[기고] 제로트러스트는 파랑새가 아니다: 금융 보안을 실체화하는 4대 식별 원칙
과거 금융의 신뢰는 거대한 빌딩과 화려한 대리석으로 상징되는 물리적 권위에서 왔다. 하지만 디지털 금융 시대의 고객은 눈에 보이는 건물보다 '내 주문이 0.001초의 오차 없이 처리되는가' '내 데이터가 기술적으로 완벽히 보호받는가'와 같은 실질적 성능에서 신뢰를 찾는다. 대형 금융 사고가 반복될 때마다 규제는 강화되지만, 이제는 수동적인 규제 준수(Compliance)를 넘어 보안을 시스템의 근간으로 삼는 기술적 철학의 확립이 필요한 시점이다.
최근 '제로트러스트'가 보안 해법처럼 거론되지만 이는 특정 제품이 아니라 모든 접근을 다시 검증하는 보안 설계 사상에 가깝다. 이를 구현하려면 기존 보안 체계를 여러 식별 영역에서 재정의하고 접점마다 지속적인 검증 체계를 구축해야 한다.
첫째, 사용자에 대한 식별로 '신원'은 고정된 상수가 아닌 변수다. 단 한 번의 로그인을 '안전한 사용자'라는 영구적인 증거로 간주해서는 안 된다. 사용자의 신원은 접속 위치, 시간대, 기기 정보, 심지어 평소의 행위 패턴과 같은 수많은 콘텍스트를 실시간으로 대조할 때만 비로소 증명된다. 예를 들어, 평소 서울에서 접속하던 사용자가 갑자기 해외 IP로 생소한 시간대에 고액 거래를 시도한다면, 시스템은 이를 즉각 식별하고 추가 인증을 요구하거나 차단해야 한다. 사용자의 신원을 끊임없이 재확인하는 역동적인 검증 체계가 제로트러스트의 첫 단추다.
두 번째, 단말기에 대한 식별로 인가된 기기보다 중요한 것은 '무결한 상태'다. 과거에는 회사에서 승인받은 기기라면 안전하다고 믿었지만, 현대의 위협은 바로 그 '승인된 기기'를 타고 들어온다. 인가된 기기인지 확인하는 수준을 넘어, 해당 단말의 보안 패치가 최신 상태인지, 필수 보안 소프트웨어(SW)가 정상 구동 중인지 등 '무결성'이 실시간으로 유지되고 있는지를 판단의 핵심 근거로 삼아야 한다. 기기가 네트워크에 접속해 있는 매 순간, 단말의 보안 상태가 정책을 위반하는 즉시 접근 권한을 회수하는 정교한 제어가 동반돼야 한다.
세 번째, 애플리케이션(앱)에 대한 식별로 내부망의 '측면 이동'을 원천 봉쇄해야 한다. 시스템 내부에서 동작하는 모든 앱간 통신은 예외 없는 검증의 대상이다. 인가된 코드만 실행되도록 화이트리스트 기반의 통제를 적용하는 것은 기본이며, 모든 상호 작용은 사전에 정의된 권한 범위 내에서만 이뤄져야 한다. 여기서 중요한 점은 최초의 연결 성립이 곧 영속적인 신뢰를 보장하지 않는다는 사실이다. 연결은 통신의 시작일 뿐, 신뢰의 증거가 될 수 없다. 따라서 통신의 주체와 대상이 신뢰 기준을 지속적으로 충족하는지 확인하고, 그 결과에 따라 데이터 교환 범위를 실시간으로 결정해야 한다. 필요한 통신 외 모든 시도를 즉시 차단할 때, 설령 내부망 침투가 발생하더라도 공격자가 권한을 확대하며 확산하는 '측면 이동(Lateral Movement)'을 구조적으로 봉쇄할 수 있다.
네 번째, 데이터에 대한 식별로 데이터의 소유권을 넘어 '흐름'을 지배해야 한다. 데이터 보안은 단순히 저장된 서버를 지키는 것에 그치지 않는다. 실효성 있는 접근 제어를 위해 데이터의 민감도와 중요도를 분류할 때, 그 판단의 핵심 기준은 '맥락'이 돼야 한다. 데이터가 담긴 내용의 맥락과 접속자·경로를 아우르는 흐름의 맥락이 결합될 때, 등급 분류는 형식을 넘어 비로소 실질적인 보호 체계로 작동한다. 비정상적인 유출 시도를 탐지하는 것을 넘어, 데이터가 이동하는 모든 경로에 검증 로직을 배치하는 지능형 인프라가 필수적이다.
결국 제로트러스트의 본질은 무조건적인 신뢰를 거두고, 모든 연결을 데이터 기반으로 검증하는 '일상적 무결성'을 확보하는 데 있다. 보안을 금융 서비스의 핵심적인 '성능'으로 정의할 때 비로소 디지털 금융의 신뢰는 완성된다. 우리가 찾는 파랑새는 화려한 솔루션 안에 있지 않다. 모든 접점에 검증의 고리를 심을 때, 시스템의 가장 깊숙한 곳에서 작동하는 견고한 '검증의 아키텍처'가 비로소 완성된다.
장세인 토스증권 최고정보보호책임자(CISO) 겸 보안 총괄 se2ni@toss.im