보안

글로벌 칼럼 | 제로 트러스트가 현재로서는 최선

Mike Elgan | Computerworld 2022.04.01
지난 몇 년 동안 제로 트러스트에 관한 수많은 기사가 보도됐다. 그 중 대부분은 보안 전문가를 위한 제로 트러스트 탐구 및 설명식 기사였다.

하지만 필자는 ‘신뢰 방정식’의 등호 반대편에 있는 원격 근무자를 염두에 두고 이 글을 작성했다. 실제로 많은 재택 근무자가 제로 트러스트 전략을 구현하고 개선하는 과정에서 다양한 변화와 불편함을 겪고 있다.
 
ⓒ Getty Images Bank

여기서는 어려운 전문 용어를 사용하지 않고 제로 트러스트를 쉽게 설명했다. 보안 전문가나 IT 담당자라면 재택 근무자와 이 기사를 공유하기 바란다. 재택 근무자는 현재 벌어지고 있는 상황과 그 이유를 이해할 필요가 있다.

우선 제로 트러스트는 제품 및 서비스가 아닌, 하나의 아이디어나 접근법, 전략이다. 직장의 미래를 위해 제로 트러스트는 반드시 필요하다. 오래된 경계 보안 전략은 이제 더 이상 통하지 않기 때문이다.

원래 기업은 경계 보안의 일환으로 방화벽을 구축했다. 방화벽 내부의 모든 사용자와 장치, 애플리케이션은 안전하다고 간주됐다. 기업은 이들이 방화벽에 둘러싸여 있기 때문에 당연히 신뢰할 수 있다고 믿었던 것이다. 원격 직원은 가상 사설망(Virtual Private Network, VPN)을 통해 방화벽을 뚫을 수 있었다. VPN은 데이터를 암호화해 권한 있는 사용자가 방화벽 내부에 진입하도록 하는 소프트웨어이다.

예전에는 경계 보안이 무난하게 작용했지만, 지금은 세상이 많이 변했기 때문에 효과가 없다. 연결은 매우 복잡해졌으며, 사이버 공격자는 더욱 교묘한 기법을 사용하기 시작했다. 오늘날 기업의 모든 네트워크는 구식이 되고 있다. 또한, 많은 기업에 복잡한 클라우드 컴퓨팅 방식과 IoT로 작동하는 수많은 작은 연결 및 센서 기반 장치, 그리고 재택 근무자가 있다.

경계 보안이 의미 없는 가장 큰 이유는 많은 사용자가 홈 오피스 외에도 모든 곳에서 원격으로 작업하기 때문이다.

홈 오피스를 떠올려보자. 경계 보안 방식에서 사용자는 VPN으로 기업 방화벽 내부에 진입해 업무용 노트북을 사용한다. 이런 과정에서 사용자는 가정용 와이파이를 통해 연결을 시도한다. 여기서부터 많은 일이 발생할 수 있다.
 
  1. 이웃집 아이는 자신의 침실에서 사용자의 와이파이에 액세스할 수 있다. 해커는 이런 액세스 권한을 사용해 직원의 노트북을 해킹하고 VPN 소프트웨어를 손상시키며, 결국 기업 전체에 손해를 입힐 수 있다. 사용자가 기업의 경계 안에서 작업하고 있었기 때문이다.
  2. 사용자가 잠시 자리를 비운 사이, 여전히 로그인된 상태에서 아들의 친구가 홈 오피스에 들어가 몰래 포르노를 볼 수도 있다. 이런 과정에서 아들의 친구는 노트북에 온갖 악성 프로그램을 자동 다운로드하는 수상한 사이트를 방문한다. 이후 사용자의 노트북은 동유럽 전역의 서버에 하루 종일 연결되며, 수많은 악의적 해커가 VPN을 통해 기업 네트워크에 마음껏 액세스할 수 있다.
  3. 사용자의 자녀가 와이파이로 연결되는 장난감을 선물 받았다고 가정해보자. 이로써 기업과 연결된 홈 네트워크에 IoT 장치가 하나 추가됐다. 기업이 보안 업데이트를 하지 않은 경우, IoT 장치는 교묘한 해커에 의해 외부에서 사용자 와이파이와 노트북, 기업에 액세스할 수 있는 또다른 출입구가 된다.

이처럼 단 한 명의 재택 근무자가 겪을 수 있는 사태만 3가지이다. 기업별 5,000명의 재택 근무자가 자신의 자택을 비롯해 전 세계 곳곳에서 근무하고 있다고 상상해보자. 이들 모두 셀 수 없을 정도로 다양한 취약점에 노출돼 있는 것이다. 따라서 원격 근무는 경계 보안에 있어 적이나 다름없다.

제로 트러스트 원칙은 기업이 보호받을 수 없는 안전한 경계에 의존하지 않고, 모든 사용자와 장치, 애플리케이션을 개별적으로 인증해야 한다는 것이다.

즉, 노트북이나 사용자가 기업 리소스에 대한 액세스 권한이 있어도 누군가가 사용자 시스템에 썸 드라이브를 꽂으면 드라이브와 안에 든 소프트웨어는 모두 동일한 리소스에 액세스할 수 없다. 따라서 이웃집 아이나 노트북에 다운로드한 악성코드, 가정 와이파이에 표시되는 무작위 IoT 장치도 액세스 권한을 얻지 못한다.

제로 트러스트의 단점은 누구나 예상할 수 있을 것이다. 제로 트러스트는 뭐든지 인증이 필요하기 때문에 더욱 번거롭다. 기업은 강력한 비밀번호를 설정하거나 생체 인증을 도입할 필요가 있다. 간혹 인증된 장치나 애플리케이션의 액세스가 거부되는 상황이 발생하기도 하는데, 이런 경우 지원 부서와 협업해 문제를 해결해야 한다. 또한, IoT와 클라우드 컴퓨팅, 특히 원격 근무에 더 많은 비용이 든다.

이런 순간은 점점 다가오고 있으며, 학습 곡선도 분명 있을 것이다. 필자의 결론은 제로 트러스트를 신뢰해야 한다는 것이다. 현재로서는 그렇게 하는 수밖에 없다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.