본다는 원칙하에 새로운 보안 전략 등을 수립하고 이를 위한 보안 모델과 아키텍처를 반영하는 것이 제로 트러스트이기 때문이다.
2) 제로 트러스트 도입을 통해 모든 사이버 위협을 제거할 수 있을까?
또 다른 오해는 제로 트러스트 도입으로 모든 사이버 위협을 제거할 수 있을 것이라는 점이다. 앞서 소개했듯이 제로 트러스트가 주목받기 시작한 배경에는 디지털 트랜스포메이션과 재택근무 등으로 인해 경계가 사라진 상황에서 경계 기반 보안 모델은 소용없다는 점이다. 여기에 더해 솔라윈즈(SolarWinds) 공급망 공격(‘20년), 랩서스(LAPSUS$) 해킹(’22년) 사건 등을 통해 보안에 막대한 예산을 투입했음에도 공격자가 탈취한 권한을 이용하면 보안이 무용지물이 된다는 사실을 경험한 것도 제로 트러스트 도입을 가속화시켰다. 공격자는 탈취한 권한을 이용해 보안 장벽을 쉽게 넘었으며, 내부 모니터링 시스템에 탐지되지 않고 내부망 정찰과 주요 서버 접근, 중요 정보 유출에 성공했으며, 이를 이용해 거액의 돈을 뜯어내고 세계적인 명성을 얻게 됐다.
제로 트러스트는 ‘지속적인 검증과 모니터링’으로 정상 사용자로 위장한 공격자와 위협 행위를 탐지한다. 물리적 보안 경계가 사라진 환경에서 보안 적용 지점을 ‘모든 접점’으로 확장해 지속적으로 위협을 평가하고 제어할 수 있도록 한다.
다만 제로 트러스트는 이론상 보안 강화 전략 및 정책이 될 수 있지만, 유일한 정답은 아니다. 제로 트러스트에서 가장 중요하게 생각하는 사용자 검증이 치명적인 약점이다. 공격자는 탈취한 권한을 이용해 정상 사용자와 동일하게 보이는 환경으로 위장해 접근하거나 내부자를 매수해 위법 행위를 저지른다. 혹은 잘못된 설정, 정책 등을 이용해 사용자가 실수하는 것을 이용하기도 한다.
제로 트러스트 보안 모델을 도입하고 점진적으로 발전시켜 나가고 있더라도, 제로 트러스트 정책이 잘못 적용되었거나 정책 결정 지점(Policy Detection Point, 이하 PDP), 정책 시행 지점(Policy Enforcement Point, 이하 PEP)이 잘못 설계되었을 경우 침해가 발생할 수 있다. 그리고 경계 기반 보안 모델과 마찬가지로 정책서버가 디도스(DDoS), 하이재킹(Hijacking) 등 공격을 당하면 서비스 전체가 중단될 수 있다. 여기에 더해 제로 트러스트 구현의 핵심 원리 중 하나인 ‘지속적 검증과 모니터링’을 위해 네트워크 구성을 변경한 경우에는 복잡성이 높아지고 가시성이 떨어지며, 오탐이나 과도한 정책으로 인한 업무 연속성 문제, 사용자 불편 등의 문제 역시 존재한다.
3) 완성된 제로 트러스트?
마지막 오해는 제로 트러스트를 완성 시킬 수 있을 것이라는 점이다. 제로 트러스트 전략을 구현하는 것은 보안의 ‘최종 목적지’를 의미하는 것이 아닌 기존의 보안 환경에 제로 트러스트 전략과 아키텍처 그리고 기술 등을 더해 보다 안전한 보안 환경을 만들어나가기 위한 ‘긴 여정’을 뜻한다. 그리고 이를 위해서는 단지 긴 시간뿐만 아니라 많은 리소스(인력, 예산 등)를 투자해야 한다.
