지금까지 보안 전문가는 물론, IT 전문가는 모두 기업의 경계, 즉 방화벽을 기준으로 안쪽은 모두 우리편, 바깥쪽은 나쁜녀석으로 판단했다. 실제로 많은 기업이 내부 인력에 대해서는 그 어떤 의심도 없이 접속권한을 허용하곤 했다. 공격자들은 이런 경계 기반 보안의 허점을 제대로 이용했다.
보안 전문가들은 이런 방식은 문제점이 많다고 늘 지적해왔다. 악명높은 데이터 유출 사건, 사고 가운데 상당수가 공격자들이 기업 방화벽 내부 접속 권한을 획득한 후로는 내부 시스템 상에서 아무런 제지도 받지 않고 휘젓고 다닐 수 있었기에 발생했다.
세상에 믿을 사람은 하나도 없다는 "제로 트러스트", 보안의 새로운 사고 방식
최근 코로나19로 인해 많은 기업이 재택근무를 시행할 수밖에 없는 상황에 처했다. 하지만 취약한 VPN 인프라, 부족한 대역폭, 직원이 집으로 가져갈 수 있는 기기의 부족 속에서 IT 부서는 현재 상황이 생산성에 미치는 영향을 줄이고자 노력하고 있다.
공격자는 노출된 서비스나 원격 직원의 개인 기기를 통해 회사의 네트워크에 대한 접속 권한을 획득한 다음, 횡적으로 이동하면서 랜섬웨어로 내부 서버를 감염시키려고 한다. 게다가 IT 팀과 보안 팀도 원격으로 작업하고 있어 현장에서 직접 문제를 해결할 수도 없는 상황이다.
이런 보안 문제를 방지하고 위험을 최소화할 수 있는 방법 중 하나가 제로 트러스트 보안 모델을 도입하는 것이다. 제로 트러스트 모델은 마이크로세그먼트(micro-segmentation), 과립형 경계 시행(granular perimeter enforcement) 방식을 이용해 특정 사용자, 기기에 대해 신뢰 여부를 결정한다. 기업은 다중 인증(Multi-Factor Authentication, MFA), IAM(Identity and Access Management), 오케스트레이션, 애널리틱스, 암호화, 스코어링 및 파일 시스템 인가 등 기존 보안 기술을 통해 제로 트러스트를 구현할 수 있다.
코로나19, 고속의 대규모 제로 트러스트 보안 도입의 기회를 제공한다
구글은 VPN의 대안으로 누구나 가입할 수 있는 내부 제로 트러스트 접속 인프라를 제공한다. 또한 재택근무 직원이 VPN(Virtual Private Networks) 없이 기업 내부 웹 기반 애플리케이션에 접속할 수 있도록 하는 상용 제로 트러스트 원격 접속 서비스인 '비욘드코프 리모트 액세스(BeyondCorp Remote Access)'를 출시했다.
구글, '비욘드코프 리모트 액세스'로 제로 트러스트 시장 진입
VPN 또한 네트워크 경계라는 개념을 근거로 하는 보안 기법이다. 이 모델은 직원이 모바일 기기를 가지고 다양한 내부 또는 외부 장소로부터 네트워크에 접속하는 현재의 비즈니스 환경에 맞지 않다.
결정적으로 VPN은 내부자 공격에 대처하지 못한다. 협력업체, 외부자, 공급망 협력업체를 식별하는데 서툴다. 공격자는 누군가의 VPN 인증 정보를 훔치기만 하면 내부 네트워크에 접속해 자유롭게 돌아다닐 수 있다.
가트너는 2023년까지 60%의 기업이 VPN으로부터 점진적으로 탈피해 제로 트러스트 네트워크 접속으로 이동할 것이라고 예측하고 있다.
VPN은 죽어가고, 제로 트러스트가 살아난다
코로나19 이전에도 많은 기업이 제로 트러스트 보안 모델로의 전환을 고려하고 있었다. 코로나19 이전에 발표된 설문 결과에 따르면, 31%는 제로 트러스트 모델을 고려 중이며 19%는 도입 중이고 8%는 이미 조직에서 구현했다.
이처럼 제로 트러스트는 각종 보안 문제를 정리하는 '해결사'로서 많이 거론되고 있다. 폭발적으로 성장하고 있는 IoT도 그중 하나이다. 보안 서비스 업체 지스케일러(Zscaler)가 2,000곳 이상 기업의 IoT 트랜잭션 약 5억 건을 분석한 결과, IoT 트랜잭션의 대부분이 기본적인 보안도 사용하지 않는 것으로 나타났다.
문제는 약 83%의 IoT 트랜잭션이 평문 채널을 통해 이루어진다는 점이다. SSL을 사용하는 트랜잭션은 17%에 불과하다. 평문을 사용하는 것은 패킷 가로채기나 도청, 중간자 공격 등에 트래픽이 노출되기 때문에 위험하기 그지없다.
“IoT 트랜잭션 83%가 평문 채널” : 지스케일러 보고서
5G 네트워크로 인한 IoT 보안의 7가지 변화와 대응 방법
제로 트러스트의 구현 방식은 각 기업의 보안 구성요소와 정책, 규칙에 따라 다양한 결과물로 나타난다. 각 방식은 제로 트러스트의 모든 원칙을 구현할 수 있지만 보안 정책을 실현하기 위해 하나 또는 두 가지 방식을 병행하는 경우도 있다. 구현 방식에는 향상된 ID 거버넌스, 마이크로세그먼트, 네트워크 인프라 및 SDP(Software Defined Perimeters) 등이 있다.
“보안에서 ‘신뢰’를 제거하라” 제로 트러스트의 진정한 의미와 구현 성공 사례
'제로 트러스트' 네트워크 보안 기업, 생체인식 인증 비율 늘어나
"구글과 아카마이가 가는 길" 제로 트러스트 네트워크 구축에 필요한 것
"네트워크 액세스 권한을 없애라" 아카마이가 구현한 제로 트러스트 모델 방법
하지만 기업 네트워크 전체에 제로 트러스트 보안을 구축하는 것은 쉬운 일이 아니다. 제로 트러스트 개념을 가미한 보안 모델을 완성하고 구현하는 데 구글은 6년, 아카마이 테크놀로지는 9년이 걸렸다. editor@itworld.co.kr