[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>

제로 트러스트, 과대광고 심하다

제로 트러스트에 대한 관심은 높지만, 기업·기관은 어떻게 시작해야 할지 알지 못한다. 그럴 수밖에 없는 것이, 제로 트러스트 붐을 불러온 미국에서도 제로 트러스트 구현 방법과 전략에 대한 의견이 분분한 상황이다. 글로벌 IT 기업들은 새로 떠오르는 제로 트러스트 시장에서 기술 주도권을 잡기 위해 각자 자사의 경쟁력 있는 기술을 중심으로 생태계를 만들려고 한다. 특정 분야에 탁월한 기술기업들은 자사 기술이 제로 트러스트 핵심 기술이라고 주장한다.

시장조사기관들은 “고객은 ‘제로 트러스트’에 벌써부터 피로감을 느끼고 있다”고 지적한다. 각종 마케팅 용어가 쏟아지고 있으며, 모든 것에 제로 트러스트를 엮고, 제로 트러스트만이 모든 위협을 완벽하게 차단할 수 있을 것처럼 과대광고 하고 있기 때문이다.

제로 트러스트는 복잡한 위협 환경에 대응하기 위한 전략 중 하나이지, 정답은 아니다. 제로 트러스트 구현 방법이나 기술도 개별 환경마다 다르다. 제로 트러스트를 너무 강조해서 ‘직원을 불신한다’는 인식이 확산되면 오히려 부작용이 더 크다. 또 제로 트러스트 원칙에 따라 업무 프로세스를 개선하고 필요한 기술을 통합시켜야 하는데, 이종 제품 통합만큼 어려운 일은 없다.

이창운 포티넷코리아 이사는 “포티넷 조사에 따르면 많은 기업들이 제로 트러스트 전략을 추진하고 있지만, 온프레미스와 클라우드 솔루션의 통합, 엔드 투 엔드 정책 시행, 애플리케이션 대기 시간, 솔루션 선택과 설계를 위한 신뢰할 수 있는 정보 등이 부족하다는 문제를 겪고 있다”고 밝혔다.

무자각 지속인증으로 제로 트러스트 시작

제로 트러스트를 계획할 때 가장 먼저 ‘아이덴티티(ID)’를 고려하게 된다. 하이브리드 환경은 ID가 보안의 경계가 되기 때문에 ID를 중심으로 한 보안 정책이 필요하다. ID는 공격자가 가장 좋아하는 수단이기도 하다. ID를 훔치면 ID에 부여된 권한 내에서 정상행위로 위장한 침해 활동을 할 수 있기 때문이다.

엘라스틱 조사에 따르면 클라우드 침해시도의 58%가 무차별 대입시도와 이전에 유출된 정보를 이용한 암호분사 기법을 결합한 것이다. 자격증명 탈취 공격의 77%는 알려진 유틸리티와 OS 자격증명 덤핑 기법을 사용한 것이었다.

제로 트러스트 원칙의 ID 관리는 모든 접근을 ‘거부’하는 상태로 두고, 다양한 컨텍스트를 고려해 ID의 신뢰를 평가하며, 시스템 전반에서 학습하면서 계속 강화시켜야 한다. 사용자를 불편하게 하지 않으면서 적절한 수준의 검증과 모니터링이 이뤄지도록 해야 한다.

그 방법 중 하나로 생체인식을 이용한 무자각 지속인증을 IAM에 통합시키는 방법이 제안된다. 대표적인 예로, 모니터를 바라보는 사용자의 얼굴을 인식해 화면을 바라보고 일하는 것 만으로 지속적으로 인증이 되도록 방법이 있다.

피앤피시큐어가 비전 AI 기술을 이용한 안면인식·객체탐지 기능을 유니파이드 IAM(Unified-IAM)에 접목해 제로 트러스트 보안을 구현한다. 피앤피시큐어의 ‘페이스락커(FaceLocker)’는 저렴한 RGB 웹캠을 이용해 모니터를 보는 사용자의 얼굴을 지속적으로 확인한다. 사용자가 자리에 있는지 확인하고, 다른 사람이 화면을 보거나 촬영하는 것이 감지되면 화면을 차단 한다.

페이스락커는 국내 대형 은행, 증권사, 생명보험사 재택근무 보안을 위해 제공됐다. 또 다른 제1금융권 은 금융감독원 내부통제 가이드에 따라 패스워드 없는 생체인식 기반 인증을 위해 전 직원을 대상으로 페이스락커를 도입했다.

박천오 피앤피시큐어 대표는 “사용자를 불편하게 하는 제로 트러스트는 성공할 수 없으며, 업무하는 과정에서 자연스럽게 신뢰를 평가하고 지속할 수 있어야 한다”며 “제로 트러스트는 하나의 기술로 해결할 수 있는 것이 아니기 때문에 다른 기술과 결합될 수 있어야 한다. 피앤피시큐어 페이스락커는 디비세이퍼 뿐만 아니라 접근통제가 필요한 모든 솔루션과 시스템에 쉽게 연동될 수 있다”고 말했다.

피앤피시큐어의 유니파이드 IAM ‘디비세이퍼(DBSAFER)’는 DB, 시스템, 통합 계정관리, OS 접근제어를 통합한 솔루션으로, 온프레미스·클라우드 제약 없이 계정과 접근을 통합 관리한다. 여러 보안 제품이 통합해 도입·운영 비용과 관리포인트를 줄일 수 있다. 모듈형으로 제공해 기업·기관은 필요한 기능만 도입해 사용하다가 필요시 확장할 수 있다. 사용자의 행위가 통합 솔루션 내에서 지속적으로 추적되기 때문에 이상행위 탐지 효과를 높일 수 있다.

