 |
| (이미지제공=한국MS) |
코로나19 팬데믹으로 인한 사회적 거리두기, 5세대 이동통신(5G) 시대 도래, 효율적인 클라우드로의 전환 등으로 인해 우리 사회의 디지털화 및 초연결화 속도는 더욱 빨라졌다. 스마트폰, 넷북, 사물인터넷(IoT) 기기를 비롯한 커넥티드 디바이스가 급증한 것도 영향을 미쳤다.
이로 인해 사이버 보안의 중요성은 날이 갈수록 커지고 있다. 보안이 뚫리면 해당 기업을 넘어 사회 전반에 큰 영향을 끼치는 경우가 연이어 발생하고 있다. 대표적인 예가 지난 2021년 발생한 미국 콜로니얼 파이프라인 랜섬웨어 공격이다. 콜로니얼 파이프라인은 미국 동부 해안 지역에서 소비되는 연료 45%를 보급하는 주요 기반 시설이지만, 랜섬웨어 공격 한 번에 5500마일에 달하는 파이프라인의 시스템이 마비되면서 미국 전역의 연료 공급에 차질을 빚었다.
날이 갈수록 사이버 공격은 지능화·조직화되면서 방어하기 어려워지고 있다. 해커들은 악성코드나 스팸·피싱 메일, 랜섬웨어 등을 활용해 개인정보를 탈취하거나 악성 소프트웨어를 설치하는 등 다양한 방식으로 공격을 시도한다.
공격 시도 역시 급증하는 추세다. 마이크로소프트(MS)의 사이버 위협 인텔리전스 요약 보고서 ‘사이버 시그널 4번째 에디션’에 따르면 지난해 4월부터 올해 4월까지 3500만건의 비즈니스 이메일 침해 공격이 탐지됐다. 이는 하루 평균 15만 6000건의 공격 시도가 발생했다는 의미다. 비즈니스 이메일을 노린 ‘서비스형 사이버 범죄’의 경우 2019년 대비 38% 증가했다. 사이버 공격으로 인한 비용도 크게 증가하고 있다. 글로벌 사이버 보안 기업 포티넷이 조사한 결과 지난 12개월간 보안 침해로 인해 약 100만 달러의 비용이 발생했다고 응답한 기업이 절반 이상(54%)에 달했다.
 |
| (이미지제공=과학기술정보통신부) |
아무리 화이트해커와 기업의 보안 담당자가 정교한 보안 방책을 마련하더라도 이처럼 다양하면서 수많은 공격을 모두 막기란 쉽지 않다. 이러한 상황 속에서 최근 주목을 받는 보안 모델이 바로 ‘제로 트러스트’다.
제로 트러스트는 신뢰성이 보장되지 않은 네트워크 환경을 가정해 서버, 데이터베이스 등 다양한 컴퓨팅 자원에 대한 지속적인 접근 요구에 최소한의 권한을 부여하고, 동적 인증을 통해 접근 허가를 허용하는 방식으로 보안성을 강화하는 개념이다.
기존 보안 모델은 한 번 인증된 기기나 사용자에게는 암묵적으로 신뢰도를 부여해 주요 시스템 접속이 자유로웠다. 이로 인해 내부자의 계정이 탈취되면 보안 체계가 사실상 마비되는 상황이 발생했다. 해킹 집단 랩서스의 국내 기업 해킹 사건 역시 기업 내부자 권한 탈취에 이은 횡적 공격이었다.
하지만, 제로 트러스트는 기본적으로 네트워크에 연결된 모든 기기와 계정 그 무엇도 신뢰하지 않는 것이 골자다. 과거에 인증을 받았어도 다시 한번 강력한 인증을 통과해야만 접속이 가능하다.
 |
| 제로 트러스트 개념도. (이미지제공=포티넷 코리아) |
제로 트러스트의 개념 자체는 지난 2010년부터 논의됐지만 비용과 효율적인 측면에서 외면을 받았다. 하지만, 최근 네트워크를 기반으로 한 활동이 갈수록 많아지고 이를 노린 사이버 위협도 늘어나면서 글로벌 기업 및 리더들이 제로 트러스트로 시선을 돌린 것이다.
