제로 트러스트 창시자에게 직접 듣는 ‘5단계 구축 전략’
에반젤리스트(Evangelist)는 원래 ‘복음을 전하는 사람’을 뜻한다. IT 분야에서는 특정 기술이나 제품의 가치를 대중에게 설파하는 기술 전도사를 에반젤리스트라고 한다. 존 킨더바그는 사이버보안 솔루션 기업 일루미오의 수석 에반젤리스트다. 그가 창시한 제로 트러스트 패러다임이 글로벌 사이버보안의 바이블로 여겨지고 있으니, 전도사란 직함이 어울린다.
존 킨더바그는 포레스터 리서치에서 보안 및 리스크팀 부사장 겸 수석 애널리스트로 재직할 당시 제로 트러스트 개념을 처음으로 정립했다. 미 국가안보통신자문위원회(NSTAC) 제로 트러스트 소위원회 위원을 역임했고, 클라우드 시큐리티 얼라이언스(Cloud Security Alliance) 등 다수 기관의 자문위원을 맡고 있다.
그런 그가 한국을 찾았다. 킨더바그는 12일 강남서 열린 일루미오 기자간담회에서 그간 주창해온 제로 트러스트의 기본 개념을 재차 명료히 설명했다. 제로 트러스트는 말 그대로 어떤 것도 신뢰하지 않고 항상 검증하는 보안 모델이다. 이를 구현하기 위한 핵심 구성 요소로 킨더바그는 ‘방어 표면’, ‘비선형적 규칙’, 그리고 ‘마이크로 세그멘테이션’을 꼽았다. 제로 트러스트의 근간을 이루는 이 개념들은 그의 ‘제로 트러스트 5단계 구축 방법론’에서 아래와 같이 구체화된다.
[단계 1] 방어 표면 정의
제로 트러스트의 기초가 되는 첫 단계는 방어 표면 정의다. 방어 표면은 실질적인 보안 업무가 이뤄지는 영역을 말한다. 이를 정의하라 함은 민감 데이터나 주요 서비스 등 보호할 대상을 명확히 하고, 대응 가능한 범위로 커버리지를 좁히라는 말이다. 시스템 전체를 지키려다 보면 방어할 범위가 넓어져 제로 트러스트를 구현할 수 없게 된다. 구역을 한정해야 보호막을 칠 수 있다. 킨더바그는 “제로 트러스트를 이야기하면서 방어 표면을 언급하지 않는다면 개념을 제대로 이해하지 못한 것”이라고 강조했다.
[단계 2] 트랜잭션 흐름 매핑
두 번째는 정의된 방어 표면을 중심으로 시스템 내 트래픽 흐름과 통신 경로를 시각화하는 절차다. 영화에서 경찰이 범인을 추적하기 위해 칠판에 사진들을 주욱 나열하고 이리저리 연결선을 그어 놓은 모양을 떠올리면 이해가 쉽다. 이때 사진에 해당하는 것이 전용 리소스인 노드(Node), 연결선은 트래픽 흐름 정보인 엣지(Edge)다. 이렇게 그래프를 만들어 두면 악의적인 접근이나 숨겨진 트래픽 등을 한눈에 관찰할 수 있다.

이런 입체적인 그래프 기반 사고방식은 전통적으로 공격자의 관점이었다. 취약한 엔드포인트에서 핵심 자산으로 연결되는 측면 이동(Lateral Movement) 경로를 파악하기에 용이하기 때문이다. 반면 방어 담당자들은 IP 주소, 포트 번호, 허용 및 차단 목록 등을 나열해서 관리하는 선형적 형태의 방법론에 더 익숙해져 있었다. 이런 방식으로는 특정 방화벽의 통과 여부만 체크할 뿐, 자산 간 연관성이나 전체 맥락을 보지 못한다. 킨더바그가 ‘비선형적 규칙’을 강조한 것은 방어자도 공격자처럼 그래프 형태로 사고함으로써 고도화된 공격 경로를 사전에 차단할 수 있어야 한다는 의미다.