지난 ‘21년, 美 조 바이든 행정부는 사이버 보안 행정명령(Executive Order, 이하 EO) 14028을 발의해 모든 연방 정부기관이 제로 트러스트를 도입할 것을 의무화했다. 이에 따라 美 관리예산실(이하 OMB)은 지난 ‘22년, 연방 제로 트러스트 아키텍처(Zero Trust Architecture, 이하 ZTA) 전략을 발표하고 ‘24 회계연도 말까지 구체적인 사이버 보안 표준과 목표를 충족할 것을 요구했다. 그리고 美 CISA는 제로 트러스트 아키텍처의 5가지 기둥과 3가지 교차 기능 그리고 제로 트러스트 구현을 위한 로드맵(Zero Trust Maturity Model) 등의 내용이 담긴 ZTMM V1.0을 OMB의 지침에 맞추고 성숙도 단계를 세분화 시킨 ZTMM V2.0을 올해 7월에 공개했다.
美 CISA는 기존 ZTMM V1.0을 통해 제로 트러스트 성숙 여정(Zero Trust Maturity Journey)을 △전통(Traditional) △고급(Advanced) △최적(Optimal) 3가지 단계로 구분했는데, 버전 2.0에서는 초기(Initial) 단계를 추가했다.
美 CISA가 ZTMM의 제로 트러스트 성숙 여정에 초기 단계를 추가한 것은 그만큼 제로 트러스트 구현이 간단한 과정이 아님을 의미한다. 여기에 더해 美 국방부(이하 DoD)도 제로 트러스트 전략(Zero Trust Strategy, 이하 ZTS)에서 제로 트러스트 구현을 오는 ‘32년 목표로 잡았으며, 美 국가안보통신자문위원회(이하 NSTAC)는 범정부 제로 트러스트 구현에 수년에서 수십년이 걸릴 것으로 예측했다.
이처럼 수많은 美 정부기관들은 제로 트러스트를 완성시키는 것이 아닌 지속적으로 구현해 나아가야 하는 전략이자 원칙으로 바라보고 있다. 여기에 더해 KISA도 지난 9월 25일 열린 ‘제로 트러스트 가이드라인 1.0으로 바라본 제로 트러스트 구현 전략’ 발표회에서 “기관의 목표 수준에 따라 다르지만, 고수준 제로 트러스트를 단기간에 달성하기 어렵다고 보는 것이 타당하다. 비즈니스 프로세스 부족과 조직 특수성에 따라 제로 트러스트 전환 과정에서 의도하지 않은 문제가 생길 가능성도 있다.”라고 지적했다. 이를 바탕으로 제로 트러스트는 완성시킬 수 있는 것이 아닌, 안전한 보안 환경을 만들어나가기 위한 기나긴 여정이라는 것을 알 수 있다.
03. 성공적인 제로 트러스트로의 전환을 위해
사이버 보안 분야에서 제로 트러스트가 강조됨에 따라 각 조직들은 기존 경계 기반 보안 모델에서 제로 트러스트 보안 모델로의 전환을 시도하고 있으나, 이를 시도하는 많은 조직들이 벌써부터 피로감을 느끼고 있는 것으로 나타났다.
제로 트러스트와 관련된 각종 마케팅 용어가 쏟아져 나오고 있고, 모든 사이버 보안 분야에 제로 트러스트를 엮고, 제로 트러스트만이 모든 위협을 완벽하게 차단할 수 있을 것이라는 과대광고 등이 난무하고 있기 때문이다. 하지만 어찌 보면 제로 트러스트 보안 모델로의 전환을 시도하는 조직들이 피로감을 느끼는 것은 당연하다고 생각해 볼 수도 있다. 제로 트러스트는 단기간에 구현할 수 없는 ‘긴 여정’이기 때문이다.
성공적인 제로 트러스트 보안 모델로의 전환을 위해서는 반드시 인지해야 할 점이 존재한다. 무조건 신기술(제로 트러스트 관련)을 도입해야 하는 것이 아닌 기존에 활용하고 있던 기술을 활용할 수 있는 방안을 준비하는 것이 중요하다는 점이다. 과기정통부와 KISA가 발표한 ‘제로 트러스트 가이드라인 1.0’에서도 확인해 볼 수 있듯이 기존 경계 기반 보안 모델의 기술 중에서도 제로 트러스트 철학을 가진 기술이 존재한다. 해당 기술들에 더해 제로 트러스트 보안 모델의 원칙을 기준으로 △전략 △아키텍처 △솔루션 △서비스 등을 서서히 변화시켜 나간다면 성공적으로 제로 트러스트 보안 모델로의 전환을 이뤄낼 수 있을 것이다.
