[아이티데일리] 재택근무 중인 회사원 김 대리는 오늘도 평소처럼 개인 노트북을 켜고 일을 시작한다. 평소처럼 VPN을 통해 사내 시스템에 접속해 근무하던 중 ‘사내 시스템 접속에 이상이 생겨 재로그인이 필요하다’는 메일을 받았다. 메일에 첨부된 링크에 접속해 재로그인을 시도했지만 접속 확인 안내는 뜨지 않았다. 노트북 상태와 네트워크 접속이 평소와 다르지 않음을 확인한 김 대리는 석연치 않았지만 대수롭지 않게 넘기고 다시 업무를 시작한다. 회사 보안에 빨간 불이 켜졌다는 것은 꿈에도 알아채지 못한다.
기존 보안 개념의 한계
지금까지의 보안 개념은 정적이고 방어 중심적이었다. 기업들은 중세시대 성처럼 기업 네트워크와 데이터센터를 내부에 두고 방화벽이라는 해자(垓子)를 두고 시스템을 보호했다. 또 방화벽 내외를 기준으로 신뢰할 수 있는 사용자와 신뢰할 수 없는 사용자로 구분했다.
외부에서 사내 시스템에 접속할 때 흔히 사용되는 보안 솔루션 VPN(가상사설망)도 사용자에 대한 신뢰를 바탕으로 한 보안 방식이다. 하지만 단순 아이디와 패스워드 기반의 인증이기 때문에, 처음 한 번만 자격을 인증하면 사용자는 외부에 있지만 내부에 있는 것처럼 언제든 아무 제약 없이 시스템 접근 및 사용이 가능했다.
그러나 클라우드 도입과 비대면 근무 환경 확산, 사이버 공격 고도화 등으로 사설망과 개방망을 한 번에 관리할 수 없는 문제, 개인 기기 사용으로 인한 사이버보안 위협이 증가하면서 네트워크 신뢰를 바탕으로 한 기존의 보안 개념은 데이터를 안전하게 보호하는데 한계를 드러냈다. 그리고 내부자에 대한 무조건적인 신뢰는 해커의 먹잇감이 됐다.
과학기술정보통신부와 한국인터넷진흥원의 발표에 따르면, 최근 전 세계의 국가 기관 및 빅테크 기업을 타겟으로 해킹을 시도해 기업의 보안 시스템을 휘청이게 한 ‘랩서스’의 공격 기법 첫 단계는 임직원 계정 탈취였다.
해커는 업무 관련 메일로 위장한 악성 코드를 보내 계정을 수집하거나 다크 웹에서 계정을 사들였다. 이후 탈취한 계정을 이용해 유효한 가상사설망(VPN), 원격 데스크톱 통신(RDP), 기업용 업무 서비스 계정을 악용해 기업 시스템에 침투해 다수 계정과 단말을 관리하는 중앙서버 및 프로그램 관리 서버 등에 접속해 추가 정보를 얻기 위한 악성 코드를 배포한 뒤 마지막으로 데이터 수집소에 접근해 내부 자료를 유출했다고 한다.
2010년에 등장한 보안 모델 ‘제로 트러스트’가 다시 부상한 이유다.
‘제로 트러스트’는 불필요하고 과도한 접근 권한, 즉 사용자에 대한 무조건적인 믿음을 제거하는 것에 주안점을 둔 사이버 보안 개념이다. 그동안의 보안이 망분리 돼있는 신뢰망 네트워크 경계를 방어하는데 초점을 맞췄다면, 제로 트러스트는 사용자와 데이터 중심의 방어로 전환한 발전적인 사이버 보안 패러다임이다.
즉 물리적 위치, 네트워크 위치, 자산 소유권을 기준으로 자산 또는 사용자 계정에 부여하던 암묵적인 신뢰를 거두고 데이터 자산에 접근하는 모든 기기 및 사용자를 매 단계마다 인증한 후, 최소한의 권한만 부여해 목표한 데이터 자산에 접근할 수 있도록 한다.
비대면 근무 환경 보편화로 ZTNA가 VPN을 대신
기업 내부의 데이터 자산은 데이터베이스 형태의 정형 데이터, 문서나 단순 파일 형태의 비정형 기밀 문서들이 존재하고, 각각 운용하는 시스템이 상이하다. 제로 트러스트를 구현하기 위해서는 각 데이터의 접근 형태(인터페이스)를 고려한 솔루션들이 구축돼야 한다. 그리고 그 솔루션의 권한을 중앙에서 제어할 수 있는 형태의 구축이 고려돼야 한다. 따라서 네트워크 중심의 트러스트 보안에서 데이터 중심의 제로 트러스트 보안 개념으로 전환에 대한 기업들의 고민이 늘고 있다.
가트너가 제시한 제로 트러스트 구현 방법 중 하나가 ZTNA, 제로 트러스트 네트워크 액세스(Zero Trust Network Access)다. 비대면 근무 환경이 보편화 되면서 앞으로는 ZTNA는 VPN을 대신할 것이다.
VPN은 접근 권한을 세분화해서 부여하기 보다 승인된 특정 사용자에게 트러스트 네트워크 내부의 전체 권한을 제공하는 방식이기 때문에 공격자가 사용자 계정을 탈취하면 기업 내부 네트워크에 손쉽게 접속이 가능하다는 문제가 있다. 랩서스의 사례처럼 개인정보 탈취 및 불법 거래가 성행하면서 VPN의 취약점 역시 더욱 분명하게 드러났다.
