[전문가 칼럼] 제로 트러스트 보안 모델? 불신으로 신뢰를 만든다! 

│아무도 믿지 마라(Trust No One)?!

‘아무도 믿지 마라(Trust No One)’는 국내에도 방영된 미국 TV 시리즈물인 ‘X-파일’의 9번째 에피소드 제목이다. 정보기관 요원이 미스터리한 사건과 초자연적인 현상의 음모를 파헤치는 과정에서 신뢰할 수 없는 주변 인물들과의 상황을 해결해나가는 내용으로 국내외에서 큰 인기를 끈 작품이다.

최근 몇 년간 정보보안 분야에서 가장 유행하는 단어가 ‘아무도 믿지 마라(Trust No One)’라는 명제 기반의 ‘제로 트러스트(Zero Trust)’ 보안 모델이다. 제로 트러스트 보안 모델은 정보시스템의 내부와 외부를 나누지 않고 동일하게 위험하고 신뢰할 수 없다고 전제하고, 더 나아가 모든 것, 즉 특정 자원에 대한 시간, 장소, 단말(기기) 등의 주체 속성 일체를 신뢰하지 않은 상태에서 보안 수준을 충족한 사용자에게 최소한의 권한만 할당하여 자원에 접근 권한을 부여하고자 지속적으로 신원을 확인하고 이상 유무를 모니터링하는 보안방법론이라고 할 수 있다. 

│제로 트러스트 시작과 현재

제로 트러스트 용어가 대중화(?)되기 시작한 것은 2010년이다. 당시 사이버보안 전문가인 ‘포레스터 리서치’의 수석연구원인 존 킨더버그가 제시한 개념이다. 1994년 스티븐 폴 마시(Stephen Paul Marsh)라는 연구자의 박사 논문에 ‘제로 트러스트(Zero Trust)’라는 용어가 제일 처음 등장했고, 유사한 개념이 2000년대 초반 미국 국방부에서 네트워크 전략을 개발할 때 나왔지만, 존 킨더버그가 접근 제어의 강화 필요성을 강조하고 전통적인 경계 보안에서 횡적인 과립보안을 강화하기 위한 방법을 제시하면서 발표한 초기 개념이 시초라고 할 수 있다.  

경계 기반의 전통적 보안 모델과 제로 트러스트 보안 모델. 

*출처: 미국표준기술연구소(NIST), Zero Trust Cybersecurity: ‘Never Trust, Always Verify’

그 이후 2014년 구글이 제로 트러스트 보안 개념을 도입하여 구성한 ‘비욘드코프(BeyondCorp)’라는 보안 업무 환경 모델을 공개하고, 2017년 가트너가 제로 트러스트 개념의 보안 예방 전략을 발표하는 등 다양한 정보보안 기업과 기관이 개념을 상세화하고 구조를 확장했다. 이런 개념이 최초로 정립된 것은 2020년 미국표준기술연구소(NIST)가 발표한 ‘제로 트러스트 아키텍처 기술서(SP 800-207)’이다. 이 기술서에서는 단순히 내부, 외부 혹은 동일 네트워크에 대한 횡적 이동 경계를 넘어서 과립형(주체별) 보안이라는 개념을 구체화하고 이를 위한 7가지 기본 원리를 통해 제로 트러스트 보안 모델의 명확한 관점과 목표를 제시했다. 

2020년 전후 미국을 대상으로 대규모 해킹공격이 잇달아 발생하면서 새로운 보안 모델의 필요성이 높아졌다. 인사관리처, 핵안보위원회, 재무부, 상무부 등에 대한 해킹공격으로 개인정보 유출, 자료유출 등의 침해사고가 발생하고, 산업기반시설 대상의 랜섬웨어 공격으로 운영 중단사고가 일어나며 피해가 지속적으로 증가했다. 이런 대규모 피해 발생의 원인을 분석한 결과 대부분의 경우 ‘기술적 취약성’으로 인해 높은 보안기술대책이 필요하기보다는 전통적인 보안 정책을 유지하고 내부자를 무비판적으로 신뢰하는 것이 문제라고 인식하게 됐다.

