[아이티데일리] 최근 보안 업계의 주요 트렌드 중 하나는 ‘제로 트러스트(Zero Trust)’다. 미국에서는 ‘국가 사이버 보안 개선에 관한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)’을 통해 제로 트러스트 아키텍처 도입을 추진하고 있으며 마이크로소프트, 시스코, 아카마이, 주니퍼네트웍스 등 글로벌 기업들은 제로 트러스트 구현을 위한 방안을 제시하고 있다.

국내에서도 제로 트러스트에 대한 관심이 높아지고 있다. 금융보안원은 내년 사이버 보안 시장을 전망하면서 ‘제로 트러스트 전략에 따른 차세대 보안환경 확산’을 얘기하고 있다. 내년부터는 국내에서도 제로 트러스트 관련 수요가 나올 것으로 보인다. 이에 따라 제로 트러스트를 구현하기 위한 방안 역시 국내에 소개되고 있다. 특히 신뢰하는 정보를 리스트화하는 ‘화이트리스트’의 중요성이 높아지고 있다.

‘제로 트러스트’로 보안 패러다임 변화

‘제로 트러스트(Zero Trust)’는 뜻 그대로 ‘아무 것도 신뢰하지 않는다’는 개념이다. 기업의 자산(데이터)을 보호하기 위해 IT 시스템에서 신뢰라는 개념을 제거하고, 모니터링 등을 통해 지속적으로 검증해야 한다는 의미다. 조직의 내·외부를 막론하고 적절한 인증 절차 없이는 누구도 신뢰하지 않으며, 시스템에 접속하고자 하는 모든 것에 접속 권한을 부여하기 전 신원 확인 과정을 거치도록 한다.

제로 트러스트 모델은 사용자 또는 기기가 접근을 요청할 때마다 권한이 부여되기 전에 검증한다. 사용자 및 기기의 신원, 시간 및 날짜, 지리적 위치, 기기 보안 상태 등을 검사한다. 기기와 사용자가 검증되더라도 최소한의 신뢰만 부여한다. 사용자가 애플리케이션에 대한 접근을 요청하고, 이것이 검증되면, 해당 애플리케이션에 대한 접근 권한만 부여한다.

물론 제로 트러스트라는 개념이 네트워크에만 국한되는 것은 아니다. 제로 트러스트라는 개념을 처음 제시한 포레스터 리서치에 따르면, 제로 트러스트는 데이터, 사람, 기기, 네트워크, 워크로드, 보안 모니터링과 가시성, 분석 등 다양한 영역에 적용해야 한다. 이를 위해 암호화 등 데이터 유출방지, 사람과 기기에 대한 인증과 무결성 검사, 네트워크와 워크로드 보안, 위협 탐지와 대응 등 모든 보안 요소가 요구된다.

다만 기존의 경계성 보안의 문제점을 보완하기 위해 제로 트러스트 개념이 주목받으면서, 최근 제로 트러스트를 도입하는 방안은 네트워크 보안을 중심으로 발전하고 있다. 클라우드 확산, 코로나19(COVID-19) 팬데믹 이후 원격근무 환경 활성화 등으로 인해 조직들의 ‘경계’가 불분명해지고 있어, 제로 트러스트의 필요성은 더더욱 높아지고 있다. 이를 ‘제로 트러스트 네트워크 액세스(ZTNA)’로 구분하기도 한다.

제로 트러스트 도입은 전 세계적인 트렌드가 되고 있다. 미국에서는 지난 5월 바이든 행정부가 ‘국가 사이버 보안 개선에 관한 행정 명령’을 발표, 제로 트러스트 아키텍처 도입을 규정했다. 또한 제로 트러스트 보안 전략을 구현하기 위해 마이크로소프트, 시스코, 아카마이, 주니퍼네트웍스 등이 다양한 방안을 제시하고 있다.

국내에서도 제로 트러스트 전략에 대한 관심이 높아지고 있다. 금융보안원은 2022년 사이버보안 전망을 발표하면서, 내년부터는 국내 시장에서도 제로 트러스트 전략에 따른 차세대 보안환경이 확산될 것으로 내다봤다.

인증 및 접근 권한 관리 위한 ‘화이트리스트’

제로 트러스트 구현의 핵심은 사용자 및 디바이스 인증과 권한 관리다. 미국표준기술연구소(NIST)는 제로 트러스트를 정의하면서, 강력한 권한 액세스 관리(PAM, Privileged Access Management)가 필수적이라고 꼽았다. 제로 트러스트를 구현하기 위해서는 최소 권한 원칙에 따라, 인증된 사용자에게도 접근 가능한 시간과 범위를 최소화해, 이상행위 발생 여부를 최소화한다.

