[스페셜리포트]“아무것도 믿지 마라” 제로 트러스트 실증 나선 한국

ⓒ게티이미지뱅크

정부가 사이버 보안 강화를 위해 제로 트러스트 실증·확산에 팔을 걷어붙였다. 디지털 전환 가속화로 국민 일상생활은 물론 다양한 산업 영역에서 사이버 보안 위협이 커진 데 따른 조치다. 코로나19 펜데믹 이후 비대면 문화 확산, 원격근무 활성화 등으로 기존 경계 기반 보안 모델이 한계를 드러내면서 새로운 보안 패러다임의 필요성이 대두됐다.

과학기술정보통신부는 지난해 10월 제로 트러스트·공급망 보안 포럼을 발족한 데 이어 올해 제로 트러스트 보안 모델 실증과 로드맵 마련에 착수했다. 한국형(K) 제로 트러스트 구현을 위한 돛을 올린 것이다.

제로 트러스트는 기존 경계 기반 보안체계를 보완하는 보안 개념이다. 신뢰성이 보장되지 않은 네트워크 환경을 가정해 다양한 컴퓨팅 자원에 대한 지속 접근 요구에 최소한의 권한을 부여하고, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 게 핵심이다.

최근 들어 사이버 위협이 지능화하고 조직적 형태로 변모하면서 제로 트러스트 보안이 각광받고 있지만, 사실 나온 지 10년이 훌쩍 넘은 개념이다. 존 킨더백 포레스리서치 수석 애널리스트가 2010년 ‘제로 트러스트’라는 용어를 창안했으며, 미국 국립표준기술원(NIST)은 2020년 제로 트러스트 가이드 라인(NIST 800-207)을 제시했다.

◇경계 기반 보안과 무엇이 다르나

제로 트러스트와 기존 경계 기반 보안 모델의 차이점은 ‘무신뢰’ 원칙에 있다.

기존 경계 기반 보안 모델은 경계를 기준으로 한 번 인증된 기기나 사용자는 모두 허가하는 방식이다. 방화벽(FW), 가상사설망(VPN) 등 보안 경계를 통과하면 암묵적 신뢰를 부여한다. 특히 시큐어소켓레이어(SSL) VPN엔 장비 인증 기능이 없어 아이디·패스워드 탈취만으로 내부망 침입이 가능하다.

공격자는 경계를 통과한 내부자에게 높은 신뢰도를 부여하는 경계 기반 모델의 취약점을 노린다. 최근 국내·외 침해사고를 보면 내부자 권한을 탈취해 최종 목표물을 찾아 내부망을 이동하는 횡적이동(Lateral Movement) 공격이 주를 이룬다.

이에 반해 제로 트러스트는 무신뢰 원칙을 바탕으로 지속 검증을 통해 접근권한을 부여하는 식이다. 사용자·네트워크 위치 등에 관계없이 모든 요청을 신뢰하지 않는다. 동적인증, 일회용 비밀번호(OTP) 등 다중인증체계를 구축해 아이디·패스워드 탈취만으로 침입이 불가능하다. 디지털 대전환으로 영역의 경계가 없어짐에 따라 경계 기 보안 모델이 봉착한 한계를 극복할 수 있을 것으로 기대되는 이유다.

예를 들어 사용자 자격 증명이 도용될 경우, 경계 기반 보안 모델은 기기와 관계없이 기업망 내부 리소스에 접근할 수 있어 피해가 발생할 우려가 있다. 반면 제로 트러스트는 위장 기기엔 접근 권한이 부여되지 않고 해당 정보에 대한 로그 및 모니터닝이 진행된다. 정상적인 자격 증명 후에도 신뢰도가 충분하지 않은 이벤트가 발생하면 강화된 다중 인증을 적용해 대응이 가능하다.

◇선진국, 제로 트러스트 구현 속도

미국은 제로 트러스트 아키텍처를 기반으로 ‘국가 사이버 보안 현대화’를 강력히 추진하고 있다.

