[하이테크리포트] 최고의 보안은 불신에서 시작, 제로트러스트 보안
2023-07-18 08:30
기업 업무 환경 변하면서 기존 '경계보안' 방식 약점 드러나
모든 접근 의심하고 지속해서 검증하는 '제로트러스트' 보안
원격·클라우드 등 외부 근무 증가에 따라 보안 패러다임 전환
모든 접근 의심하고 지속해서 검증하는 '제로트러스트' 보안
원격·클라우드 등 외부 근무 증가에 따라 보안 패러다임 전환
코로나19가 가져온 디지털 전환은 업무의 공간을 바꿨다. 기존 업무 체계가 클라우드에 올라가면서 직원이 어디에 있든 원격에서 접속해 일할 수 있다. 부서원이 모이던 대면 회의도 화상으로 대체하고, 공동 작업도 협업 도구를 이용해 처리한다.
이러한 환경 변화는 새로운 보안 문제를 가져왔다. 기존에 기업이 도입해온 '경계보안'은 기업 외부에 튼튼한 울타리(방화벽 등)를 만들고 외부인이 침입할 수 없도록 막는 방식이다. 모든 업무가 내부에서 처리되기 때문이다. 하지만 업무에 쓰이는 기기와 이를 사용하는 직원이 기업 외부에서 활동하게 되면서 기존 울타리만으로는 보호가 어려워졌다. 외부에 있는 기기와 직원이 울타리를 넘어 직접 연결되는데, 이를 해커가 악용할 수 있기 때문이다. 이에 따라 제로트러스트(Zero trust) 보안의 중요성도 커지고 있다.
17일 보안 업계에 따르면 제로트러스트 보안은 사용자 인증에 초점을 맞춘 보안 방법론이다. 시스템에 접속한 사용자를 지속적으로 확인하고, 정해진 만큼의 권한만 줘 활동 범위를 제한한다. 표현 그대로 '아무도 믿지 말라'는 의미다. 누군가가 기업 시스템에 접근을 요청할 때 이들이 누구인지, 인가받은 장비인지, 권한을 벗어난 활동을 하지는 않는지 지속해서 감시·차단한다.
이는 지난 2010년 포레스터 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 제안한 보안 모델이다. 특정한 솔루션이나 기술이 아닌, 전반적인 보안 구현 방법이다. 특히 원격 근무를 통한 외부 접속이 늘어나는 상황에서, 외부 접근자를 무조건 차단하는 기존 방식보다 적절하다는 평가를 받는다. 10년 이상 된 보안 모델이지만, 많은 기업이 주목하는 이유다.
◆대기업만 노린 해킹 조직 랩서스...신뢰했던 '직원 계정'이 문제
지난해 발생한 대형 사이버 공격 중에는 랩서스(Lapsus$) 조직이 일으킨 정보 탈취가 대표 사례로 꼽힌다. 이들 조직은 삼성전자, 엔비디아, 마이크로소프트 등 글로벌 대기업을 대상으로 해킹을 시도해 소스코드, 하드웨어 회로 등 기밀 데이터를 훔쳤다.
보안 업계에 따르면 이들은 공격을 위해 직원의 계정 정보 탈취에 공을 들였다. 글로벌 대기업의 경계보안을 쉽게 뚫을 수 없기에, 가장 약한 지점인 '사람'을 노린 셈이다. 랩서스의 공격 기법(TTPs, Tactics, Techniques and Procedures)을 분석한 마이크로소프트는 해당 조직이 기업 임직원의 계정 탈취에 공을 들였다고 밝혔다. 휴대전화 문자 메시지 등으로 피싱(문자사기)을 시도하고, 이메일로 비밀번호 탈취를 위한 악성코드를 유포했다. 이 과정에서 장기간 연락하며 친밀감을 쌓는 사회공학적 기법도 이용했다.
뿐만 아니라 다크웹 등을 통해 공격 대상 조직의 계정을 확보하기도 했다. 국내 보안 인텔리전스 기업 S2W에 따르면 "새로운 보안 약점을 발굴해 기업 시스템에 침입하는 것은 수년이 걸릴 수 있다. 하지만 다크웹 해킹 포럼에서 유출 계정을 구매하는 것은 단돈 10달러면 충분하다"고 설명했다.