특히 앞서 언급한 것처럼 제로 트러스트를 구현하기 위해서는 사용자 및 기기가 네트워크로 접속하기 이전에 검증하는 ‘선 인증 후 접속’ 과정을 거쳐야 한다. 하지만 현재 운영되고 있는 대부분의 네트워크 보안 솔루션은 ‘선 접속 후 인증’의 방식으로 동작하고 있으며, 사이버 공격 관련 악성정보를 모아놓은 블랙리스트(Blacklist)로 사이버 위협을 차단한다.

하지만 블랙리스트를 기반으로 제로 트러스트를 구현하는 것에는 많은 어려움이 있다. 블랙리스트는 기본적으로 조직 네트워크로의 접근을 신뢰하며, 블랙리스트와 비교해 해당되는 것들만 차단한다. 즉 블랙리스트 기반 차단 정책은 ‘제로 트러스트’라는 개념에 합당하지 않다는 것이다.

이에 제로 트러스트를 구현하기 위한 기술로 ‘화이트리스트(Whitelist)’ 기술이 주목받고 있다. 화이트리스트는 블랙리스트와 반대되는 개념으로, 신뢰되는 정보를 리스트로 만들어두는 것이다. 화이트리스트 기반의 차단 정책은 기본적으로 조직 내부로의 접근을 모두 차단하며, 허용된(화이트리스트에 등록된) 사용자 및 디바이스의 접근만 허용한다.

화이트리스트 기반 보안스위치를 공급하고 있는 한드림넷의 관계자는 “제로트러스트 전략에서 가장 각광 받는 기술 중 하나인 화이트리스트 기반 보안기술을 활용해 내부 통신경로를 제어해야 한다. 특히 사용자의 업무 형태와 분류에 따라 접근할 수 있는 시스템과 접근할 수 없는 시스템을 구분하고, 통신할 수 있는 서비스 프로토콜을 규정해 화이트리스트에 등록함으로써 제어해야 한다. 허가 받은 사용자라도 권한과 목적에 따라 허용 가능한 서비스와 통신 경로 제어를 통해 내부 사용자로 인한 정보 유출과 보안 위협을 최소화할 수 있다”고 말했다.

화이트리스트 기술이 처음 언급된 것은 2000년 초반부터다. 이 때는 사용자가 개인메일을 사용함에 있어, 스팸목록과 허용목록을 만든다는 개념으로 화이트리스트라는 단어가 사용됐다. 이후 OT, 폐쇄망 등 한정된 환경을 보호하기 위한 화이트리스트 기반 산업용 보안 솔루션이 등장하기 시작했다. 이후 최근까지 화이트리스트는 한정된 환경에서 활용하기 좋은 기술로 평가받았다.

하지만 최근 제로 트러스트 개념이 확산되면서, 이를 구현하기 위해 ‘화이트리스트’를 활용하기 시작했다. 가장 대표적인 분야가 ‘소프트웨어 정의 경계(SDP, Software Defined Perimeter)’다.

SDP, 사용자 및 디바이스 인증해 조직 네트워크 보호

제로 트러스트를 구현하기 위한 보안 기술 중 하나로 평가받고 있는 ‘SDP’는 사용자 및 디바이스 인증을 위해 화이트리스트를 활용한다. SDP는 ▲디바이스 인증 및 검사 ▲사용자 인증 및 인가 ▲양방향 암호화 통신 보장 ▲동적 접속 제공 ▲정보 및 인프라 은폐 등 최소 5개의 보안 계층을 포함하도록 설계돼 있다.

특히 SDP가 적용된 환경에서는 클라이언트가 SPA(Single Packet Authorization) 등의 프로토콜을 사용해 인증 및 인가되기까지 접속에 응답하지 않는다. 이 때 내부 인프라는 은폐되기 때문에 사이버 공격자가 인증 과정을 거치지 않는 한, 인프라에 접근할 수 없다. 또한 SDP 환경은 일반적으로 모든 접근을 거부하기 때문에 DoS 공격에 대한 대응력도 뛰어나다. 이외에도 SDP는 접근 규칙을 동적으로 생성 및 제거해 인가된 사용자만 보호된 리소스에 대해 접근할 수 있도록 지원하는 것이 특징이다.