한편 ZTNA는 내부 네트워크에 드나드는 사용자의 신원과 기기정보 뿐 아니라 접속 시간, 위치, 사용기록 등 다양한 정보를 토대로 일정한 패턴을 파악하고 이를 근거로 외부 사용자의 접근이 정상적인지 비정상적인지 판단한다. 모든 진행 사항을 중앙에서 통제 및 모니터링할 수 있어 안전성이 증대되고 효율적인 운영이 가능하다. 특히 클라우드 기반의 ZTNA는 사용자의 원활한 접근을 도우면서도 VPN에서 발생할 수 있는 인프라 과부하 등을 방지하기 때문에, VPN 보다 더욱 확장된 역할을 수행할 수 있다.
제로 트러스트 보안 구축을 위한 또 다른 방법은 ID 세그멘테이션으로, ID 기반 데이터 접근 권한을 ‘암묵적 허용’이 아닌 ‘거부’를 기본 방침으로 삼아 끊임없이 검증하는 과정이다. 해커가 원격 접속 권한이나 임직원 계정을 획득하더라도 기업 내부망의 각종 보안 솔루션을 우회해 손쉽게 침투할 수 없도록 막아준다. 가트너는 ID 세그멘테이션을 기업 내부에 적용할 때는 가장 중요한 애플리케이션이나 서버에 먼저 적용한 다음 적용 범위를 넓힐 것을 제안했다.
이밖에 제로 트러스트 구현을 위한 방법으로는 기업 내부에 보호해야 할 데이터 자산을 먼저 식별하고, 보호된 데이터에 접근하기 위한 신원 인증 기반의 인증 시스템 구축, 보호된 데이터 자산의 완전 암호화와 복호화 시 데이터 사용 기록과 함께 신뢰할 수 있는 장치, 인증된 위치 등 제한된 환경에서만 데이터를 접근하도록 구현하는 방법이 있다.
최근 성행한 사이버 공격에 대해, 과학기술정보통신부가 내놓은 단계별 대응방안도 제로 트러스트를 기반으로 한다. 내부 시스템 침투에 대비해 생체 인증 등 이중 인증을 사용하고, 원격근무시스템에 접속할 때는 사전 승인‧지정된 단말 또는 IP의 접속만 허용하는 등이다.
더불어 인공지능, 빅데이터 기반 직원 계정 활동 이력 추적 및 이상징후 모니터링 시스템 등의 정책 병행을 제안했다. 인공지능과 빅데이터를 활용하면 권한에 맞지 않은 비정상 접근 시도를 판별하는데 도움이 된다는 것이 과기부의 설명이다. 더 나아가 기업의 주요 자료가 저장된 시스템 접근 및 데이터 반출 범위에 대한 권한을 역할, 직급별로 차등 부여하고 인공지능 기반 상시 모니터링 시스템을 활용한 내부 접속 이력 관리로 대량의 데이터를 반복적으로 반출하려는 시도 및 사전승인 없이 자료에 접근하려는 행위를 사전에 차단할 것을 권고했다.
제로 트러스트 보안은 선택이 아닌 필수
제로 트러스트 기반의 보안 시스템은 인증받은 사용자의 계정 역시 매 단계마다 재평가해 안정성을 확인하기 때문에 사용자 정보를 탈취한 것만으로는 조직의 보안 체계를 쉽게 무너뜨릴 수 없다. 또한 과기부가 밝힌 것처럼 인공지능을 활용해 상황에 따른 자격 증명 확인과 기존 사용자의 패턴 파악을 통한 이상 징후 감지 등이 가능한 고도화된 보안 시스템으로서 빠르게 발달하는 사이버 공격 패턴에 맞춰 기업의 데이터를 지킬 뿐 아니라, 보안 담당자들의 피로도를 덜어줄 수 있다.
다가올 ‘엔데믹’ 시대, 사무실 복귀와 함께 제로 트러스트도 지게 될까? 제로 트러스트는 ‘정해진 미래’다. 클라우드 환경 확산과 교묘해지는 사이버 보안 위협 등 제로 트러스트는 기업이 자사의 데이터 자산을 지키는 가장 확실한 방법이다. 기업은 엄격한 제로 트러스트 보안 체계를 도입함으로써 신뢰를 보강하고 직원 개인에게 더욱 자유롭고 안전한 사이버 환경을 구축할 수 있다.
KISA에서 이달 초 공개한 사이버 침해사고의 경제적 비용 분석 연구 보고서에 따르면, 2021년 사이버 침해사고 평균 비용은 4억 1,00만 달러로 2020년 3억 9,200만 달러보다 900만 달러 늘었다. 이 가운데, 제로 트러스트를 구축한 기업의 평균 비용은 328만 달러로 구축되지 않은 기업의 평균 비용 504만 달러보다 176만 달러 적게 나타났다.
글로벌 시장에서 제로 트러스트는 이미 트렌드다. 가트너는 2020년에 이미 2023년까지 모든 기업의 60% 이상이 가상 사설망에서 벗어나 제로 트러스트 기반으로 보안 개념을 바꿀 것으로 예상했고, 바이든 미 대통령은 지난해 취임하자마자 행정명령을 통해 국가 사이버 보안 전략으로 제로 트러스트를 택했다.
관련 시장 또한 고속 성장하고 있다. 시장조사 기관 마켓앤마켓은 전세계 제로 트러스트 보안 시장 규모가 2020년에서 2026년 사이 약 19억 달러에서 51억 달러로 증가할 것으로 예측했다.
제로 트러스트 보안은 데이터를 중심으로 선제적인 추적과 관리를 시행하는 보안 체계인 만큼, 고도화된 사이버 위협에 더욱 적극적인 대응을 가능하게 한다. 기업의 디지털 전환 가속화와 클라우드 도입, 조직의 망개방 요구에 따른 사이버보안 위협 제거를 위해서도 제로 트러스트 보안은 선택이 아닌 필수다.