[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>

전 세계적으로 ‘제로 트러스트’가 유행하고 있지만, 그 정확한 뜻과 정의를 아는 사람은 아무도 없다. 제로 트러스트 개념이 등장한지 13년이 지났지만 여전히 그 개념이 확장되고 진화하고 있기 때문이다. ‘지속적인 검증’이라는 원칙은 유지되고 있지만, ‘지속적’의 의미와 범위, 검증의 방법과 강도, 그리고 사용자 경험과의 조화, 복잡한 클라우드 환경에서 적용 방법, 내부자 위협 대응 등 풀어야 할 과제가 산더미다.

그럼에도 불구하고 제로 트러스트를 보안의 1대 원칙으로 삼는 이유는 분명하다. 클라우드와 하이브리드 업무 환경으로 인해 보안 장비를 설치할 ‘보안 경계’가 없어지고 있기 때문이다. 또한 위협이 고도화되고 있어 예전처럼 보안 장비를 켜켜이 쌓는 방식으로는 막을 수 없으며, 새로운 관점의 보안 전략이 필요하다.

업무 방식 근본적 변화 필요한 제로 트러스트

제로 트러스트가 필요하다는 사실에 많은 기업·기관이 동의하고 있지만 무엇을, 어떻게 해야할지 혼란스러운 상황이다. VPN을 없애는 것 혹은 ID 관리 솔루션을 사용하는 것이 제로 트러스트라고 하지만, 이는 제로 트러스트 구현 기술 중 극히 일부일 뿐이다. 제로 트러스트 여정을 업무 방식을 근본적으로 변화시키는 길고 복잡한 과정을 거쳐야 한다.

제로 트러스트를 논할 때 가장 많이 언급하는 것이 미국 NIST SP 800-207이다. 미국 사이버 보안 행정명령에서 제로 트러스트 보안 전략 수립을 명시한 후 NIST가 유관기관과 기업, 전문가들과 함께 표준 아키텍처를 만들었다. 사용자와 리소스 사이에 정책결정지점(PDP), 정책시행지점(PEP)을 두고 리소스에 접근하려는 사용자와 엔티티의 신뢰를 지속적으로 평가하도록 했다.

NIST 표준을 비롯한 다른 나라의 관련 표준과 자료를 참고해 과학기술정보통신부가 ‘제로 트러스트 가이드라인 1.0’을 발표했다. 지속적으로 검증한다는 제로 트러스트의 기본 철학을 구현할 수 있도록 ▲강화된 인증 ▲마이크로 세그멘테이션 ▲소프트웨어 정의 경계(SDP)를 핵심원칙으로 하고 있다. 안전하고 지속적인 접근 제어를 위해 제어 영역과 데이터 영역을 구분하고, 자원에 대한 접근 요구가 있을 때 ▲접속을 결정하는 PDP ▲접속을 시행하는 PEP를 두고 운영해야 한다.

제로 트러스트는 특정한 기술이나 솔루션을 말하는 것이 아니며, 상황에 따라 여러가지 다른 구현 모델이 제안될 수 있다. 그래서 정부는 올해 SGA솔루션즈 컨소시엄과 프라이빗 테크놀로지 컨소시엄을 통해 제로 트러스트 보안 실증사업을 시작했다.

SGA솔루션즈 컨소시엄은 SGA솔루션즈와 자회사 에스지엔이 프레임워크를 만들고, 지니언스와 소프트캠프가 참여해 제로 트러스트 필수 기술을 더한다. 엔에이치엔클라우드, 넷마블, 부동산114, 예스티 등이 수요기관으로 참여한다.

프라이빗테크놀로지 컨소시엄에는 한국IoT융합사업협동조합 대표사 타이거컴퍼니가 함께하며, LG유플러스, 한국지능정보사회진흥원(NIA), 한국주택금융공사 등이 수요기관으로 참여한다.

국책과제 수행하며 제로 트러스트 기술 개발

SGA솔루션즈는 2021년부터 과학기술정보통신부의 제로 트러스트 국책과제를 수행하면서 관련 기술을 고도화해 왔다. 그리고 지난해 인수한 에스지엔 기술과 결합해 제로 트러스트 보안 솔루션 ‘SGA ZTA(Zero Trust Architecture)’를 출시했다.

