디지털 전환은 기업에 효율을 가져온 동시에 보안 위험을 가속화 시켰다. 클라우드, 스마트워크, 사물 인터넷(IoT), 인공지능(AI), 빅데이터 등 신기술이 등장하면서 기업 데이터는 이전보다 더 분산되고 접근성이 높아졌다. 이같은 디지털 전환 시대에는 망 내부 접근은 안전하다 가정하는 기존 '경계 기반' 보안 방식은 불완전하다.
특히 클라우드 업무 환경이 확산되면서 기업들이 서둘러 제로 트러스트 체계로 전환해야 한다는 건 이제 상식이다. 세계 어디서든 인터넷만 있으면 사용자의 기기로 중요 데이터에 접속할 수 있기 때문이다. 제로 트러스트란 '아무것도 신뢰하지 않는다'는 것을 전제로, 사용자 또는 기기가 접근을 요청할 때 철저한 검증을 실시하고, 검증 후에도 최소한의 신뢰만 부여해 접근을 허용하는 사이버 보안 모델이다.
특히 내부자로 인한 사고가 빈번히 발생하는 만큼 기업들은 제로 트러스트 기반 내부통제 혁신이 시급하다. 금융감독원에 따르면 2018년~2023년 7월까지 벌어진 금융사고 피해 금액은 1조1066억원에 달하며, 이중 내부 직원들로 인한 사고가 78%에 달한다.
실제 필자가 대표로 재직 중인 라온시큐어는 내부통제 혁신을 위한 MFA 플랫폼인 '원패스'의 높아진 수요를 체감하고 있다. 제로 트러스트 보안 체계를 효과적으로 도입하면 사용자와 장치가 회사 네트워크 내부에 있든, 외부에 있든 접근 요청을 정확히 검증하고 승인하는 체계를 만들 수 있다. 또 외부 공격자뿐 아니라 내부 직원 역시 꼭 필요한 데이터에만 접근하게 함으로써 내부 보안 사고를 막을 수 있다.
이러한 제로 트러스트 기반 내부통제 혁신에 가장 선행돼야 할 일이 선진적인 신원인증이다. 내부인이든 외부인이든 사용자의 신원을 정확하게 확인해야만 필요에 맞는 접근 권한을 부여할 수 있고, 접근 후에도 이상 행위를 지속 탐지할 수 있기 때문이다. 필자는 선진적인 신원인증 체계를 위한 필수요소로 생체인증(FIDO)를 지원하는 다중요소인증(MFA), 효율적인 통합 계정 권한 관리 플랫폼, 그리고 검증된 스마트워크용 모바일 기기 보안관리솔루션 등의 도입을 적극 검토할 것을 권장한다.
패스워드 기반 인증 시스템에서 빈번하게 발생해 온 내부 횡령 등의 사고에 대한 대책으로 떠오르는 MFA는 로그인 시 암호 외 보안 토큰, 지문 인식, 지·정맥인증, 안면인증 등 추가적인 인증 요소를 통해 노출에 취약한 패스워드의 약점을 크게 개선해 위조가 어려운 철저한 신원인증을 수행할 수 있다.
또 내부 직원으로 인증됐다 해도 접근 권한을 정교하고 세부적으로 관리해야 한다. 이는 단일인증(SSO)을 지원하는 통합 계정 관리 플랫폼을 통해 분산된 계정을 효율적으로 통합 관리하며 각각의 관리자들의 접근 권한 관리 및 이상 행위를 지속 탐지해 구현할 수 있다. 또한 중요 정보 접근이 가능한 모든 단말은 식별하고 통제 할 수 있어야 한다. 특히 지리적 위치와 상관없이 모든 업무들이 이뤄지는 스마트 기기의 보안은 제로 트러스트 관점에서 매우 중요하다. 이를 위해 국가가 요구하는 CC인증 등 보안요구사항을 충족하고, 신뢰가 입증된 모바일 단말관리(MDM) 등의 솔루션을 적극 검토해야 한다.
중요정보는 반드시 암호화 해 보관해야 하며, 장기간 보관해야 하는 중요데이터는 양자내성암호 적용도 검토해야한다. 이와 함께 생성형 AI 등 첨단 기술을 적극 활용해 고도화된 공격에도 끄덕없는 강력한 보안 체계를 선제적으로 마련해야 한다. 기술 발전으로 편리함도 높아지지만 해당 기술을 활용한 보안 위협 역시 고도화된다. 공격 세력이 더 날카로운 창을 만들 때, 방어자들은 더욱 선제적으로 첨단 기술을 활용해 두터운 방패를 준비하는 것이 진정한 제로 트러스트를 실현하는 길이다.
이정아 라온시큐어 대표 jalee@raoncorp.com