피해를 입은 기업은 2단계 인증 등 MFA(Multi Factor Authentication)를 도입해 시스템 접근 보안성을 높였지만, 이미 계정이 노출된 상황에선 무용지물이었다. 국내 보안 기업 SK쉴더스는 이들 기업 중 일부가 이메일로 MFA 인증 코드를 받는 방식을 택했다고 설명했다. 직원의 이메일 정보를 알고 있는 해커는 여기서 보안 코드를 확보해 MFA를 통과했다.
원격 근무 보안을 위해 도입한 가상 사설망(VPN) 역시 계정 탈취 이후에는 무력하다. VPN은 회사 업무 시스템과 원격 근무자의 PC 사이에 일종의 전용 터널을 만드는 기술이다. 여기에선 아이디와 비밀번호를 이용해 터널 이용 권한을 얻는 방식이 주로 쓰인다. 하지만 공격자가 VPN 계정 정보를 입수한 상황에선 아무런 저지 없이 접근할 수 있는 '하이패스'가 된다.
◆아무도 신뢰하지 않는 보안... 탈취된 계정 악용에도 대응력↑
보안 전문가들은 기업 업무 환경이 바뀌는 상황에서 새로운 보안 문제를 해결하기 위해 제로트러스트가 필요하다고 강조한다. 제로트러스트 보안에선 '신뢰할 수 있는 네트워크'라는 개념 자체를 배제한다. 앞서 언급한 사례처럼 공격자가 계정 탈취 등을 통해 이미 내부에 침투했을 가능성도 있기 때문이다.
제로트러스트 보안을 통해 예방할 수 있는 공격 시나리오는 △사용자 계정 도용 △내부자의 위협 △소프트웨어 공급망 침투 등이다.
우선 사용자 계정 도용 시나리오에서 제로트러스트 보안은 사용자와 기기에 대한 강력한 인증을 요구한다. 정상적으로 로그인한 사용자라도 수상한 활동을 한다면 강화된 다중 인증을 요구할 수 있다. 예를 들어 접속 지역이 바뀌거나, 평소와는 다른 기기를 이용하는 등의 행동이 대표적이다. 또한 부여된 권한 외에 다른 시스템과 데이터에 접근하려 한다면 이를 비정상적인 행동으로 보고 차단할 수 있다.
내부자 위협 시나리오 역시 같은 개념으로 차단 가능하다. 정상적인 방법으로 로그인한 사용자라도 권한 외의 행동을 하거나 정해진 활동 범위를 벗어나는 행동을 분석해 차단한다. 특히 제로트러스트 보안 모델에서 각 시스템은 업무에 필요한 최소 단위로 세분화돼 있기 때문에 비정상적인 행동 자체를 막을 수도 있다.
소프트웨어 공급망 침투 시나리오에서도 마찬가지다. 소프트웨어 공급망이란 소프트웨어 개발, 배포, 업데이트 등으로 이어지는 체계다. 이 과정에 해커가 침투할 경우 기업이 사용하는 소프트웨어 자체가 악성코드가 되는 셈이다. 다만 고도화한 제로트러스트 보안 모델에선 이러한 소프트웨어 역시 기본적으로 신뢰하지 않기 때문에 비정상적인 활동을 감지할 수 있다.
◆미국 바이든 정부, 2021년부터 행정명령으로 제로트러스트 도입
지난 2021년 5월, 미국 바이든 행정부는 '국가 사이버 보안 개선을 위한 행정 명령'을 내렸다. 대규모 사이버 공격 사례에 대응하기 위해 국가적 사이버 보안 기능을 강화할 필요성이 있기 때문이다. 여기서 주목할 만한 내용은 사이버 보안을 현대화하기 위해서 제로트러스트 보안 도입을 주문했다는 점이다.
같은 해 6월 미국 사이버 보안·인프라 보안국(CISA)은 각 정부 기관의 제로트러스트 보안 구현을 지원하기 위한 문서 '제로트러스트 성숙도 모델(Zero Trust Maturity Model)'을 발간했다. 여기서 구현에 필수적인 요소와 기능을 제시했다. 지난해 1월에 백악관 예산관리실(OMB)은 각 기관장에게 회계연도 2024년 말까지에 대한 제로트러스트 보안 목표, 도입 계획, 예산 추정치 등을 수립 제출할 것을 명령하는 등 보안 강화를 가속화하고 있다.