국내 DB 접근제어 시장 점유율 70% 이상 차지하는 디비세이퍼 제품을 기반으로 하기 때문에 추가·신규 고객에 제공하기 용이하며, 일원화된 관리가 가능해 시장에서 호평받고 있다. 페이스락커와 결합해 제로 트러스트 원칙의 지속적인 검증과 모니터링이 가능해지며, 사용자 불편 없이 강력한 업무 보안을 유지할 수 있게 한다.

ID 관리와 관련된 기술은 지속적으로 통합되는 추세에 있다. 휴네시온의 ‘아이원NGS(i-oneNGS)’ 역시 시스템 계정관리와 접근제어를 통합하면서 통합 솔루션 역량을 높이고 있다.

아이원NSG는 2차인증(2FA)으로 사용자 인증을 강화했으며, 인가된 사용자라도 사용자 세션을 통제해 권한 내에서의 이상행위를 차단한다. 클라우드 환경을 위해 에이전트리스 방식 구축을 지원하며, 기존 업무 변화와 서버·네트워크 부하를 최소화한다.

복잡한 ID 관리 지원하는 통합 제품

기업이 관리해야 하는 ID는 임직원과 협업하는 파트너사, 각종 IoT 기기, 애플리케이션 등 다양하다. 최근에는 개발자 ID를 탈취해 CI/CD 파이프라인에 침입하거나, 깃허브 계정을 훔쳐 저장된 코드에 취약성을 삽입하는 공격도 성행하고 있어 여러 환경의 개발자 계정, 코드 저장소 계정도 철저하게 관리해야 한다.

마이크로소프트는 다양하고 복잡한 ID 관리 기술을 체계적으로 제공하기 위해 ‘엔트라(Entra)’ 제품군에 관련 기술을 통합시켰다. 액티브 디렉토리(AD, 현 엔트라ID)를 비롯해 ID 거버넌스, 고객·파트너 ID 관리, 권한관리, 워크로드 ID 관리, 크리덴셜 관리 등의 기능이 포함됐다. 또한 시큐리티 서비스 엣지(SSE)의 일환으로 사용자의 안전한 SaaS 연결과 외부 사용자의 내부 업무 접속(ZTNA)을 지원하는 기능을 포함하고 있다.

마이크로소프트는 데이터 라이프사이클 전반에 대한 체계적인 관리를 제공하는 ‘퍼뷰(Purview)’ 제품군과 SIEM/XDR, 클라우드 보안 등 광범위한 보안 기능을 지원해 고객의 멀티·하이브리드 클라우드를 보호한다. 더불어 AI 보안비서 ‘시큐리티 코파일럿’과 연계해 SOC 업무를 효율화한다.

ID 관리는 고객, 개발자, 외주 계약직원 등에 대해서도 적용되어야 하는데, 고객계정접근관리(CIAM) 솔루션이 문제를 해결해 준다.

CIAM 전문기업 원웰컴을 인수한 탈레스는 IAM, CIAM, MFA, SSO, 패스워드리스, HSM 등 다양한 ID 보호 솔루션을 제공하면서 ID 관리 역량을 높인다. 더불어 데이터 보호 솔루션으로 멀티·하이브리드 환경에서 가장 취약한 ID·데이터 보호 기술을 제공, 제로 트러스트 원칙 이행을 촉진시킨다.

PAM으로 ‘왕국의 열쇠’ 보호

제로 트러스트 원칙이 가장 강력하게 적용돼야 하는 업무가 최고권한 계정이다. ‘왕국의 열쇠’라고도 불리는 최고권한 계정을 보호하기 위해 PAM 솔루션을 선택하는 것이 좋다.

비욘드트러스트 조사에 따르면 취약점의 90%는 과도한 관리자 권한과 관련된 것이었다. 최근에는 웹 기반 콘솔, RPA 등에도 높은 권한이 부여되기 때문에 실제로는 권한을 가진 모든 계정을 보호하는 기능으로 PAM이 확장되고 있다.

퀘스트소프트웨어 원아이덴티티의 PAM 솔루션 ‘세이프가드(Safeguard)’가 PAM 시장의 대표주자로, 안전하고 견고한 패스워드 저장소와 위협 탐지·분석기능을 제공한다. 원아이덴티티는 PAM, IAM, IGA에 탁월한 리더십을 보유하고 있으며, AD 보호·백업 복구 등 퀘스트소프트웨어의 다른 IT 기술과 접목돼 제로 트러스트 기반 보안 전략을 전사 관점으로 확대할 수 있다.

한편 퀘스트소프트웨어는 AD 보호에 대해서도 제로 트러스트 관점이 필요하다고 강조한다. 크라우드스트라이크 조사에서는 AD 계정 접근을 위해 악용되는 커버로스팅(Kerberoasting)이 전년대비 583% 급증한 것으로 나타난다. AD 계정을 이용하면 AD와 AD에 연결된 단말의 모든 정보를 탈취하고 단말을 장악해 악성코드·랜섬웨어를 유포하고 지속적으로 공격할 수 있다.

퀘스트소프트웨어 AD 보호 솔루션은 AD에 대한 침해 탐지와 대응, AD 백업·복구 기능을 제공해 급증하는 AD 타깃 공격 위협을 제거한다.