이제 기업의 대부분의 업무 및 관리는 IT 시스템을 통해 이루어지고 있습니다. 따라서 회사의 중요 데이터가 유출되지 않도록 IT시스템의 올바른 관리와 보안이 필요합니다.

IT보안을 이야기할 때 빠지지 않는 개념으로는 ‘제로 트러스트’가 있습니다. 제로트러스트(Zero Trust)는 단어 그대로 신뢰가 없다, 즉 ‘아무도 신뢰하지 마라’는 뜻을 전제로 하며, 내부 시스템에 접속하는 모든 것을 철저히 검증하는 보안 방식입니다. 즉, 제로트러스트는 내부자나 기기의 여부에 관계없이 철저하게 검증하고 권한을 부여한 후에도 접근권한을 최소화합니다.

제로트러스트의 등장 배경

제로 트러스트가 등장한 것은 2010년도인데요, 세계적인 연구기관 포레스터 리서치(Forrester Research) 보안위협팀의 존 킨더백 수석 애널리스트가 처음 제안하였습니다. 2010년에 등장하였지만 최근 제로트러스트가 다시 화두가 된 이유는 무엇일까요?

가장 큰 이유는 기업들의 온프레미스(On-premise)환경에서 클라우드(Cloud)환경으로의 전환으로 인한 새로운 보안방식의 필요성이 증가한 것이 있습니다. 클라우드 전환을 통해 내·외부 네트워크의 경계가 사라지고, 접속을 시도하는 사용자와 기기를 신뢰할 수 없게 됨에 따라 새로운 보안 방식이 요구되었습니다.

또한 내부 사용자에 의한 개인정보의 유출 사고가 지속적으로 발생함에 따라 내부 사용자도 신뢰할 수 없다는 인식이 확대되었습니다.

글로벌 정보보안업체 프루프포인트(Proofpoint)가 발표한 ‘2022 내부자 위협 비용 보고서’에 따르면 내부자 사고 총계는 6,803건으로 연간 평균 총 비용이 1,540만달러에 달했습니다. 우리나라에서도 최근 지속적으로 내부 유출사고가 발생하였는데요, S호텔은 지난 1월 호텔 직원이 회원정보를 잘못 입력하면서 회원명, 회원 번호 등 회원들의 개인정보 9만 9344건이 유출되었습니다. 또한 공공기업 K사 직원으로 인해 연예인의 개인정보를 3년간 무단 열람한 사고가 발생하기도 하였습니다. 이처럼 내부 직원으로 인한 정보 유출 사고가 연달아 발생하면서 제로트러스트 관점에서 보안을 강화해야 한다는 인식이 확대되고 있습니다.

제로트러스트가 기존 보안 시스템과 다른 점은?

전통적인 보안 시스템에서는 IT시스템에 들어오게 되면 해당 사용자는 보안 시스템을 통과했기 때문에 신뢰하는 사용자로 인식합니다. 그러나 제로 트러스트에서는 신뢰하는 내부자나 단말기의 여부와 상관없이 철저하게 검증하고 권한을 부여한 뒤에도 접근범위를 최소화합니다.

예를들면 이전에는 재택근무시 PC에 접속할 때 아이디와 패스워드를 통해 로그인 후 접속할 수 있었다면, 제로트러스트 하에서는 안전한 PC인지 검증을 마친 후 로그인이 가능합니다. 또한 제로트러스트에서는 기기와 사용자가 검증되더라도 최소한의 신뢰만 부여합니다.

제로트러스트를 적용한 기업의 사례

마이크로소프트는 제로트러스트 원칙으로 명확한 검증, 최소한의 권한 엑세스, 침해가정 3가지를 정하고 이에 따라 Azure Active Directory를 구축하여 제로트러스트를 실현하고자 했습니다. 마이크로소프트는 Azure Active Directory를 통해 기업용 ID를 기반으로 사용자 인증을 진행하고특히 멀티 팩터 인증을 통해 보안 키, 지문, 얼굴 등을 함께 인증하도록 하여 보안성을 높였습니다.

구글은 제로트러스트 개념을 바탕으로 한 상용 기업 보안 솔루션 BeyondCorp Enterprise를 발표하였습니다. BeyondCorp 모델에서는 방화벽이나 VPN같은 보안장비 없이 기기, 사용자 인증을 비롯한 다양한 요소를 분석한 결과만으로 접근을 제어합니다.

미국 바이든 행정부는 행정명령을 통해 연방정부와 클라우드 서비스 공급업체가 제로 트러스트 보안 정책을 채택하고 이에 따른 원칙과 프레임워크를 준수하도록 하였습니다. 이후 미국표준기술연구소(NIST)에서 국가 사이버 보안 개선에 관한 지침과 백서 등을 내놓으며 사이버 보안 업계에 영향을 미치고 있습니다.

또한 과학기술정보통신부와 한국인터넷진흥원(KISA)는 한국형 제로트러스트 모델의 발굴, 확산을 지원한다고 밝히기도 했습니다. 코로나 19, 클라우드 시대 도래 등 다양한 변수들로 인해 기존보다 더 많은 방식으로 사이버 위협이 등장하고 있습니다. 이러한 상황에서 제로트러스트 보안방식을 통해 모든 것을 검토하고 취약점을 최소화하는 방법을 고려해보는 것도 하나의 방법이 될 수 있습니다.

출처 및 참고자료

IT Daily , ‘제로 트러스트’ 모델 발굴·확산 위해 국내 사이버 보안 기업들 뭉친다

한국지능정보사회진흥원, 「클라우드를 위한 제로 트러스트 보안」