바이든 미국 행정부는 2021년 5월 연방정부의 사이버 보안 강화를 위해 제로 트러스트와 공급망 보안을 추진하는 행정명령을 발표한 데 이어 지난해 1월엔 제로 트러스트 사이버 안보 원칙을 향한 연방정부 전략에 관한 각서를 공개했다. 2024년까지 제로 트러스트 달성 목표, 미국 사이버 보안 및 인프라 보안국(CISA) 성숙도 모델 준수 등을 담고 있다. CISA는 올해 4월 성숙도 단계 및 요구사항 구체화 등을 반영한 ‘제로 트러스트 성숙도 모델 v2.0’을 발표하는 등 담금질에 들어갔다.

일본·영국·중국 등도 미국 제로 트러스트 정책을 관망하면서 자체 제로 트러스트 보안 모델 도입에 나섰다.

영국은 2021년 7월 제로 트러스트 아키텍처 설계 원칙을 제시했다. 영국 국가사이버보안센터(NCSC)가 제시한 원칙엔 △조직 네트워크 구조의 파악 △이용자·서비스·디바이스에 대한 신원 파악 △사용자 행동·서비스 및 디바이스 상태 지속적 평가 △모든 접근을 인증한 뒤 허가 △어떤 네트워크도 신뢰하지 않음 등을 담고 있다.

일본은 2020년 6월 정부 정보시스템에서 제로 트러스트 적용을 위한 사고방식을 도입하며 일찌감치 제로 트러스트 구현에 속도를 냈다. 특히 일본 정부가 2021년 디지털청을 발족하며 탄력이 붙은 모양새다. 디지털청은 지난해 6월 제로 트러스트 아키텍처 적용 정책을 제시하며 구체화하고 있다.

중국은 지난해 6월 정보 보안 기술 제로 트러스트 참조 아키텍처 초안을 발표하고 의견수렴에 나섰다. 싱가포르도 2021년 10월 정부 사이버 보안 현대화에 제로 트러스트를 도입하는 전략을 내놓은 바 있다.

◇과기정통부, 시범사업 통해 제로 트러스트 확산 추진

과기정통부는 제로 트러스트 확산을 위해 시범사업 지원에 방점을 찍었다. 제로 트러스트는 단일 보안 체계가 아닌 인증·네트워크·데이터베이스·애플리케이션 접근통제 등 기존 보안체계의 모든 구성 요소를 연동하는 개념으로, 국내 다양한 이기종 보안 제품·서비스를 결합하는 한편 제로 트러스트 핵심 접근법을 구현·실증하기 위해선 시범사업 지원이 필요하다는 결론을 내렸기 때문이다.

우선 올해 컨소시엄 두 곳을 선정, 각각 5억원을 투입해 다양한 업무 환경에 적용 가능한 제로 트러스트 보안 모델 개발을 지원한다. 이기종 제품·서비스 결합을 통한 제로 트러스트 기본 7개 원칙 및 3가지 접근법 등을 실증하는 게 목표다.

NIST 가이드 라인에 따른 7원칙은 △리소스 식별 △안전한 통신 확보 △접근권한 부여 △접근권한 정책 △보안상태유지 △선인증 후접속 △보안상태 개선 등이다. 세 가지 접근법은 강화된 인증체계, 마이크로 세그멘테이션(초세분화), 네크워크 인프라 및 소프트웨어 정의 경계(SDP)를 말한다.

과기정통부가 6월 발간하는 ‘제로 트러스트 안내서’를 보면 향후 정책 방향을 엿볼 수 있을 전망이다. 안내서엔 해외 가이드라인 및 구축사례 기반 제로 트러스트 아키텍처 보안 모델, 성숙도 모델, 도입·운영 고려사항, 유즈케이스(Use Case) 도출 등을 담길 예정이다.

보안업계 관계자는 “북한발 사이버 안보 위협이 커지고 한·미 사이버 안보 동맹이 강화함에 따라 국내 정보안 산업 경쟁력 제고가 필요하다”면서 “새로운 보안 패러다임으로 떠오른 제로 트러스트 분야에서 국내 기업이 두각을 나타나기 위해 정부 차원 적극적 지원이 필요한 시점”이라고 말했다.

조재학 기자 2jh@etnews.com