“신뢰는 보안에 위험한 단어”…제로트러스트 안내서 6월 공개될 듯

우리나라 산업 전반이 활용할 수 있는 ‘제로트러스트(ZeroTrust)’ 안내서가 오는 6월 공개될 계획이다. 내부자에 대한 무분별한 신뢰를 자제하고, 자산을 지키는 제로트러스트 적용을 위해 분야별 사례와 도입 전략을  담아 더욱 강화한 보안 환경을 구축하는 데 길잡이가 될 전망이다.

한국정보보호학회와 한국인터넷진흥원(KISA)은 20일 서울 코엑스에서 ‘정보통신망 정보보호 컨퍼런스(NetSec-KR)2023’을 개최했다. 사이버 보안을 둘러싼 다양한 기술과 정책을 공유하고 논의하는 자리다.

이석준 가천대 컴퓨터공학부 교수는 ‘제로트러스트, 보안 패러다임의 변화’를 주제로 앞으로의 제로트러스트의 의미와 필요성, 한국의 적용 방안 등을 제시했다.

제로트러스트는 내부와 외부를 가르던 기존의 ‘경계 중심’보안을 넘어 어떤 것도 믿지 말고 접근을 관리하자는 의미의 보안 패러다임이다. 현재 우리나라는 과학기술정보통신부와 KISA 주도로 포럼을 꾸리고, 산업계가 활용할 제로트러스트 안내서 발간을 준비하고 있다. 이석준 교수는 제로트러스트 포럼의 정책·제도분과장이다.

이석준 교수는 우선 트러스트에 담긴 뜻을 언급하며 제로트러스트의 필요성을 언급했다. 그는 “신뢰(Trust)라는 건 적어도 해를 끼치지 않는다는 이야기가 담겨있다”면서 “하지만 보안 측면에서는 상당히 위험한 단어”라고 말했다.

내부자를 신뢰해 시스템 접근 권한을 주었더라도 이를 탈취하는 해킹 시도가 있을 수 있고, 내부자 스스로 권한을 높여 자산을 훔칠 수도 있다는 게 이 교수의 말이다.

지난해 초 발생했던 ‘랩서스(Lapsus$)’ 공격 또한 기업 임직원 계정을 탈취한 것이 발단이라, 제로트러스트가 제재로 작동했다면 막을 수 있었다는 게 그의 생각이다.

이에 아예 신뢰를 부여하지 않는 제로트러스트 개념을 적용해 보안을 강화해야 한다는 논의가 활발하다. 현재 적용은 미국이 가장 앞서가고 있다. 2020년 8월 미국 국립 표준기술원이 ‘NIST 800-207’이라는 제로트러스트 아키텍처 표준을 발표한 데 이어, 2021년 5월에는 조 바이든 대통령이 행정명령을 통해 연방정부 차원의 제로트러스트 구현을 주문했다.

하지만 우리나라는 아직도 개념의 취지에만 동의할 뿐 정확한 길잡이가 없어 표준화 작업이 늦어지고 있다. 이에 기업들이 보안 실무에 참고할 수 있는 안내서로 일종의 기준을 제시하겠다는 게 현재의 계획이다.

안내서는 가이드라인 성격으로 올해 초 발간될 예정이었지만, 가이드라인이 지침으로 작용해 강제성 있는 문서로 인식되는 것을 피하기 위해 안내서로 성격을 바꿨다.

이 교수는 “최고정보보안책임자(CISO)와 실무 담당자들이 (제작에) 도움을 주고 있다”며 “6월 내 발간하고, 이후 (내용을 바탕으로) 표준화를 추진하겠다”고 말했다.

내용은 NIST 800-207에 담긴 내용이 기반이 될 거라는 게 이 교수의 전언이다. NIST는 ▲모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주 ▲네트워크 위치에 관개 없이 모든 통신 보호 ▲세션 단위의 리소스 접근 승인 ▲동적 정책으로 리소스 접근 결정 ▲자산의 무결성 및 보안 상태 감시 ▲모든 리소스의 인증 인가를 강경하게 점검 후 허용 ▲현 자산 상태에 대한 정보 수집 등을 제로트러스트의 핵심으로 제시했다. 우리나라 제로트러스트 안내서도 NIST를 골자로 한국에 맞는 도입 전략과 사례가 담길 계획이다.

그는 “제로트러스트는 문화의 변화와 패러다임의 변화가 모두 필요하다”며 “리소스에 대한 무단 접근을 막고 리스크가 퍼지지 않도록 하는 게 제로 트러스트의 목적”이라고 강조했다.

한편, 이날 컨퍼런스는 개별 세션을 비롯해 임종인 고려대 석좌교수의 키노트와 이종후 국가보안기술연구소 센터장의 강연 등이 진행됐다. 행사는 같은 장소에서 21일까지 열린다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network