따라서 미 행정부는 2021년 5월 ‘국가 사이버보안 개선에 관한 행정명령(Executive Order on Improving the Nation’s Cybersecurity 10428)’을 발의하였다. 이는 제로 트러스트 보안 정책을 채택하여 사이버보안을 현대화하고 이것들을 수립하고 이행하도록 하는 강력한 행정명령이었다. 이에 따라 미국 예산관리국, 인프라보안국 등 관련 기관은 신속히 행정명령을 실행하기 위한 각종 조치와 방안 등을 제시하고 현재 이행 중이다.

우리나라의 경우 과학기술정보통신부에서는 팬데믹에 따른 초연결 사회가 급속하게 도래하면서 사이버 보안의 글로벌 트렌드 역시 ‘초안전 환경’을 구축하기 위한 제로 트러스트로 급속하게 전환되고 있다고 밝히면서 국가 차원의 ‘제로 트러스트’ 정책 도입을 목표로 본격적인 연구에 착수했다. 올해 상반기에 가이드라인을 제시할 것으로 예상된다.

│제로 트러스트는 신기술이 아니라 ‘아이디어 모음’

현재 국내외 다양한 기관의 발표와 정책 방향에 의해 제로 트러스트에 관한 관심이 매우 높아지고 있다. 하지만 제로 트러스트 보안 모델을 달성하기 위해서는 신원인증 강화, 권한 강화, 네트워크 세분화, 데이터 분류, 동적 정책 적용, 모니터링 강화 등 많은 부분을 검토하고 개선해야 한다. 그러나 제로 트러스트가 신기술을 표방하는 단어로 확대되어 전용 보안솔루션 출시가 범람하고 있다. 하지만 제로 트러스트는 특정 기술이나 솔루션으로 해결할 수 있는 보안 모델이 아니며, 솔루션은 기존 기술과 적용 범위를 확대하고 통합한 것이 대부분이라 단순한 도입으로 제로 트러스트 목표를 달성할 수 없다.

NIST 800-207에서도 제로 트러스트는 보안 액세스 결정을 시행할 때 불확실성을 최소화하도록 설계된 개념 및 ‘아이디어의 모음’이라고 강조한다. 또한, 미국 국가안보통신자문위원회(NSTAC)의 제로 트러스트 구현 계획에 따르면 ‘제로 트러스트는 전사적인 보안 정책, 구성원의 인식 개선, 요소 기술 강화 등을 통한 장기적인 변화이자 혁신적인 노력’이라고 표현하고 있으며, 국가안전보장국(NSA)에서는 제로 트러스트 도입을 ‘기어서 가다가 걷고, 걷다가 뛰는 접근(crawl, walk, run)’이라고 강조한다. 

제로 트러스트는 새로운 기술이 아니다. 보안연구자인 브루스 슈나이어(Bruce Schneier)가 언급한 “보안은 제품이 아니라 과정(Security is a process, not a product)”이라는 말과 같이 단순히 보안솔루션이나 보안서비스를 도입하는 전통적인 보안전략을 벗어나 기업마다 새로운 아이디어를 찾아내고 점진적으로 적용하여 보안을 강화하는 과정이자 긴 여정이다.  

│미래 정보보안 전문가에게 필요한 것은? 

향후에 대부분의 기업들이 대내외 정보기술의 발달, 기업 규모, 예산 등을 고려하여 각 기업에 적합한 제로 트러스트 모델을 적용할 것으로 예상됨에 따라, 미래에 정보보안 전문가는 최적의 보안 모델을 수립하고 적용할 수 있는 능력이 필수적이다. 이를 위해선 보호의 대상이 되는 기업을 구성하는 모든 주체의 속성들을 이해하고 보안 모델을 적용할 아이디어를 구상해야 한다. 따라서 미래에 정보보안 전문가를 희망한다면 단순히 정보보안 기술을 적용하는 데 그치는 것이 아니라 새로운 방법으로 문제를 해결하거나 보호 대상에 대해 응용력과 창의력을 발휘할 필요가 있다. 무엇보다 제로 트러스트와 같은 보안모델을 적용하기 위한 장기적인 관점의 인내력이 필요하다.

글_이후기 건양대 사이버보안학과 교수