제로 트러스트의 이해와 발전방향
최근 국내외 정보기술(IT) 보안 환경에서 새로운 보안 개념으로 '제로 트러스트'라는 용어가 심심찮게 대두되고 있다. 국내에선 최근 몇 년 사이 제로 트러스트가 핫이슈가 되다 보니 정부 관계 부처를 통해 이슈화 및 정책 현안으로 제기하는 상황이다. 이에 지난해 7월 과학기술정보통신부와 한국인터넷진흥원 주관 하에 '제로 트러스트 가이드라인 1.0'을 발간하기에 이르렀고 올해 고도화를 목표로 2.0을 발간할 예정이다.
네트워크가 중심이 되는 전통적인 경계 기반의 보안 모델은 보안기술 발전의 단계에서 볼 때 기술적으론 획기적으로 새로울 게 없어 보인다. 즉, 기존 위협 방어 기술을 더 구체화하는 엔드포인트탐지·대응(EDR), 엔드포인트보안플랫폼(EPP), 지능형지속위협(APT), 지능화한 위협 탐지 등과 함께 정확도와 가용성, 효용성 등을 극대화하는 인공지능(AI), 머신러닝 등과 같은 기술을 접목하는 형태다. 이러한 예는 모두 전통적인 경계 기반의 보안 모델 위에서 구현·구축되는 형태다.
기업의 IT 보안 업무 담당자 또는 C레벨의 의사결정권자는 기존의 전통적인 보안 관념에 굳어진 사고방식을 쉽게 벗어던지지 못하고 있으며, 이에 따라 제로 트러스트의 개념을 쉽게 이해하지 못하는 상황에 놓이고 있다. 어쩌면 기존의 전통적인 고정관념과 제로 트러스트라는 개념 간 이해 충돌 형태로 머릿 속에서 싸우고 있는지도 모르겠다. 반대로 제로 트러스트를 충분히 이해하는 상황이 되고 보면 기존의 IT 보안 환경은 너무나도 취약하고 안전해 보이지 않아서 이를 빨리 개선하고 보완해야만 할 것 같은 조바심에 빠져들게 된다.
기업의 관련 담당자는 제로 트러스트 보안 사상을 실현하고 적용하기 위해 기존의 낡은 관념을 타파하고 새로운 관점에서 바라볼 수 있는 마음가짐 즉, 패러다임 전환이 필요하다.
먼저 제로 트러스트 가이드라인에서 제시하고 있는 각 보안 영역의 요건을 이해하고 이를 실현하기 위한 체계적인 개선 방안을 수립하는 게 필요하다. 기업의 담당자 입장에선 제로 트러스트 가이드라인에서 제시하는 내용이 아무래도 개념적이고 이론적이라고 여길 수 있다. 실제로 기업에선 제로 트러스트 관점의 각 구성 요소를 충분히 이해하고 이를 해당 기업의 상황에 맞춰 재정립해 제로 트러스트의 모델에 부합하는 보안을 설계해야 한다.
기업에서 제로 트러스트 보안을 도입 적용하기 위해선 현재 처해 있는 IT 환경과 여러 가지 관련 요건을 체계적으로 검토하고 설계하는 방안을 고려해 볼 수 있다. 제로 트러스트 보안을 적용하고자 하는 기업의 현재 환경에 대한 사전 또는 사후 정량적 평가를 통해 교정하거나 보완할 수 있는 구체적인 지표를 제시하는 방안이 함께 대두되고 있다.
제로 트러스트 성숙도 모델(Zero Trust Maturity Model)이 대표적이며, 미국의 CISA(CISA's Zero Trust Maturity Model), DoD(Zero Trust Capabilities, Target & Advanced Levels) 등에서 제시하는 방법론이다. 이 내용을 통해서 평가 내용과 평가 방법, 절차 등을 구체화하고 발전시켜 제로 트러스트 도입을 위한 구체적인 평가 지표로 활용할 수 있다.
제로 트러스트를 기반으로 사업을 영위하는 보안 기업은 아키텍처 측면에서 제로 트러스트를 완성하는 데 어느 특정 기업만이 모든 것을 해결할 수는 없다. 즉, 각각의 요소 보안 솔루션 및 기술, 기능 및 역할에 따른 상호 연동 등 기업 간 협업이 반드시 필요하다. 보안 기업 간 상호 협업, 연동 체계 등 공개와 표준화 등을 위한 시큐리티 얼라이언스(Security Aliance) 형태가 필요하며, 이를 통한 국내 제로 트러스트 모델의 리딩 체계가 만들어질 수 있다.
이기욱 SGA솔루션즈 최고기술책임자
[전자신문 제공]
한국
일본
중국
지원/혜택