하지만 미국을 제외하면, 많은 국가들이 공공·민간 분야에서 제로트러스트 도입의 필요성을 인지하면서도 도입 방안을 구체화하지 못하고 있다. 개념 자체가 추상적이며, 구체적인 도입 사례 역시 흔하지 않기 때문이다.
이에 우리 정부도 지난해 10월 제로트러스트 포럼을 발족하고, 이를 국내 정보보호 환경에 도입할 수 있도록 지원하기로 했다.
◆제로트러스트 1.0 제시한 우리 정부... 실증·검증으로 고도화
과학기술정보통신부는 이달 10일 제로트러스트 가이드라인 1.0을 발표하고 기업과 기관이 이를 쉽게 도입·구현할 수 있도록 했다. 그간의 제로트러스트 포럼 활동을 통한 결과물이다. 가이드라인에서 제시하는 제로트러스트 구현 핵심원칙은 △인증체계 강화 △네트워크 세분화(마이크로 세그멘테이션) △소프트웨어 정의 경계 등이다.
인증 체계를 강화하기 위해 아이디와 비밀번호 외에도 지문 등 생체정보나 1회용 비밀번호 생성기 등 다양한 정보를 활용해 사용자를 지속 검증해야 한다. 또한 네트워크 세분화를 위해 서버나 시스템을 업무에 필요한 최소한의 기능으로 구성하고, 여기에 접근한 사용자가 다른 시스템으로 이동하지 못하도록 해야 한다. 또한 기존의 경계보안을 네트워크 중심이 아닌 소프트웨어 중심으로 재편해 필요에 따라 경계를 넓히거나 줄일 수 있어야 한다.
이와 함께 제로트러스트 보안의 기본 철학을 구현하기 위해서 기업과 기관이 가진 자산(데이터, 네트워크 등)을 식별하고 목적에 맞는 보안 수준을 설계해야 한다. 가이드라인에선 신원, 기기, 네트워크, 시스템, 응용프로그램・네트워크, 데이터 등 6개 요소에 대해 보안 수준에 대해 점검하고 보안 수준 적용을 위한 지표도 담았다.
정부는 이번 가이드라인 제시에 그치지 않고, 통신·금융·공공 등 다양한 분야에 이를 도입하며 실증한다. 또한 화이트 해커를 중심으로 공격 시나리오를 발굴하고, 이를 도입해 제로트러스트 도입 전후 효과도 검증할 계획이다.
과기정통부 박윤규 제2차관은 "과기정통부는 정부·공공 기관, 기업에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속 보완·고도화할 계획"이라며 "또 실증 사업을 통해 다양한 분야로 제로트러스트 보안 모델을 확산할 수 있도록 지원하겠다"고 말했다.
이러한 환경 변화는 새로운 보안 문제를 가져왔다. 기존에 기업이 도입해온 '경계보안'은 기업 외부에 튼튼한 울타리(방화벽 등)를 만들고 외부인이 침입할 수 없도록 막는 방식이다. 모든 업무가 내부에서 처리되기 때문이다. 하지만 업무에 쓰이는 기기와 이를 사용하는 직원이 기업 외부에서 활동하게 되면서 기존 울타리만으로는 보호가 어려워졌다. 외부에 있는 기기와 직원이 울타리를 넘어 직접 연결되는데, 이를 해커가 악용할 수 있기 때문이다. 이에 따라 제로트러스트(Zero trust) 보안의 중요성도 커지고 있다.
17일 보안 업계에 따르면 제로트러스트 보안은 사용자 인증에 초점을 맞춘 보안 방법론이다. 시스템에 접속한 사용자를 지속적으로 확인하고, 정해진 만큼의 권한만 줘 활동 범위를 제한한다. 표현 그대로 '아무도 믿지 말라'는 의미다. 누군가가 기업 시스템에 접근을 요청할 때 이들이 누구인지, 인가받은 장비인지, 권한을 벗어난 활동을 하지는 않는지 지속해서 감시·차단한다.
이는 지난 2010년 포레스터 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 제안한 보안 모델이다. 특정한 솔루션이나 기술이 아닌, 전반적인 보안 구현 방법이다. 특히 원격 근무를 통한 외부 접속이 늘어나는 상황에서, 외부 접근자를 무조건 차단하는 기존 방식보다 적절하다는 평가를 받는다. 10년 이상 된 보안 모델이지만, 많은 기업이 주목하는 이유다.
