[보안칼럼]포스트 코로나 시대에 요구되는 보안 원칙, '제로 트러스트'

코로나19 팬데믹 이후 디지털전환이 가속화하면서 '절대로 믿지 말고 늘 확인하라'는 뜻의 '제로 트러스트'(Zero Trust)가 최적의 사이버보안 접근방식으로 부각되고 있다.

디지털로의 혁신, 클라우드로의 이전, 장소에 구애받지 않는 근무 환경 등 빠르게 변화하는 비즈니스 환경에서 기업은 직원이 언제 어디서나 어떠한 디바이스로든 기업 애플리케이션과 데이터에 접근해서 편리하고 안전하게 근무할 수 있도록 지원해야 한다. 또한 서비스형소프트웨어(SaaS)와 클라우드가 발전하면서 기업 내외부 데이터를 보호하기 위해 일관되고 체계적인 정책을 수립해야 한다. 이를 위해서는 '신뢰'를 기반으로 하는 전통적 '암묵적 신뢰' 개념에서 벗어나야 한다.

전통적 '경계 보안' 방식이 주류를 이루고 있던 시기에도 기업은 가상사설망(VPN)을 통해 원격 접속을 지원해 왔다. 그러나 기존의 VPN은 신뢰가 한번 부여된 사용자는 계속 신뢰하기 때문에 하나의 계정이 탈취되면 기업 네트워크 전체가 위협에 노출될 수 있다. 반면에 제로 트러스트 네트워크 액세스(ZTNA; Zero Trust Network Access)는 직원이나 협력사가 기업 사내망에 접속하려 할 경우 디바이스 사용자의 ID 검증 작업을 상시 수행하고, 접속하려는 앱별 제어 정책을 수행할 뿐만 아니라 사용자별로 차별화한 접속 정책을 수행함으로써 기존 VPN에서 부여되던 과도한 신뢰(excessive trust)에 따른 리스크를 제거하게 된다.

ZTNA는 다섯 가지 원칙을 따른다. 첫째 절대 믿지 말고 늘 검증하는 것이다. 모든 사용자, 기기, 앱 세션은 완전히 검증될 때까지 믿을 수 없다. 둘째 사용자를 식별하고 디바이스를 검증하는 것이다. 액세스 권한을 부여하기 전에 먼저 각 사용자의 아이덴티티(ID), 요청 컨텍스트와 각각의 디바이스 상태를 확인하는 것이 중요하다. 셋째 적절한 정도의 액세스를 통한 보안도 필요하다. 즉 사용자에게는 작업 수행에 필요한 최소한의 액세스만을 제공함으로써 기존 VPN처럼 광범위한 네트워크 접근을 효과적으로 제어한다. 넷째 지속적으로 현 상태를 재평가하는 것이다. 사용자와 디바이스의 상태가 변경되면 액세스 권한도 바뀌어야 한다. 마지막으로 위치 독립을 보장하는 것이다. 사용자가 접속한 위치나 앱의 위치와 관계없이 ZTNA는 동일하게 작동돼야 한다.

ZTNA는 사용자에게 간단하면서 직관적인 방식으로 강력한 컨텍스트 인식 보안을 제공한다. 사용자들은 연결할 VPN이나 리소스가 있는 위치를 알 필요 없이 사무실에 있을 때와 동일한 방법으로 앱에 액세스할 수 있다. 또한 ID 컨텍스트가 실시간 변경되는 동적 컨텍스트 인식이 지원됨에 따라 사용자의 권한도 변경된다. 마이크로 세그먼테이션(Micro-segmentation)이 적용돼 리소스에 대한 무단 액세스를 차단하며, 그에 대한 가시성도 제공됨에 따라 악의적인 공격자들이 수행하는 측면 이동을 방지하는 보호 환경이 구축된다.

제로 트러스트는 현재 기업 보안의 최우선 순위다. 인포메이션 시큐리티 미디어 그룹이 2월 발표한 설문 조사 결과, 응답자 100%가 보안 위험을 줄이기 위해 제로 트러스트가 중요하다고 답했다. 자사 설문조사 결과에서도 기업의 84%가 제로 트러스트 전략을 두고 있거나 현재 개발 중인 것으로 나타났다. 관련 시장 또한 고속 성장하고 있는데, 시장조사 기관 마켓앤마켓은 세계 제로 트러스트 보안 시장 규모가 2020년에서 2026년까지 약 19억 달러에서 51억 달러로 증가할 것으로 예측했다.

세계경제포럼(다보스 어젠다 2022)에서 세계 최고경영자(CEO)가 올해 회사의 성장을 위협할 최대 글로벌 리스크로 '사이버 보안'을 꼽았다. 코로나19 장기화로 사이버 공간이 크게 확장됐지만 이에 걸맞은 보안 역량이 따라오지 못한다면 자칫 기업과 산업 자체에 매우 중대한 위기가 엄습할 수 있다. 포스트 코로나 시대, 필수 보안 솔루션으로 제로 트러스트 네트워크 액세스를 도입해야 하는 이유다.

조원균 포티넷코리아 대표 petercho@fortinet.com

etnews