스펜서 첸 포티넷 동북아 총괄(사장)은 “에지에서 클라우드에 이르기까지 전체 인프라를 아우르면서 네트워크에 접속하려는 모든 사용자와 디바이스를 검증하는 제로 트러스트가 필수”라며 “사이버 보안의 복잡성을 정면으로 해결함으로써 조직은 디지털 주도권(이니셔티브)을 가속화하고 오늘날 급변하는 비즈니스 환경에서 경쟁하는데 필요한 민첩성과 유연성을 확보할 수 있다”고 말했다.
주요 선진국들은 제로 트러스트를 기반으로 사이버 보안 강화에 나선 상태다. 바이든 미국 행정부는 2021년 국가 사이버 보안 개선에 대한 행정 명령을 발표하면서 제로 트러스트 아키텍처를 연방 정부에서 구현하도록 요구했다. 일본과 중국, 영국 등도 제로 트러스트 보안 모델 도입을 추진하고 있다.
아시아 태평양(APAC) 지역에서도 제로 트러스트를 도입하는 기업이 증가하고 있다. 글로벌 기업 옥타가 발표한 ‘2022년 아시아 태평양 지역 제로 트러스트 보안 현황’ 보고서에 따르면, 지난해 제로 트러스트 보안 정책을 도입한 기업의 비중이 2021년 대비 18%p 증가해 약 50%에 도달했다. 제로 트러스트 보안 정책을 도입하지 않은 기업 중 38%는 향후 6개월에서 1년 내 도입할 계획이라고 답했다.
글로벌 보안 기업들은 제로 트러스트로 악성코드의 위협을 완전히 제거하면서 기업의 생산성을 보호하기 위한 보안 체계 개발에 전력을 다하고 있다. 글로벌 클라우드 보안 기업 멘로시큐리티는 웹 격리 솔루션 ‘멘로시큐리티 RBI’에 제로 트러스트 정책을 적용했다.
해커는 전통적인 보안 방어책을 우회하고 최신 브라우저의 표준 기능을 이용해 악성코드를 배포하는 HEAT 공격을 구사한다. 멘로시큐리티 RBI는 브라우저 차원에서 격리를 통해 모든 웹 트래픽이 클라우드 기반 원격 브라우저를 먼저 통과하도록 유도하고, 안전한 콘텐츠만 골라 최종 사용자에게 전달한다.
포티넷은 하이브리드 업무 환경에서 안전한 접속을 제공하는 ‘포티넷 유니버설 제로 트러스트 네트워크 접근(ZTNA)’을 지난해 발표했다. 포티넷 유니버설 ZTNA를 활용하면 △모든 업무 위치에서 일관된 사용자 경험 △VPN(가상사설망)에서 ZTNA로의 용이한 전환 △SD-WAN과 통합된 ZTNA △포티OS 기반 강력한 네트워크·보안 지원 등을 누릴 수 있다.
우리 정부도 국내 정보보호 환경에 제로 트러스트의 도입이 필요하다고 판단한 상태다. 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 지난해 10월 ‘제로 트러스트, 공급망보안 포럼’을 발족하고 제로 트러스트 분과 내 산·학·연 전문가와 함께 정책·제도, 기술·표준과 산업 등의 관점에서 제로 트러스트 기본 모델을 마련하고 있다.
지난 4월에는 지능적·조직적인 사이버 위협에 대응하고, 관련 산업 발전 및 국내 기업의 해외 시장진출을 지원하기 위해 ‘제로 트러스트 보안 모델 실증 사업’을 본격적으로 추진하기 시작했다. 이번 사업의 실증 현장 검증을 통해 제로 트러스트 보안 모델 도입 효과성을 분석하고 개선·보안사항을 도출해 향후 본격적인 제로 트러스트 도입을 지원하기 위한 기초 자료로 활용할 계획이다.
정창림 과기정통부 정보보호네트워크정책관은 “디지털 대전환이 가속화되면서 국민의 일상생활 및 다양한 산업분야에서 정보보호의 필요성이 높아지고 있다”며 “과기정통부는 향후 제로트러스트와 같은 새로운 보안체계 도입을 적극적으로 지원해 국민이 안심할 수 있는 디지털 환경 조성을 지원하겠다”고 밝혔다.
박준영 기자 pjy60@viva100.com
기자의 다른기사보기 >