◆대기업만 노린 해킹 조직 랩서스...신뢰했던 '직원 계정'이 문제
지난해 발생한 대형 사이버 공격 중에는 랩서스(Lapsus$) 조직이 일으킨 정보 탈취가 대표 사례로 꼽힌다. 이들 조직은 삼성전자, 엔비디아, 마이크로소프트 등 글로벌 대기업을 대상으로 해킹을 시도해 소스코드, 하드웨어 회로 등 기밀 데이터를 훔쳤다.
보안 업계에 따르면 이들은 공격을 위해 직원의 계정 정보 탈취에 공을 들였다. 글로벌 대기업의 경계보안을 쉽게 뚫을 수 없기에, 가장 약한 지점인 '사람'을 노린 셈이다. 랩서스의 공격 기법(TTPs, Tactics, Techniques and Procedures)을 분석한 마이크로소프트는 해당 조직이 기업 임직원의 계정 탈취에 공을 들였다고 밝혔다. 휴대전화 문자 메시지 등으로 피싱(문자사기)을 시도하고, 이메일로 비밀번호 탈취를 위한 악성코드를 유포했다. 이 과정에서 장기간 연락하며 친밀감을 쌓는 사회공학적 기법도 이용했다.
뿐만 아니라 다크웹 등을 통해 공격 대상 조직의 계정을 확보하기도 했다. 국내 보안 인텔리전스 기업 S2W에 따르면 "새로운 보안 약점을 발굴해 기업 시스템에 침입하는 것은 수년이 걸릴 수 있다. 하지만 다크웹 해킹 포럼에서 유출 계정을 구매하는 것은 단돈 10달러면 충분하다"고 설명했다.
피해를 입은 기업은 2단계 인증 등 MFA(Multi Factor Authentication)를 도입해 시스템 접근 보안성을 높였지만, 이미 계정이 노출된 상황에선 무용지물이었다. 국내 보안 기업 SK쉴더스는 이들 기업 중 일부가 이메일로 MFA 인증 코드를 받는 방식을 택했다고 설명했다. 직원의 이메일 정보를 알고 있는 해커는 여기서 보안 코드를 확보해 MFA를 통과했다.
원격 근무 보안을 위해 도입한 가상 사설망(VPN) 역시 계정 탈취 이후에는 무력하다. VPN은 회사 업무 시스템과 원격 근무자의 PC 사이에 일종의 전용 터널을 만드는 기술이다. 여기에선 아이디와 비밀번호를 이용해 터널 이용 권한을 얻는 방식이 주로 쓰인다. 하지만 공격자가 VPN 계정 정보를 입수한 상황에선 아무런 저지 없이 접근할 수 있는 '하이패스'가 된다.
◆아무도 신뢰하지 않는 보안... 탈취된 계정 악용에도 대응력↑
보안 전문가들은 기업 업무 환경이 바뀌는 상황에서 새로운 보안 문제를 해결하기 위해 제로트러스트가 필요하다고 강조한다. 제로트러스트 보안에선 '신뢰할 수 있는 네트워크'라는 개념 자체를 배제한다. 앞서 언급한 사례처럼 공격자가 계정 탈취 등을 통해 이미 내부에 침투했을 가능성도 있기 때문이다.
제로트러스트 보안을 통해 예방할 수 있는 공격 시나리오는 △사용자 계정 도용 △내부자의 위협 △소프트웨어 공급망 침투 등이다.
우선 사용자 계정 도용 시나리오에서 제로트러스트 보안은 사용자와 기기에 대한 강력한 인증을 요구한다. 정상적으로 로그인한 사용자라도 수상한 활동을 한다면 강화된 다중 인증을 요구할 수 있다. 예를 들어 접속 지역이 바뀌거나, 평소와는 다른 기기를 이용하는 등의 행동이 대표적이다. 또한 부여된 권한 외에 다른 시스템과 데이터에 접근하려 한다면 이를 비정상적인 행동으로 보고 차단할 수 있다.
내부자 위협 시나리오 역시 같은 개념으로 차단 가능하다. 정상적인 방법으로 로그인한 사용자라도 권한 외의 행동을 하거나 정해진 활동 범위를 벗어나는 행동을 분석해 차단한다. 특히 제로트러스트 보안 모델에서 각 시스템은 업무에 필요한 최소 단위로 세분화돼 있기 때문에 비정상적인 행동 자체를 막을 수도 있다.