한국전자통신연구원(ETRI)으로부터 네트워크 보안 기술을 이전받아 SDP 솔루션 ‘티게이트 SDP(Tgate SDP)’을 출시한 엠엘소프트의 이무성 대표는 “SDP는 인가된 사용자가 특정 애플리케이션에만 접근할 수 있도록 지원함으로써 제로 트러스트를 구현할 수 있다. 또한 ‘애플리케이션 계층 접근’이라는 엔드 투 엔드(End to End)보다 향상된 네트워크 보안 환경으로 나아갈 수 있다”고 설명했다.

SDP의 핵심은 인증된 사용자와 디바이스만 접근이 가능하다는 것이다. SDP 게이트웨이는 이러한 접속에 대한 모니터링 및 로그기록, 리포트를 제공한다. SDP는 ▲클라이언트/접속을 시작하는 호스트(IH, Initiating Host) ▲서비스/접속을 받아들이는 호스트(Accepting Host) ▲양쪽을 접속해주는 SDP 컨트롤러로 구성된다. IH 및 AH 디바이스는 SDP 컨트롤러에 접속되며, SDP 컨트롤러는 사용자 인증 및 디바이스 검증, 안전한 통신 설정 등의 기능을 담당한다.

클라우드 보안 연합(CSA, Cloud Security Alliance)에서 SDP 사양을 발표한 이후, SDP 아키텍처 기반 솔루션이 속속 등장하고 있다. 국내에서도 ETRI에서 기술을 이전받은 엠엘소프트의 ‘티게이트 SDP’ 이외에, 모니터랩이 SDP 기반 ZTNA 솔루션을 공개했다. 또한 지니언스는 SDP 아키텍처를 기반의 ZTNA 솔루션을 출시하겠다는 계획을 발표한 바 있다.

화이트리스트 활용한 솔루션 증가

SDP 외에도 화이트리스트를 활용하고자 하는 움직임은 활발하다. 기존의 활용방안인 폐쇄망에 대한 보안부터, 앱 보안 영역에서도 화이트리스트를 활용하기 시작했다.

특히 폐쇄망으로 운영되는 OT 환경에서는 여전히 화이트리스트를 기반으로 보안 체계를 구축하고 있다. 폐쇄된 환경에서는 화이트리스트를 기반으로 내부 통신 경로를 제어해 주요 정보 유출, 네트워크 공격에 대응한다.

한드림넷 관계자는 “내부 네트워크 접근이 허가된 사용자라 하더라도 권한에 따라 접근할 수 있는 시스템과 통신경로에 통제가 이뤄져야 한다. 예를 들어 웹서버, ERP, 그룹웨어와 같은 시스템과 제어 설비, 생산 설비와 같은 주요 시설은 그 용도와 성격이 확연하게 구분된다. 사용자의 권한 또는 업무 유형에 따라 접근할 수 있는 시스템은 엄격하게 구분돼야 한다. 하지만 현재 네트워크 구성에서는 사용자 또는 서비스 프로토콜에 따라 네트워크 경로를 제어하는 방법이 없다. 보안 위협의 가장 큰 요인은 내부 사용자며 한정된 자원 속에 보안을 집중해야 할 곳을 정하기 어렵기 때문”이라면서 화이트리스트 기반 보안 기술의 필요성을 설명했다.

한드림넷은 제한된 환경을 보호하기 위해 화이트리스트 기반 보안스위치 ‘서브게이트(SG)5000시리즈’를 공급하고 있다. ‘SG5000시리즈’는 내부 사용자 또는 단말의 권한에 따라 통신 경로(WhiteList)를 제한해 허용된 경로 외 모든 통신을 차단함으로써 보안 위협을 예방할 수 있다. 화이트리스트 보안은 ‘안전’이 증명된 것만을 허용하는 통신 방법으로 폐쇄망, 산업 제어설비망, 보안망 등에 활용될 수 있어, 점차 고도화, 지능화되는 보안 위협에 효율적으로 대응하는 방안을 제공한다.

화이트리스트 보안스위치는 산업용 이더넷 구간 암호화를 통해 제어시스템 운영정보, 제어명령 등 모든 전송 데이터의 위/변조를 방지해 데이터의 기밀성과 무결성을 보장하며, 화이트리스트 기반의 트래픽 제어로 네트워크를 용도에 따라 세분화, 접근제어로 제어시스템 운영에 필요한 네트워크 및 시스템 간의 접근이 허용된 통신만 가능하게 한다. 또한 행위 기반의 유해 트래픽 차단으로 별도의 업데이트 없이 이상 트래픽을 실시간 탐지/차단해 보안 위협과 장애를 예방한다.

