[아이티데일리] 사이버 보안의 새로운 패러다임인 ‘제로 트러스트(Zero Trust)’가 국내에서도 본격적인 확산을 위해 기지개를 펴고 있다. “절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)”로 요약되는 제로 트러스트 보안은 지난해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 가이드라인을 발표하고 실증사업을 진행하면서 마중물을 부었다. 그리고 올해는 지난해보다 한층 확대된 규모로 시범사업을 진행, 이를 통해 본격적인 제로 트러스트 보안의 확산이 기대된다. 이제 보안 담당자들은 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 제로 트러스트 보안을 본격적으로 구현하고자 관심을 집중하고 있다.

이 같은 분위기 속에서 본지(컴퓨터월드/IT DAILY)는 6월 11일 서울 양재동 엘타워에서 “제로 트러스트: 이제는 확산이다”를 주제로 ‘2024 정보보호 솔루션 컨퍼런스’를 개최했다. 행사는 국내 제로 트러스트 보안을 주도하는 기업들의 발표를 통해 독자들이 제로 트러스트 보안의 개념부터 아키텍처, 구현 전략, 평가 모델, 핵심 솔루션 등을 한자리에서 이해하고, 관련 솔루션들의 시연까지 경험해 볼 수 있는 자리로 꾸며졌다.

“제로 트러스트 보안 모델과 구현 전략”

다음으로는 엠엘소프트의 전략기획팀장 이재준 이사가 연단에 올라 ‘제로 트러스트 보안 모델과 구현 전략’을 주제로 발표했다. 이재준 이사는 먼저 제로 트러스트의 배경과 개념, 아키텍처와 기술, 아키텍처 구현 전략 등을 설명하며 청중들이 제로 트러스트를 간략하게 이해할 수 있는 시간을 마련했다.

이재준 이사는 먼저 기존 경계기반 보안 모델이 클라우드, 모바일 등 환경에서 적합하지 않았기에 제로 트러스트가 부상했고, 이에 미국 정부에서도 행정명령으로 제로 트러스트 보안 도입을 명문화한 것이라고 설명했다. 그리고 제로 트러스트 가이드라인 1.0에서 제로 트러스트 구현의 핵심 원칙으로 소개한 소프트웨어 정의 경계(Software Defined Perimeter; SDP) 솔루션을 중심으로 설명을 이어갔다. 제로 트러스트 아키텍처의 핵심 보안 기능은 접근제어 정책이며, 여기에 SDP 기술 기반으로 제로 트러스트 아키텍처를 구현할 수 있다.

이어 이 이사는 미국표준기술연구소(NIST)의 제로 트러스트 7대 기본 원칙과 제로 트러스트 아키텍처 보안 모델 및 논리 구성 요소, 제로 트러스트 액세스(ZTA) 모델 등에 대해 상세한 설명을 이어갔다. 그는 “PEP가 ‘절대 믿지말라(Never Trust)’는 환경을 만들고, PDP가 다양한 신뢰도 판단용 데이터(PIP; 정책 정보 지점)를 기반으로 ‘항상 검증하라(Always Verify)’는 작업을 수행한다. 이것이 가장 핵심”이라면서 “그리고 가장 중요한 것은 무엇을 보호할 것인지, 거기에 누가 접근할 수 있는지를 먼저 설계하고 아키텍처를 도입해야 한다”고 덧붙였다.

다음으로 이재준 이사는 SDP를 좀 더 이해할 수 있도록 설명을 이어갔다. SDP는 신원을 기반으로 리소스에 대한 액세스를 제어하는 보안 프레임워크로, CSA(Cloud Security Alliance)에서 개발했다. SDP는 특히 대상 네트워크 정보를 외부에 노출하지 않는 것이 가장 큰 특징이다. 엠엘소프트는 SDP 기술을 기반으로 제로 트러스트 구축에 나서고 있다.

마지막으로 이재준 이사는 자사의 제로 트러스트 보안 핵심 솔루션을 소개했다. 이 이사는 “엠엘소프트는 CSA 표준 SDP 규격을 준수하는 ‘티게이트SDP(TgateSDP)’라는 솔루션으로 제로 트러스트 보안을 구현하고 있다. SDP 게이트웨이를 보호해야 할 시스템의 앞단에 둠으로써 대상 서비스의 서버를 숨겨 공격 대상을 특정하기 어렵게 하고, SDP 클라이언트를 통해 사용자 PC의 감염 상태를 확인, 무결성에 문제가 없는 경우 내부 네트워크에 접근을 허용한다. 공격자는 SDP 컨트롤러에만 접근 가능하기 때문에 디도스(DDoS) 공격이나 아이디/패스워드 무작위 대입 공격이 불가능하다”고 소개하며 발표를 마무리했다.