"아무도 믿지말라"…'제로 트러스트' 보안 개념을 바꾼다

등록 2022.06.11 07:40:00

재택·원격 근무 시대 임직원 계정·단말 노린 사이버 공격 활발

제로 트러스트, 매번 접속할때마다 사용자 검증 원칙

미국 정부 등 보안 시스템에 제로 트러스트 적용 활발

전문가 "재택 근무 일상화 속에서 필수로 도입해야"

[그래픽]

【서울=뉴시스】송종호 기자 = # 중소 무역업체인 A사는 최근 랜섬웨어(컴퓨터 시스템 접근을 제한하고 몸값을 요구하는 악성 소프트웨어) 피해를 입었다. 해커는 재택근무의 빈틈을 노렸다. 한 번 인증 받은 PC에는 모든 권한을 부여한 점을 파고 든 것이다. A사는 외부 네트워크로 접속하는 PC까지 관리할 여력이 없었다. A사는 “유출된 데이터 상당수를 제대로 확인할 수 조차 없는 상황”이라며 “급히 사고를 수습해 줄 보안 업체를 수소문하고 있다”고 말했다.

최근 재택·원격 근무가 일상화되면서 이를 노린 사이버 위협도 크게 늘고 있다. 이같은 환경 변화에 따라 보안 트렌드도 달라지고 있다. 요즘 뜨거운 화두로 대두 되고 있는 ‘제로 트러스트(Zero Trust)’가 그것이다.

제로 트러스트는 ‘어떤 누구도 믿지 않는다’는 원칙에서 출발한 새로운 보안 원칙이다. 본인 인증을 거치고 단말기 접근 허가를 받았더라도 최소한의 권한만 부여한다는 게 핵심이다. '신뢰'라는 개념 자체를 완전 배제한 불신(不信) 기반의 보안체계라 할 수 있다.

지금까지 보안 방식은 외부 공격을 차단하는 데 무게를 뒀다. 외부 해커의 침투에 대비해 두터운 방화벽을 세우는 모델이 대부분이었다. 반면 한번 인증 과정을 거친 계정에 대해선 시스템 접근 권한을 주고 믿었다. A사 역시 이 경우에 해당한다. 재택근무 돌입 당시 한번 인증한 계정에 대해선 추가적인 확인 요구 없이 자유롭게 사내 서버와 데이터 접근을 할 수 있었다.

반면 제로 트러스트는 확실히 전통적 보안체계와는 다르다. 보안 시스템에서 인증한 계정이나 단말이라도 그대로 믿지 않는다. 이미 한차례 인증된 계정도 추가적인 이용을 위해서는 다시 인증과정을 거쳐야 한다. 2단계 인증은 기본. 애플리케이션이나 데이터별로 지문인증이나 문자메시지 인증 등을 해야 한다. 해커가 계정이나 원격 근무자 PC권한을 탈취했더라도 내부 시스템에서 정보를 쉽게 빼낼 수 없도록 한 것이다.

제로 트러스트가 주목받는 이유는 사이버 위협의 진화 때문이다. 최근 사이버 위협의 상당수가 외부가 아닌 내부자 요인에서 발생한다. 재택근무와 원격근무, 외부 클라우드 의존도가 높아지면서 보안 허점들이 더욱 많아지고 있다.

지난 3월 발생한 해커 집단 랩서스의 공격이 대표적이다. 이들은 미국 반도체 기업 엔디비아와 삼성전자, LG전자 등을 차례로 해킹해 내부 정보를 빼돌렸다.

정보보안 기업 SK쉴더스에 따르면 랩서스는 기업 임직원들 계정을 탈취해 내부 정보에 접근했다. 해커는 추가 인증과정이 취약하다는 점을 악용해 탈취한 임직원 계정을 통해 공격 대상 PC에 손쉽게 접근했다.

전통 보안 개념을 해체하라…"어느 것도 믿지마라"

제로 트러스트는 이미 세계적인 보안 트렌드로 자리잡고 있다. 최근 미국 샌프란시스코에서 개막한 'RSA 콘퍼런스 2022'에서도 제로 트러스트가 화두로 떠올렸다. 존 크리스 잉글리스 미국 백악관 국가사이버 국장은 기조연설에서 제로 트러스트에 대해 “정부와 기업의 보안 방식을 바꾸는 것”이라고 정의했다. 앞서 바이든 정부는 정부기관을 위한 제로 트러스트 전략을 발표하고 네트워크 접근제어 다중인증, 암호화 등 제로 트러스트 관점에서 각 정부기관들이 2년 내 적용해야 할 보안대책을 의무 제출토록 행정 명령을 내렸다.

