아무도 믿지 마라, 제로 트러스트(Zero Trust) 모델

'제로 트러스트'란 표현 그대로 ‘아무도 믿지 말라’는 의미

사람 혹은 기기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무도 신뢰하지 않는 보안 전략입니다. 이들이 접근하기 위해서는 먼저 누구인지, 어떤 접근권한을 가지고 있는지, 안전한 인가장비인지 등 유효성을 입증한 뒤 권한을 받아야 합니다.

 

 

이제부터 제로 트러스트(Zero Trust)에 대해 알아보도록 하겠습니다.

 

자체 전산실이 아닌 클라우드 시스템 활용 증가

기존 대부분의 조직에서는 온프레미스(On-premise) 방식 즉, 소프트웨어 등의 솔루션을 자체적으로 보유한 전산실 서버에 직접 설치·운영하는 방식으로 운영해 왔으나, 최근에는 점차 Cloud방식과 병행하여 사용하게 되면서 보안 최약점이 증가하고 있습니다.

 

다양한 IT 단말기를 활용한 비대면 업무의 증가

코로나19 확산 등으로 재택근무, 화상회의 등 비대면 업무가 활성화되면서 회사 이외의 장소에서 회사에서 지급한 PC 이외에 개인용 PC, 테블릿, 스마트폰 등을 사용하여 기업 네트워크에 접속하는 경우가 급속히 늘어나고 있으며, 상용 화상회의 솔루션을 통한 정보 유출 가능성도 증가하고 있습니다.

 

상용 화상회의 서비스 ‘줌(Zoom)’의 경우, 일평균 사용자가 1,000만명에서 코로나19 발생 이후 2억명으로 증가하였으며, 해킹을 통한 ‘Zoom Bombing’ 같은 사고(화면 공유 기능으로 회의를 중단시키거나, 인종·성차별적 발언, 폭력·외설적 이미지 공유 등)에 대응하기 위해 보안 스타트업을 인수하여 ‘Zoom 5.0’ 출시한바 있습니다.

 

* 자료 : Statista('20.4), LINE WORKS('20.3)

 

정보보안 및 데이터 유출사고 지속 증가

세계적으로 보안사고가 지속적으로 증가하고 있으며, ‘21년까지 사이버 범죄로 인한 전 세계적인 피해액은 연간 6조 달러에 달할 것으로 예상되며, 데이터 유출사고로 인한 피해액은 2019년 기준 전 세계 평균 392만 달러에 달하는 것으로 조사되었습니다.  피해액은 미국, 중동 지역이 가장 크게 나타나고 있으며, 우리나라 피해액 규모는 낮은편이나, 지속적인 ICT 기술 활용 증가에 따라 향후 발생할 수 있는 보안사고 대비가 필요할 것으로 보입니다.

 

* 자료 : Ponemon Institute('19)

 

특히, 우리나라의 데이터 유출사고 중 많은 부분이 내부직원, 퇴직한 직원, 외주 직원 및 업체, 용역업체 직원 등 상시적·한시적 권한으로 정보 접근이 허용되어 있는 내부 사용자에 의해 발생하고 있는 특징이 있습니다. 내부 사용자에 의한 사고는 피해 규모가 매우 크며, 피해 사실을 인지하는 데 많은 기간 소요되기 때문에 이에 대한 대비책이 시급한 상황입니다.

 

 

제로 트러스트(Zero Trust) 모델이란?

2010년 Forrester Research의 수석 애널리스트인 존 킨더박(John Kindeervag)이 처음 제아한 모델로 모든 접근이 잠재적 보안 위협이라는 전제로 접근하는 방식입니다.
즉, 네트워크 자산에 연결하려는 모든 사람과 장치를 신뢰할 수 없는 것으로 취급하고, 외부뿐만 아니라 모든 트래픽에 대한 모니터링을 실시합니다. 내부 네트워크 사용자 및 트래픽은 암묵적으로 신뢰하고, 외부 사용자만 신뢰하지 않는 관행을 파괴한 개념으로 조직 내외부에 관계없이 적절한 인증 절차 없이는 누구도 신뢰하지 않고, 네트워크의 위치보다 장치의 사용과 사용자 인증 등을 강조하고 있습니다.

 

차단보다는 철저한 신원 인증에 초점

이러한 인증 과정에는 기본적인 ID와 비밀번호 같은 지식기반 인증뿐만 아니라 OTP나 보안 키 등 소유기반 인증, 지문이나 홍채 등 속성기반 인증을 복합적으로 사용해 신원에 대한 철저한 확인이 가능합니다. 가령 시스코는 멀티팩터 인증인 DUO를 통해 접속자의 신원과 기기 상태를 파악하는 솔루션을 제공합니다. 사용자의 스마트폰이나 웨어러블 기기 등을 인증에 이용할 수 있으며, 이 과정에서 사용자 수준에 맞는 정책 적용 및 기기 자체의 보안 점검 등이 이뤄집니다.

 

기업·공공분야에 '제로 트러스트 모델' 적극 도입 필요

4차 산업혁명시대가 도래하면서 디지털화는 예상되어 왔으나, 코로나19 발생으로 인해 예상보다 급속도로 진행 중에 있으나, 정보보안 발전 속도는 많이 뒤처지고 있는 실정입니다.
최근 정부는 디지털 뉴딜, 데이터 댐 등 디지털 전환 관련 정책을 강하게 추진하고 있는 상황에서, 네트워크 중심이 아닌 데이터 중심의 새로운 보안 시스템 설계를 위해 제로 트로스트 모델을 적극 도입·적용이 필요한 시점이라 생각됩니다.