SGA ZTA는 NIST 표준을 기준으로 설계한 제로 트러스트 프레임워크로 ▲사용자 업무용 PC 통합 엔드포인트 관리, 제로 트러스트 보안 운영관리 시스템 역할을 하는 핵심 엔진 ‘ICAM’ ▲제로 트러스트 보안 게이트웨이 ‘PAM 게이트웨이’ ▲엔터프라이즈 리소스 보호를 위한 ‘ERS’ 보안 솔루션 ▲제로 트러스트 정책 지원 포인트 PIP로 구성됐다.

SGA솔루션즈는 다양한 보안 기술 기업과 파트너십·얼라이언스를 구축해 프레임워크에 여러 보안 기술을 통합시킨 수 있도록 하고 있다. 이를 통해 현재 고객의 보안 체계를 유지하면서 단계적으로 제로 트러스트로 전환할 수 있도록 돕겠다는 뜻을 밝힌다.

최영철 SGA솔루션즈 대표는 “제로 트러스트는 프레임워크가 매우 중요하다. 그 어떤 기술기업도 제로 트러스트를 단독으로 구현할 수 없기 때문이다. 잘 짜인 프레임워크에 필요한 기술들을 긴밀하게 통합시키면서 제로 트러스트를 이행해야 한다”고 강조했다.

그는 “SGA솔루션즈는 자회사 에스지엔과 함께 제로 트러스트 프레임워크를 위한 핵심 기술인 ID·자격증명 접근관리(ICAM)의 완성도를 높이고 있다. 여기에 SGA솔루션즈와 다른 기업의 기술을 결합시켜 고객 환경에 따라 유연하게 적용되는 제로 트러스트 모델을 만들어 나갈 것”이라고 설명했다.

독자 기술로 글로벌 특허 없이 제로 트러스트 구현

프라이빗 테크놀로지는 독자개발한 독특한 방식의 제로 트러스트 기술로 실증에 나선다. 프라이빗 테크놀로지의 제로 트러스트 기술은 ①엔드포인트 에이전트에서 사용자와 사용 환경을 식별하고 ②안전한 기기와 권한 있는 사용자가, 정상적인 상황에서, 허가된 애플리케이션으로만, 전용 암호화 터널을 통해 연결되도록 한다.

네트워크를 중심으로 제로 트러스트 전략을 수립한다면, 불특정 대상으로부터 항상 통신 요청을 받는 네트워크의 특성상, 요청하는 측을 정확하게 식별하기 어렵다. 그래서 프라이빗 테크놀로지는 엔드포인트에서 먼저 인증한 후 접속하는 방식을 채택했으며, SDP 아키텍처를 기반으로 제로 트러스트 모델을 설계했다.

김영랑 프라이빗 테크놀로지 대표는 “NIST 표준을 기반으로 설계하면, 그 표준 내에 있는 수많은 기술 특허를 피할 수 없다. 정부는 제로 트러스트 원칙을 디지털 플랫폼 정부에 적용하고, 해외 수출까지 계획하고 있는데, 특허 침해 위험 없이 제로 트러스트 아키텍처를 구현하려면 완전히 독자적으로 개발한 기술이 필요하다”며 “프라이빗 테크놀로지는 제로 트러스트와 관련한 127개의 특허를 보유하고 있으며 그 중 45개가 글로벌 특허다. 해외 특허 기술을 지속적으로 확장해 해외 진출에 가속을 붙일 것”이라고 밝혔다.

프라이빗 테크놀로지는 네트워크 보안 기술과 엔드포인트 애플리케이션 제어 기술을 결합한 구축형 ‘프라이빗 커넥트(Pribit Connect)’와 구독형 ‘패킷고(PacketGo)’를 제공하고 있다. CC 인증, GS 인증, 혁신제품 지정 등으로 기술력을 인정받았다.

포스코 인터내서녈, LG U+, 마이크로소프트, 서울교통공사, 한국지능정보사회진흥원(NIA) 등 여러 공공·민간 기업에 솔루션과 서비스를 공급하고 있다. 포스코 인터내셔널은 국내 본사와 해외 지점·지사를 대상으로 도입했으며, 해외 중개판매사로 해외 고객에게 솔루션을 판매한다. 프라이빗 테크놀로지는 이 경험과 노하우를 바탕으로 하반기 미국 법인을 설립하고 미국 시장진출에 나선다.