소프트웨어 공급망 침투 시나리오에서도 마찬가지다. 소프트웨어 공급망이란 소프트웨어 개발, 배포, 업데이트 등으로 이어지는 체계다. 이 과정에 해커가 침투할 경우 기업이 사용하는 소프트웨어 자체가 악성코드가 되는 셈이다. 다만 고도화한 제로트러스트 보안 모델에선 이러한 소프트웨어 역시 기본적으로 신뢰하지 않기 때문에 비정상적인 활동을 감지할 수 있다.
◆미국 바이든 정부, 2021년부터 행정명령으로 제로트러스트 도입
지난 2021년 5월, 미국 바이든 행정부는 '국가 사이버 보안 개선을 위한 행정 명령'을 내렸다. 대규모 사이버 공격 사례에 대응하기 위해 국가적 사이버 보안 기능을 강화할 필요성이 있기 때문이다. 여기서 주목할 만한 내용은 사이버 보안을 현대화하기 위해서 제로트러스트 보안 도입을 주문했다는 점이다.
같은 해 6월 미국 사이버 보안·인프라 보안국(CISA)은 각 정부 기관의 제로트러스트 보안 구현을 지원하기 위한 문서 '제로트러스트 성숙도 모델(Zero Trust Maturity Model)'을 발간했다. 여기서 구현에 필수적인 요소와 기능을 제시했다. 지난해 1월에 백악관 예산관리실(OMB)은 각 기관장에게 회계연도 2024년 말까지에 대한 제로트러스트 보안 목표, 도입 계획, 예산 추정치 등을 수립 제출할 것을 명령하는 등 보안 강화를 가속화하고 있다.
하지만 미국을 제외하면, 많은 국가들이 공공·민간 분야에서 제로트러스트 도입의 필요성을 인지하면서도 도입 방안을 구체화하지 못하고 있다. 개념 자체가 추상적이며, 구체적인 도입 사례 역시 흔하지 않기 때문이다.
이에 우리 정부도 지난해 10월 제로트러스트 포럼을 발족하고, 이를 국내 정보보호 환경에 도입할 수 있도록 지원하기로 했다.
◆제로트러스트 1.0 제시한 우리 정부... 실증·검증으로 고도화
과학기술정보통신부는 이달 10일 제로트러스트 가이드라인 1.0을 발표하고 기업과 기관이 이를 쉽게 도입·구현할 수 있도록 했다. 그간의 제로트러스트 포럼 활동을 통한 결과물이다. 가이드라인에서 제시하는 제로트러스트 구현 핵심원칙은 △인증체계 강화 △네트워크 세분화(마이크로 세그멘테이션) △소프트웨어 정의 경계 등이다.
인증 체계를 강화하기 위해 아이디와 비밀번호 외에도 지문 등 생체정보나 1회용 비밀번호 생성기 등 다양한 정보를 활용해 사용자를 지속 검증해야 한다. 또한 네트워크 세분화를 위해 서버나 시스템을 업무에 필요한 최소한의 기능으로 구성하고, 여기에 접근한 사용자가 다른 시스템으로 이동하지 못하도록 해야 한다. 또한 기존의 경계보안을 네트워크 중심이 아닌 소프트웨어 중심으로 재편해 필요에 따라 경계를 넓히거나 줄일 수 있어야 한다.
이와 함께 제로트러스트 보안의 기본 철학을 구현하기 위해서 기업과 기관이 가진 자산(데이터, 네트워크 등)을 식별하고 목적에 맞는 보안 수준을 설계해야 한다. 가이드라인에선 신원, 기기, 네트워크, 시스템, 응용프로그램・네트워크, 데이터 등 6개 요소에 대해 보안 수준에 대해 점검하고 보안 수준 적용을 위한 지표도 담았다.
정부는 이번 가이드라인 제시에 그치지 않고, 통신·금융·공공 등 다양한 분야에 이를 도입하며 실증한다. 또한 화이트 해커를 중심으로 공격 시나리오를 발굴하고, 이를 도입해 제로트러스트 도입 전후 효과도 검증할 계획이다.
과기정통부 박윤규 제2차관은 "과기정통부는 정부·공공 기관, 기업에게 실질적인 도움이 될 수 있도록 제로트러스트 가이드라인을 지속 보완·고도화할 계획"이라며 "또 실증 사업을 통해 다양한 분야로 제로트러스트 보안 모델을 확산할 수 있도록 지원하겠다"고 말했다.