[주목! 제로 트러스트]사이버 보안 최대 화두는 제로 트러스트

Photo Image
ⓒ게티이미지뱅크

최근 사이버보안 업계를 관통하는 화두는 단연 '제로 트러스트(Zero Trust)'다. 기존 경계형 보안 체계가 한계에 부딪히면서 이를 보완하는 제로 트러스트가 차세대 보안 패러다임으로 떠올랐다. 주요국 정부는 정부 기관에 제로 트러스트 보안 체계를 선제 도입하고 있으며, 글로벌 기업은 제로 트러스트 시장 선점에 열을 올리고 있다. 거대한 시대 흐름에 뒤처지지 않기 위한 노력이 필요한 시점이다.

기존 정통적인 경계형 보안은 '성'에 비유되곤 한다. 성벽을 높이 세우고 성 주변에 깊은 해자를 파 외부 침입을 막는 직관적 보안 체계다. 내부와 외부로 구분되는 구조가 단순하고 명확해 운영하기 용이했으며 기존 업무 환경에서 효율적으로 안정성을 제공했다.

하지만 시대가 변했다. 모바일·사물인터넷(IoT)·클라우드 확산으로 원격근무 환경이 조성됐고 코로나19 팬데믹이 비대면 사회를 가속화하면서 전통적인 보안 체계의 변화가 요구된다. 디지털 전환(DX)으로 리소스 위치가 다변화하고 접속 요구 시간·위치를 예측하기 어려워졌다. 특히 최근 들어 내부자와 공모하거나 권한을 탈취하는 공격수법이 늘어나면서 경계 보안의 암묵적 신뢰 정책에 금을 냈다. 성안에 들어온 사람도 다시 돌아봐야 하는 것이다.

기존 경계형 보안체계를 보완하는 개념인 제로 트러스트는 '절대 신뢰하지 말고, 항상 검증하라(Never trust, Always verify)'는 핵심 철학을 바탕으로 한다. 내부 접속 권한을 획득하면 내부망 어디든 휘젓고 다닐 수 있는 경계 기반 보안과 달리, 내부 네트워크 환경도 안전하지 않다고 가정해 다양한 컴퓨팅 자원에 대한 지속 접근 요구에 최소한의 권한을 부여하고, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 핵심이다. 제로 트러스트 구현을 위한 핵심 3원칙으론 △인증 체계 강화 △마이크로 세그멘테이션(초세분화) △소프트웨어 정의 경계(SDP)가 꼽힌다.

미국·영국·일본·중국 등 세계 주요국은 발 빠르게 움직이고 있다. 이 중 가장 앞서 나가는 국가는 미국이다. 제로 트러스트는 사실 새로운 개념은 아니다. 2010년 존 킨더백(John Kindervag) 포레스터리서치 수석 애널리스트가 제시한 보안 방법론이다. 미국 연방 정부가 제로 트러스트에 주목한 계기 중 하나가 2014~2015년 미 연방 인사관리처(OPM)에서 발생한 대량 개인정보 유출사고다. 미 하원 감독개혁위원회가 2016년 9월 사고 보고서를 발표했는데, 재발 방지를 위해 연방 정부에 권고한 13가지 보안 전략 중 두 번째가 연방정부 차원에서 제로 트러스트 도안 모델 도입이었다.

미 연방정부는 본격적으로 제로 트러스트 보안 모델 연구를 진행했고, 2019년 미국 국립표준기술원(NIST)이 제로 트러스트 아키텍처 프로젝트를 출범하고 2020년 '제로 트러스트 아키텍처(NIST SP 800-207)'를 공개했다.

바이든 미국 행정부가 2021년 5월 발표한 '국가 사이버 보안 개선을 위한 행정명령'에서도 연방정부는 제로 트러스트 모범 사례를 채택해야 하며, 각 기관장이 60일 이내 제로 트러스트 아키텍처 도입 계획을 개발할 것을 지시했다. 2022년 1월엔 백악관 관리예산실(OMB)이 각 기관장에게 보내는 '제로 트러스트 사이버보안 원칙을 향한 미국 연방정부의 움직임' 각서를 통해 △2024년 말까지 기관별 제로 트러스트 보안 목표 달성 △2022~2024년까지 도입 계획 및 예산 추정치 제출 △제로 트러스트 전략 구현 책임자 지정 등 국가 사이버 안보 강화를 위해 제로 트러스트 도입에 박차를 가하고 있다.

영국 국가사이버보안센터(NCSC)는 2019년 11월 공식 홈페이지를 통해 제로 트러스트 아키텍처 설계 원칙에 관해 언급한 이후, 자국 내 제로 트러스트 안착을 위한 노력을 이어오고 있다. 2020년부터 관심을 보인 일본 역시 지난해 3월 개정된 '사이버 보안 경영 가이드라인 버전 3.0'에 제로 트러스트 용어를 담았다.

Photo Image
제로 트러스트 주요 기업 개요

한국 정부도 한국형(K)-제로 트러스트 구현에 속도를 내고 있다. 과학기술정통부는 2022년 10월 한국제로트러스트포럼을 발족하고, 지난해 제로 트러스트 실증 사업을 벌인 데 이어 7월엔 제로 트러스트 가이드라인 1.0을 발표했다. 올해도 제로 트러스트 실증 사업과 함께 가이드라인 2.0 수립에 나선다. 1.0이 제로 트러스트 이해 제고가 목표였다면 2.0에선 여러 유즈케이스를 제시해 현장에서 참고할 수 있도록 하는 게 목표다.

국가정보원도 2022년 7월 산·학·연 보안전문가들과 사이버안보 민관협동협의체를 꾸리고 제로 트러스트 관련 논의를 진행하고 있다. 특히 2026년부터 전 국가·공공기관을 대상으로 제로 트러스트 적용하겠다고 발표한 만큼, 이를 뒷받침할 산업계 노력이 그 어느 때보다 중요하다.

조재학 기자 2jh@etnews.com