윤석열 정부도 '제로 트러스트' 환경의 디지털플랫폼정부를 구축하겠다고 선언한 바 있다.

기업들도 앞다퉈 제로 트러스트 보안 시스템 도입에 나서고 있다. 글로벌 클라우드 업체 옥타가 지난해 발표한 아시아·태평양(APAC) 지역 제로 트러스트 보안 현황 보고서에 따르면 글로벌 기업 2000곳 중 63%가 제로 트러스트 보안 방식을 채택했다고 답했다.

국내 기업은 해외 기업과 격차가 컸다. 보고서에 따르면 한국 기업 가운데 제로 트러스트 시스템을 도입한 기업은 4%에 그쳤다. 다만 한국 기업도 96%가 앞으로 12~18개월 내에 제로 트러스트 보안을 시작할 것이라고 답했다.

전문가들은 변화된 근무 환경에서 제로 트러스트 도입은 불가피하다고 분석했다.

박지웅 잉카인터넷 시큐리티대응센터 리더는 “제로 트러스트는 원격 근무가 일상화된 현재 상황에서는 필수적인 보안 모델”이라며 “공격 기법의 다양화로 모든 디바이스와 사용자를 항상 검증해야 할 필요성이 생겨났다”고 말했다. 그는 “원격 근무 일상화로 망 내에 있는 사용자 또는 기기만이 신뢰된 사용자라는 개념은 사라졌다”며 “인증 받은 사용자라도 이상 행동을 할 경우 위협으로 간주해야 한다”고 덧붙였다.

신시장 노리는 보안업계

국내 보안 업계도 제로 트러스트 정책에 대비해 솔루션들을 앞다퉈 출시하고 있다. 네트워크 보안 기업 지니언스는 지난달 ‘지니안 제로 트러스트 네트워크 액세스(ZTNA)’를 선보였다.

지니안 ZTNA는 정보 통제기능을 강화한 제로 트러스트 솔루션이다. 네트워크나 클라우드 등에 접속할 때마다 계속 인증을 요구하고, 사용자를 확인 하는 등 접근을 제어하는 방식이다.

지니언스 관계자는 “기존에는 아이디와 비밀번호로 완료됐던 인증을 매 단계마다 달리 하는 것이 특징”이라며 “네트워크 접속에서는 지문 인식, 또 다른 정보는 다시 비번과 아이디를 요구하는 등 계속 검증 과정을 거친다"고 말했다.

정보보안 스타트업 스파이스웨어도 제로 트러스트 솔루션 '스파이스웨어 원ZTS'를 출시했다. 접근 제어 방식을 채택한 이 솔루션은 클라우드 및 협업 도구 사용 기업을 대상으로 한다. 보안 웹 게이트웨이(SWG)를 통해 누가·언제·어디서 클라우드 등에 접근했는지 기록한다. 이 과정에서 인증을 통해 접근을 제어하고, 의심스런 접근은 사전에 차단한다. 스파이스웨어 관계자는 “해당 제품은 제로 트러스트 보안을 충족하고 있다”라며 “새로운 보안 수요에 맞춘 서비스”라고 밝혔다.

소프트캠프도 보안 원격접속 솔루션 실드게이트를 출시했다. 외부 근무자가 사내 업무 시스템에 접속할 때 사용되는 보안 제품이다. 외부 접속 인증에 제로 트러스트 방식을 채택했다. 인증 후 복사 및 붙여넣기 금지, 전자 워터마킹, 파일 올리기·내려받기 등을 단계별로 차단할 수 있다

소프트캠프는 이번 출시를 계기로 관련 시장에서 경쟁력을 확보해 나간다는 계획이다.

파수는 최근 북미 시장에서 제로 트러스트 경쟁력을 선보였다. 파수는 미국 메릴랜드 내셔널하버에서 열린 글로벌 보안 콘퍼런스 ‘가트너 시큐리티 서밋 2022’에서 제로 트러스트 데이터 보안 방안을 소개했다.

파수는 제로 트러스트 보안 구축을 위한 ▲문서보호 솔루션 파수 엔터프라이즈 디알엠(DRM) ▲데이터 식별·분류 솔루션 파수 데이터 레이더 ▲차세대 문서관리 플랫폼 랩소디 ▲외부협업 솔루션 랩소디 에코 등 자사 보안 솔루션 등을 소개했다. 앞서 8일 오전(현지 시간)에는 ‘제로 트러스트 데이터 보안 플랫폼 구축’을 주제로 세션 발표도 했다.

조규곤 파수 대표는 “이번 행사에서 제로 트러스트 데이터 보안 플랫폼을 통해 데이터에 대한 이상적인 보안 방안을 보여줬다”고 말했다.

◎공감언론 뉴시스 [email protected]