[IT 달린다] “믿음이 보안 망친다고?” 제로트러스트를 아시나요?

안녕하세요. IT 달린다 세 번째 시간. 이진호입니다.

오늘 원래 날씨가 안 좋을 거라고 했는데. 안 믿길 잘했습니다. 너무 쨍하니 날씨가 좋고요. 집에서는 우산 가지고 가라고 했는데. 의심해 보길 잘했습니다. 원래 의심이 많은 성격이기도 해서 말하면 한 번에 안 믿고 두 번 생각하고 그러려니 안 하는 성격인데요. 여기 딱 맞는 보안 아키텍처가 나와서 안장 위에 올라 봤습니다.

‘제로트러스트(ZeroTrust)’ 이야기입니다. 말 그대로 제로! ‘0’하고 트러스트 ‘믿음’이라는 단어를 합친 건데. 믿음이 제로니까. ‘아무것도 믿지 않고 계속 검증하겠다’는 보안 아키텍처라고 보시면 됩니다.

개념이 창안된 지는 10년이 넘었습니다. 그런데 정착이 안 됐던 이유가 설명서가 없었기 때문인데요, 프라모델 하나를 만들더라도 매뉴얼이 있어줘야 훨씬 편하고 정확하게 되겠죠 . 이런 문서가 없었으니 정착을 못 했던 아쉬움이 있었던 게 사실입니다.

그러다 최근 반가운 소식이 나왔습니다. 한국형 제로트러스트 가이드라인 1.0 버전이 출간됐습니다. 요약서하고 전체본, 두 가지 버전으로 옵니다.

예를 들어보면 집에 초대했다, 친구다… 믿고 집안에 들여보냈으면 집안도 볼 수 있게 해줄 거잖아요. 도둑은 밖으로 쫓아내 버리고요. 이게 전통적인 ‘경계 보안’ 체계고요. 대신 안 좋은 점은 믿었던 사람은 화장실도 쓸 테고, 안방도 들어가 볼 테고, 거실, 부엌도 쓸 텐데요. 만약 나쁜 사람이라면, 믿는 도끼에 발등 찍히면 훨씬 골치 아프겠죠. 속속들이 더 들여다볼 수 있을 테고요. 그래서 제로트러스트 보안의 필요성이 더 강화되고 있었습니다.

최근에 보면 원격근무나 재택근무하면서 태블릿이나 스마트폰으로 로그인하는 경우가 많은데 그만큼 이제 계정을 어디서 누가 로그인했는지 로그인 기록만 확인할 수 있지 정말 내부 사람인지는 알 수가 없습니다. 기존의 경계 보안 체계에서는요. 그렇기 때문에 더 중요성이 강화됐다고 할 수가 있습니다.

가이드라인을 뜯어보시면 기본 원리라는 게 나옵니다. 그리고 핵심 원칙이라는 걸 또 주목 해주셔야 하는데요. 핵심 원칙은 인증 체계 강화 그 다음에 네트워크 세분화, 소프트웨어 정의 경계 이렇게 세 가지입니다. 어려운 말은 잊어버리셔도 됩니다. 인증 세게 하고 네트워크 세부적으로 쪼개고 다음에 소프트웨어로 경계를 두는 노력을 해라…쉽게 표현하자면 이런 내용이 담겼습니다.

자세한 내용은 과학기술정보통신부 홈페이지에서도 확인하실 수 있고, KISA에서도 확인하실 수 있으니까 보시면 좋을 것 같고요. 대신 이걸 꼭 지키지 않는다고 페널티를 받는 문서는 아니에요. 참고서 성격이기 때문에 그리고 기업마다 시스템이 다 다르기 때문에 너무 맹신할 필요도 없다. 그리고 너무 매달릴 필요는 없다는 말씀을 드립니다.

다만 길잡이가 나왔다는 측면에서는 굉장히 좋은 움직임이 아닌가 싶습니다. 실증이 지금 진행되고 있는데 가이드라인 2.0 버전도 이제 그걸 반영해서 내년 상반기에 나온다고 하니까 계속 발전하는 모습을 보면 좋지 않을까 생각합니다.

그리고 정부 차원의 노력도 필요합니다. 예산. 공공 같은 경우는 정보보호 서비스·제품 예산이 10% 정도 줄었는데 9.9% 정도? 좀 재정적 지원이 됐으면 좋겠다는 말씀을 드려봅니다.

오늘의 결론, 믿음이 보안에 있어서 꼭 좋은 것만은 아니다. 어떻게 보면 불신이 보안에 있어서는 하나의 키가 될 수 있지 않나. 믿었던 도끼가 무서운 칼날이 돼서 돌아올 수도 있는 게 지금 현재 보안 시스템 체계니까요. 계속해서 담당자분들, 정부분들, 기업분들도 마찬가지고요, 연구진분들도 마찬가지로 노력해 주셨으면 좋겠다는 생각을 하면서 인사 드리겠습니다.

IT 달린다. 오늘은 여기까지 달려보겠습니다.

감사합니다.

영상제작_ 바이라인네트워크 <임현묵 PD><최미경 PD>hyunm8912@byline.network
대본_ 바이라인네트워크 <이진호 기자>jhlee26@byline.network