한드림넷은 한국수자원공사와 협력해 산업용 통신망에서 가장 많이 활용되고 있는 네트워크 스위치에 다양한 보안기능을 통합하고, 24시간 상시 감시 가능한 관리시스템(HMI)에서 각 스위치의 운영상태를 실시간으로 확인이 가능한 ‘화이트리스트 보안 스위치’를 개발했다.

이와 관련, 한드림넷 관계자는 “ICT 기술의 발전과 디지털화로 사회기반시설의 운영 효율성이 높아지고, 관리가 편리해지고 있다. 이러한 변화는 그간 높은 보안 수준을 요구하여 인터넷과 분리돼 운영중인 수도, 가스, 전기 등에도 IP를 기반으로 하는 ‘스마트 공정관리 시스템’ 도입이 확대되고 있다. 그러나 이러한 디지털화는 이더넷 프로토콜을 기본으로 하고 있어 이더넷이 갖는 구조적인 취약점에 노출돼 있어, 보안사고의 위험 또한 증가했다”고 설명했다.

이러한 배경에서 개발된 화이트리스트 보안스위치는 IP주소의 인증기능을 탑재해 비인가 IP사용자의 통신망 접속을 원천적으로 차단하고 암호화 통신이 가능한 경우 자동으로 전송 데이터를 암호화해 데이터 탈취 시에도 위조와 변조가 불가능하도록 지원하며, 허용된 서비스 이외 다른 서비스는 차단하도록 함으로써 악성코드의 유포 등 사이버 침해위협을 원천적으로 방어한다.

이외에도 앱 보안을 위해 화이트리스트를 활용하는 사례도 있다. 에버스핀의 ‘페이크파인더(Fake Finder)’가 대표적이다. 에버스핀은 앱스토어 등 공식 경로로 배포된 모든 앱 정보를 수집한 화이트리스트 DB를 바탕으로 디바이스에 설치된 모든 앱의 진위성을 검증한다. 이는 기존의 안티멀웨어 솔루션의 단점을 극복하고자 기획됐다. 기존의 블랙리스트 기반 안티멀웨어 솔루션들은 현재까지 보고된 악성코드를 모아둔 데이터베이스를 바탕으로 악성앱을 탐지한다. 그러나 블랙리스트 방식은 아직 발견되지 않은 악성앱이나, 기존 악성앱을 변형한 것은 탐지하지 못한다는 한계가 있다.

이에 에버스핀은 화이트리스트 기반 탐지 방식을 적용한 악성앱 탐지 솔루션 ‘페이크파인더’를 개발했다. ‘페이크파인더’는 화이트리스트 DB를 기반으로 디바이스에 설치된 앱의 진위성을 검증한다. DB에 등록되지 않은 앱이 설치돼 있다면 차단하는 방식이다. 현재까지 ‘페이크파인더’가 발견한 악성앱의 개수는 171만 개며, 검사한 앱은 178억 개에 달한다.

신뢰를 최소화하라

제로 트러스트는 보안의 패러다임을 바꿀 기술로 주목받고 있다. 기존의 경계 보안의 문제점을 보완해 보안성을 향상시키는 것은 물론, 사용자의 편의성까지 향상시킬 수 있을 것으로 기대되고 있다. 제로 트러스트를 구현하는 것의 핵심은 인증이다. 허가된 사용자를 뺀 나머지는 차단해야하며, 허가된 사용자라도 특정 애플리케이션만 사용하고, 이 과정 또한 지속적으로 모니터링해야 한다. 이 과정에서 허가된 사용자만 접근하게 하는 화이트리스트는 제로 트러스트의 시작점이라고 할 수 있다.

또한 최근에는 화이트리스트를 다양한 분야에 접목하고자 하는 시도도 늘어나고 있다. 특히 기존 블랙리스트 기반 보안 솔루션의 단점을 극복하고자, 악성 앱 및 악성코드 탐지 등을 위해 화이트리스트를 활용하는 사례가 나타나고 있다. 즉 기존의 보안 체계를 탈피하려는 경향이 나오고 있는 것이다.

흔히 제로 트러스트를 구현하는 것은 긴 여정이며, 기존 보안 체계를 탈피해 보안의 패러다임을 바꿔야 한다고 말한다. 코로나19 팬데믹으로 인한 원격근무 확산과 더불어 본격화되는 클라우드 전환은 제로 트러스트로의 변화를 가속화하고 있다. 국내 보안 업계도 변화를 준비해야 할 때다.