04. 마무리
최근 사이버 보안 분야에서 가장 주목받고 있는 제로 트러스트는 개념이 등장한지 13년이 지났지만 여전히 그 개념이 확장하고 진화하고 있다. ‘지속적인 검증과 모니터링’이라는 원칙은 유지되고 있지만, ‘지속적’의 의미와 범위, 검증의 방법과 강도, 그리고 사용자 경험과의 조화, 복잡한 클라우드 환경에서 적용 방법, 내부자 위협 대응 등 해결해 나가야 할 문제들이 많기 때문이다. 그럼에도 불구하고 제로 트러스트가 사이버 보안 분야에서 가장 주목받고 있는 이유는 분명하다. 바로 ‘보안 경계(Security Perimeter)’가 없어지고 있기 때문이다. 또한 기존의 경계 기반 보안 모델로는 나날이 고도화하고 있는 사이버 위협을 더 이상 막을 수 없어, 새로운 관점의 보안 전략이 필요해졌다.
이로 인해 많은 조직에서는 제로 트러스트 보안 모델로의 전환을 시도하고 있는데, 여기서 △제로 트러스트는 하나의 제품 또는 제품 모음 △제로 트러스트 도입을 통해 모든 사이버 위협을 제거 △완성된 제로 트러스트와 같은 오해가 발생하고 있다. 하지만 제로 트러스트 구현과 관련해 국내외 수많은 기관과 조직에서 발표한 모델과 정책들을 살펴보면 제로 트러스트는 단기간에 모든 것을 바꾸어 구현할 수 있는 것이 아닌, 제로 트러스트 보안 모델의 원칙을 기준으로 기존에 구현되어 있던 시스템들을 서서히 하나씩 변화시키면서 보다 성숙한 제로 트러스트 보안 모델로 나아가야 한다는 점을 알 수 있다.
사이버 보안 분야에서 제로 트러스트가 새로운 패러다임으로 주목받음에 따라 한국 정부도 △제로트러스트위원회(KOZETA) 발족(’23.03) △제로트러스트보안협의회(KZTA) 출범(’23.03) △제로 트러스트 보안 모델 실증 사업 추진(’23.04) 하는 등 제로 트러스트 보안 모델로의 전환을 독려하고 있다. 이러한 움직임에 힘입어 국내 다양한 조직(기관 및 기업)들이 제로 트러스트 보안 모델의 원칙을 기준으로 △전략 △아키텍처 △솔루션 △서비스 등을 하나씩 변화시켜 나간다면 성공적으로 제로 트러스트 보안 모델로의 전환을 이뤄나갈 수 있을 것이다.
05. 참고자료
Zero Trust Maturity Model, CISA:
https://www.cisa.gov/zero-trust-maturity-model
Zero Trust Is Not A Security Solution; It’s A Strategy, Forrester Research:
https://www.forrester.com/blogs/zero-trust-is-not-a-security-solution-it-is-a-strategy/
제로 트러스트 가이드라인 1.0(요약서, 전체본), 한국인터넷진흥원:
https://www.kisa.or.kr/2060205/form?postSeq=20&page=1
“제로 트러스트 홍수 … 모범 사례 찾아라”, 데이터넷:
https://www.datanet.co.kr/news/articleView.html?idxno=187229
[제로 트러스트 이행 방안①] 사이버 위생으로 제로 트러스트 준비, 데이터넷:
https://www.datanet.co.kr/news/articleView.html?idxno=180161
[제로 트러스트②] 제로 트러스트, 시작도 안 했는데 ‘피곤’, 데이터넷:
https://www.datanet.co.kr/news/articleView.html?idxno=186883
“새로운 보안위협의 등장…‘제로트러스트’ 구축 서둘러야”, 테크M:
https://www.techm.kr/news/articleView.html?idxno=114584
보안의 새로운 패러다임, 제로 트러스트의 개념과 흐름, 투이컨설팅:
https://www.2e.co.kr/news/articleView.html?idxno=302644
바이든의 행정명령에 11번 등장한 ‘제로 트러스트’, 슬로우뉴스 :
https://slownews.kr/84989
미 CISA, ‘제로 트러스트 성숙도 모델’ 버전 2 공개···단계 세분화에 초점, ITWorld:
https://www.itworld.co.kr/news/287455