“네트워크가 정상적으로 작동한다고 해서 안전한 것은 아닙니다. 공격자는 이미 내부에 들어와 있을 수 있습니다.”
존 킨더바그 일루미오 최고 에반젤리스트는 최근 본지와의 인터뷰에서 “30여년간 회사 네트워크 안에 머물며 모든 지식재산(IP)을 훔쳐갔지만 기업은 이를 전혀 인지하지 못했던 사례도 있었다”며 제로 트러스트 보안 체계 도입을 촉구했다.
킨더바그는 2010년 제로 트러스트를 처음 제시한 인물이다. 내부 네트워크를 기본적으로 신뢰하는 기존 보안 체계의 한계를 지적하며, 내부와 외부를 구분하지 않고 모든 접근을 검증해야 한다는 보안 철학을 제안했다. 인간 사이의 신뢰 개념을 디지털 시스템 보안에 적용해서는 안 된다는 문제의식이 바탕이 됐다.
킨더바그는 기업이 여전히 사이버 공격 현실을 과소평가하고 있다고 지적했다. 그는 “많은 조직이 '우리는 항상 이렇게 해왔다'며 변화를 미루고 있다”며 “사이버 공격은 이미 전쟁 수준인데도 여전히 평시처럼 대응하는 기업이 많다”고 우려했다.
특히 기업이 가장 놓치고 있는 문제로 '가시성 부족'을 꼽았다. 조직 내부 자산과 네트워크 연결 구조를 제대로 파악하지 못한 채 시스템이 정상 작동한다는 이유만으로 안전하다고 판단한다는 설명이다.
그는 “공격자는 네트워크를 다운시키려 하지 않는다”며 “오히려 데이터를 훔치기 위해 네트워크를 더 효율적으로 활용한다”고 말했다.
실제 사례도 소개했다. 미국 정부가 대형 해킹 조직을 적발한 뒤 피해 기업을 조사한 결과, 공격자는 내부 네트워크에 장기간 침투한 상태에서 데이터 유출 속도를 높이기 위해 라우터와 방화벽까지 재구성했다. 하지만 피해 기업은 이를 단순한 시스템 성능 향상으로 받아들인 것으로 나타났다.
킨더바그는 “공격자가 네트워크 안에서 움직일 수 있다는 것은 결국 그 행위를 허용하는 정책이 존재한다는 의미”라며 “제로 트러스트의 핵심은 허용 범위를 최소화하는 데 있다”고 강조했다.
일루미오는 △보호 표면 정의 △트랜잭션 흐름 분석 △제로 트러스트 환경 설계 △정책 수립 △모니터링 및 유지관리 등 5단계의 제로 트러스트 구축 방법론에 기반한 솔루션을 서비스형 소프트웨어(SaaS) 기반으로 제공하고 있다.
킨더바그는 “제로 트러스트는 기업들이 생각하는 것처럼 복잡한 일이 아니다”라며 “무엇을 보호할지 먼저 정하고, 해당 보호 표면 안에서 정책과 통제를 적용한 뒤, 다음 보호 표면으로 확장해 나가면 된다”고 말했다.
한편, 킨더바그는 이번 방한 기간 국내 민간·공공 분야 잠재 고객사를 대상으로 제로 트러스트 전략과 구축 방안을 소개하는 콘퍼런스를 진행했다. 또 한국제로트러스트보안협회와의 협력 방안도 논의했다.
박진형 기자 jin@etnews.com
