제로트러스트 가이드라인 1.0에는 무슨 내용이…

By이진호

한국형 제로트러스트(Zerotrust) 가이드라인이 공개된 가운데 실제 현장 적용 방안에 관심이 쏠린다. 개념과 핵심 원칙 등을 담은 문서로 제로트러스트 아키텍처의 원활한 구현을 돕는 게 가이드라인의 목적.

제로트러스트는 “아무것도 신뢰하지 않고 언제나 검증한다(Never Trust, Always Verify)”는 원칙으로 보안을 지키는 전략을 말한다. IT 자산의 영역을 세밀하게 나눠 각각의 요소에서 인증을 따로 진행함으로써 시스템을 지키는 게 제로트러스트 구현 원칙의 바탕이다. 바이라인네트워크가 가이드라인의 주요 내용과 쟁점을 정리했다.

(자료=과기정통부)

인증·세그멘테이션·경계가 핵심

가이드라인은 제로트러스트 구현의 핵심 원칙으로 ▲인증 체계 강화 ▲마이크로 세그멘테이션 ▲소프트웨어 정의 경계(SDP) 등 크게 3가지를 제시했다.

구체적으로 보면, ‘인증 체계 강화’는 IT 리소스 접근 주체에 대한 신뢰도 판단을 바탕으로 인증 정책을 수립하는 게 골자다. 여러 ID를 발급하는 등 일관되지 못한 보안 정책을 지양하라는 뜻이다.

더 중요한 건 마이크로 세그멘테이션이다. 개별 게이트웨이로 보호되는 단독 네트워크 구역(Segment)으로 나눠 개별 자원그룹을 설정하고, 접근 요청의 신뢰성을 검증하라는 게 가이드라인의 조언이다. 기존 경계 중심 보안과 달리 내부자도 믿지 않는 제로트러스트의 기본 개념과도 일맥상통한다.

가이드라인은 “개별 자원적 구역 설정이 없을 경우 기업망에 침투한 공격자가 다른 중요 리소스까지 이동하기 쉬워 공격 성공 가능성이 높아진다”고 주의를 당부했다.

또 SDP를 통해 사용자와 단말의 접근을 위한 채널을 각각 형성함으로써 혹시 모를 해킹 피해를 막아야 한다. SDP는 권한이 있는 사용자와 단말만 IT 인프라에 접근할 수 있도록 하는 모델이다. 서버에 일단 접속한 뒤 인증을 통해 망에 들어오는 VPN과는 반대되는 개념이다. 접속 자체를 일단 막아두기 때문에 더 고도화한 보안 체계로 꼽힌다.

성숙도 모델로 진단

가이드라인 제작 전반을 총괄한 이석준 가천대 컴퓨터공학부 교수는 “제로트러스트를 기술적으로 구현하고 도입하는 과정에는 시간이 필요하다”며 “기업 성숙도 수준에 따라 (제로트러스트 구축 체계를) 제대로 설정하는 게 필요하다”고 말했다. 기업 또한 자체적으로 보안 현황을 파악해 회사에 필요한 제로트러스트 아키텍처 구현을 도모하라는 뜻이다.

제로트러스트 성숙도 단계는 크게 3단계다. 아예 적용하지 않은 것을 ‘기존’ 수준, 제로트러스트를 부분적으로 도입한 상태를 ‘향상’, 전사적으로 적용한 상태를 ‘최적화’ 수준으로 본다.

만약 인증 영역라면 패스워드 방식을 쓰는 것은 기존 수준이고, 다중 인증을 통하면 향상 수준, 권한 승인뿐만 아니라 지속적으로 신원을 검증하는 것은 최적화 수준으로 보는 구조다. 성숙도를 바탕으로 현재 보안 수준에 대한 평가와 목표 수립, 구현 절차를 마련해 궁극적으로는 최적화 수준을 달성하라는 것.

실제 사례 제시

하지만 이 같은 가이드를 제시해도 기업 입장에서는 실제 어떻게 적용해야 할 지 고민이 있을 수 있다. 한 대형 IT 기업 관계자는 “제로트러스트의 개념은 대략 알고 있지만 현장 적용 방안을 구상하는 데는 어려움이 있던 게 사실”이라며 “단순히 보안 솔루션만 계속 덧씌우라는 게 아니라 구체적인 적용 방식을 제시한 게 가이드라인의 또 다른 의미라고 생각한다”고 말했다.

이 관계자의 말처럼 가이드라인은 구축 예시를 제시해 현장 적용을 돕는다. 가이드라인은 구글 비욘드콥(BeyondCorp) 등을 예로 들었다. 구글의 비욘드콥은 아이덴티티 어웨어 프록시(IAP)를 비롯해 ID 및 접근 관리(IAM), 액세스 콘텍스트 매니저(ACM), 엔드포인트 확인 등 네 가지 솔루션을 묶어 ▲사용자 인증 ▲맥락화 ▲세분화한 접근 관리를 지원하는 모델이다.

업계의 지원도 가이드라인 확산에 도움이 될 전망이다. 현재 한국정보보호산업협회(KISIA)는 지난 3월 ‘한국제로트러스트위원회(KOZETA)’를 발족시켰다. 다수의 보안 기업 대표들이 위원으로 참여하는 KOZETA는 과기정통부와 협력해 제로트러스트 포럼의 실증사업을 지원하고 실제 제로트러스트 도입을 고려하는 수요기업 발굴에 힘을 보탠다.

KISIA 관계자는 “제로트러스트 아키텍처를 적용해 볼 수요기업 연계도 지원할 방침”이라면서 “제로트러스트 확산을 위한 노력의 일환으로 봐 달라”고 말했다.

한편 가이드라인은 강제성을 띄는 문서는 아니다. 현장의 적용을 돕기 위한 일종의 길잡이 역할이라는 게 이석준 교수의 설명이다. 올 하반기 중 실증과 검증 사업 등을 거쳐 내년 상반기에는 2.0 버전이 공개될 예정이다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다