[단계 3] 맞춤형 아키텍처 구축
네트워크의 흐름을 시각화한 후에는 파악한 동선에 맞춰 각 방어 표면에 맞춤화된 보안 아키텍처, 즉 방어벽을 설계해야 한다. 여기서 핵심이 되는 기술이 ‘마이크로세그멘테이션(Micro-segmentation)’이다. 킨더바그는 “모든 현대 네트워크는 기본적으로 세그멘테이션 되어야 하며, 세그멘테이션이야말로 제로 트러스트의 근간”이라고 강조했다. 네트워크 외곽에 빙 둘러 방화벽을 치지 말고, 보호해야 할 최소 단위의 자산마다 각각 경계망을 세워야 한다는 뜻이다. 이렇게 촘촘하게 경계망을 쳐 놓으면 공격자가 네트워크에 침투하더라도 다른 자원으로 이동하지 못하고 고립된다.
[단계 4] 정책 도출 및 적용
다음으로 방어벽에 적용할 출입 정책을 정해야 한다. 정책은 철저한 ‘기본 거부(Default Deny)’ 원칙에서 출발한다. 모든 피해는 애초에 접근이 허락되었기 때문에 발생한다는 전제 하에, 명시적으로 허용된 트래픽만 빼고 모든 접근을 차단하는 것이다.
이때 통제 기준이 되는 것이 속성(Properties)이다. 현대 IT 환경에서는 인프라 IP 주소가 수시로 변하기 때문에 여기에 의존하는 기존 방화벽 방식의 통제는 한계가 명확하다. 속성 기반 통제는 고정된 IP 주소 대신 ‘운영(Prod)’, ‘개발(Dev)’, ‘웹(Web)’과 같은 라벨을 기반으로 정책을 작성한다. “개발 속성의 서버는 운영 속성의 데이터베이스에 접근할 수 없다”와 같은 접근 규칙을 만들어 통과 여부를 결정하는 식이다. 이렇게 하면 환경이 아무리 복잡해져도 자원에 속성만 달아주면 알맞은 정책이 즉각 적용되어 관리 부담이 획기적으로 줄어든다. 킨더바그는 “엣지 내에 다양한 속성과 라벨들이 이미 다 정의되어 있기 때문에, 정책을 도출하는 것은 그렇게 힘든 일이 아니다”라고 설명했다.
[단계 5] 지속적 모니터링
제로 트러스트는 한 번 솔루션을 도입하고 끝나는 일회성 프로젝트가 아니다. 시스템에서 나오는 모든 텔레메트리(원격 측정) 정보를 활용해 환경을 24시간 감시하고 유지·보수해야 한다. 매핑된 그래프 상에서 명시적으로 허용된 흐름과 차단된 흐름 외에, 아직 어떤 정책도 적용되지 않은 이상한 트래픽 흐름이 발견되면 즉각 보안 정책을 수정하고 보완해야 한다. 킨더바그는 모니터링 결과를 지속적으로 정책에 재반영함으로써, 공격을 받을수록 강해지는 ‘반취약성(Anti-fragile)’ 시스템을 완성할 수 있다고 역설했다.
5단계 지침으로 사이버보안 최전선을 사수하라
킨더바그의 제로 트러스트 5단계 구축 방법론은 이렇게 축약할 수 있다. ▲보호할 자산을 명확히 하고 ▲자산 간의 트래픽 흐름을 살피며 ▲동선에 맞춰 촘촘한 방어벽을 세우고 ▲철저한 접근 통제 정책을 적용한 뒤 ▲시스템을 끊임없이 감시하고 보완해 나가라. 그리고 이 모든 과정에서 시스템에 대한 신뢰 수준을 계속 0으로 유지할 때 비로소 제로 트러스트가 완성된다. 기본적으로 침해가 발생할 수밖에 없음을 전제하고 대비하는 태도를 가져야 한다.
이날 킨더바그는 한국전쟁에서 최전방 주요 전투에 참전했던 아버지의 이야기로 발표를 마무리하며 여운을 남겼다. DMZ를 사수했던 그의 아버지처럼, 킨더바그는 제로 트러스트를 전파하며 디지털 최전방을 지키는 전도사로 활약 중이다.
글. 바이라인네트워크
<이슬찬 기자>seulbae@byline.network


