“제로트러스트는 새로운 보안기술 패러다임… 긴 호흡으로 접근해야”
“제로트러스트는 사이버 보안에 있어 모든 것을 아우르는 새로운 패러다임입니다”
신종회 엔씨소프트 정보보안센터장(CISO)은 27일 <바이라인네트워크>가 서울 강남 한국과학기술회관에서 연 ‘클라우드 네이티브 시큐리티 & 제로트러스트 컨퍼런스 2023’에 참석해 “제로트러스트는 한번에 완벽하게 도입할 수 있는 시스템이 아니라, 긴 호흡으로 단계적으로 가야하는 여정”이라고 말했다.
제로트러스트가 클라우드 생태계에서 조직을 보호하는 데 가장 최적화된 모델임은 변함이 없지만, 이는 하나의 패러다임과 같기에 장기적인 관점에서 접근해야 성공적으로 구현할 수 있다는 것이다.
제로트러스트란 ‘아무것도 신뢰하지 않는다’는 사이버보안 모델로, 접근 요청 시 철저한 검증을 거치고 최소한의 신뢰만을 부여해 접근을 허용하는 방식을 일컫는다.
신 CISO에 따르면 보안 생태계에서 제로트러스트에 대한 필요성은 계속해서 제기되고 있다. 지난해 미국 바이든 정부는 ‘국가 사이버 보안 개선에관한 행정 명령’을 공포하며 사이버 보안 현대화를 위해 제로트러스트를 구현하라고 명령하기도 했다.
그는 “제로트러스트는 단순 기술이라기보다 사이버 보안을 위한 설계 방식의 변화이지, 기존 보안 모델 및 솔루션을 대체하는 개념이 아니”라고 분석했다. 그렇기에 기업이 필요 솔루션을 선택, 조합해 제로트러스트를 구현해야 한다고 강조했다.
먼저 그는 이러한 제로트러스트의 핵심 요소들이 어떻게 기능하는지에 대해 코로나19 당시 경험했던 K-방역 체계를 예로 들어 설명했다.
그는 “국내로 입국을 하기 위해서는 여권(신분확인)과 입국심사(보안심사)만 진행했다면, 코로나19 팬데믹 당시에는 예방접종증명서(상태 진단)과 PCR 확인서 및 발열체크(동적 평가), 더 나아가 여러가지의 모니터링 및 자가격리 등의 동적 검증까지 진행해 코로나 감염자를 식별하고 통제할 수 있었다”며 “제로트러스트도 마찬가지로 이용자가 정보를 입력하는 순간부터 어떤 행위를 하는지 추적하고 의심이 되는 순간 격리 조치를 취하는 등의 정보 분류를 한다”고 말했다.
하지만 안정적이었던 K 방역 체계에도 인력 부족으로 인한 정보 보고 누락 등의 균열이 생겼던 것처럼 제로트러스트 또한 여러 한계를 갖고 있다. 실제로 포티넷이 발표한 ‘가장 주요한 제로트러스트 전략 수립 이슈’ 조사 결과에 따르면 37%의 조직들은 제로트러스트 구현에 어려움을 겪고 있다. 완벽한 제로트러스트 솔루션을 갖춘 적격한 벤더가 부족(24%)하고 즉각적인 IT 보안 환경을 변경하기 위한 예산도 부족(19%)하다.
신 CISO는 “많은 기업들이 제로트러스트를 단기간에 구축하려는 생각을 가지고 있는데, 제로트러스트의 구현은 하나의 긴 여정으로 바라볼 필요가 있다”며 관련 사례로 자사의 제로트러스트 구현 현황에 대해 설명했다.
그는 “엔씨 또한 여러 보안의 복잡성 문제를 겪고 2019년 3월 네트워크 경계 보안의 한계점 극복을 위한 제로트러스트 기반 접근 제어 개념을 도입했다”고 전했다. 사용자 인증 강화, 기기 검증, 권한 관리, 모니터링, 중앙화 기능 도입을 통해 엔씨만의 제로트러스트 보안 아키텍처를 개발했다고도 덧붙였다.
물론 엔씨 또한 몇 가지의 기술적 한계에 봉착한 상황이다. 그에 따르면 자사 또한 데이터, 서비스 중요도에 기반한 분류 체계를 만들어야 하고 다양한 제로트러스트 구현 사례를 보지 못해 통합 솔루션 기능의 한계를 느끼고 있다. 하지만 이를 해결하고자 조금씩 나아가고 있다.
신 CISO는 “임직원의 보안 인식 제고를 위한 교육 콘텐츠를 제공하고 있으며, 제로트러스트 구현을 위해 이상행위 모니터링을 강화하는 전략을 추진 중”이라며 “보안성 검토를 위한 과정 규정화에 힘쓰고 있다”고 전했다.
글.바이라인네트워크
<박지윤 기자> nuyijkrap@byline.network