562 읽음
“제로 트러스트로 보안 원칙 다시 세워야” [무너진IT강국③]
IT조선
0올해 잇따른 사이버 보안 사고들을 두고 보안 업계는 "터질 것이 터졌다"고 평가한다. 공공과 민간을 막론하고 국가 전체적으로 보안을 후순위로 둬 온 결과라는 지적이다. 이에 보안 전문가들은 "최신 기술도 중요하지만 사이버 공격 대응력을 키우려면 먼저 보안의 기본부터 돌아봐야 한다"고 강조한다. 특히 최근 전 세계 보안 업계가 강조하는 '제로 트러스트(Zero Trust)' 원칙 기반의 보안 전략이 필요하다고 입을 모은다.
제로 트러스트는 내부든 외부든 누구도 신뢰하지 않고, 모든 접근을 매번 검증해야 한다는 개념이다. 특히 계정·단말·프로세스·API·데이터 접근 권한을 필요한 만큼만 최소한으로 허용하도록 한다. 즉 사고가 발생했을 때 피해 범위를 무차별적으로 넓힐 수 있는 '신뢰'를 제거하는 접근 방식이다.
보안 전문가들은 "올해 발생한 사고들의 공격 방식은 제각각이었지만, 대부분의 해킹이 그렇듯 사고는 기본을 지키지 않았을 때 벌어진다"고 지적한다. 개발자가 퇴사 후에도 프라이빗 인증키를 이용해 이용자 계정을 사칭할 수 있었던 쿠팡, 오래된 시스템의 취약점을 몇 년 동안 방치한 롯데카드와 KT 사례 모두 취약점 패치와 보안 점검, 권한 통제 등 기본적인 보안 수칙을 소홀히 한 데서 원인을 찾을 수 있다는 것이다.
전문가들은 특히 외부 침입자를 네트워크 경계에서 막아내기만 하면 된다고 보고 방화벽(Firewall)과 네트워크 접근제어(NAC) 등을 중심으로 보안 솔루션을 구축한 뒤 "내부는 안전하다"는 믿음 하에 운영되는 기존 보안 모델을 벗어나, 기본을 반복적으로 검증하는 '제로 트러스트' 보안 모델을 확산해야 한다고 말한다.
한 국내 제로 트러스트 보안 기업 대표는 "제로 트러스트는 단순한 유행어가 아니라 기존에 네트워크 경계에서 침입자를 차단하고 내부자를 신뢰하던 보안 모델이 더 이상 유효하지 않다는 현실을 반영한, 현 시점 가장 기본에 충실하고 잘 짜여진 보안 프레임워크"라고 설명했다.
또 다른 제로 트러스트 보안 업체 관계자는 "제로 트러스트 원칙이 적용됐다면 올해 사고의 절반 이상은 초기에 차단되거나 피해 범위가 극적으로 줄었을 것"이라고 말했다.
핵심은 계정·세분화·지속검증·암호화 등
제로 트러스트 원칙에 따라 기업이 가장 먼저 전환해야 할 핵심 중 하나는 계정 중심 보안이다. 제로 트러스트 보안에서는 계정이 가장 위험한 공격 통로로 꼽힌다. 이에 다중요소인증(MFA) 활성화, 퇴사자·외주 계정의 즉시 회수, 공용 계정 금지, 특권계정 행위에 대한 실시간 모니터링 등이 필수다.
최소권한 원칙을 적용하면 공격자가 계정을 탈취하더라도 내부에서 이탈할 수 있는 범위가 제한되기 때문에 피해 확산이 최소화된다. 국내 침해대응 전문기업 관계자는 "최근 사고 분석 결과를 살펴보면 계정 관리 부실이 가장 큰 공격 원인 중 하나로 떠오르고 있다"고 말했다.
네트워크 세분화(Segmentation)와 암호화(Encryption)도 중요하다. 세분화는 공격자가 내부로 침투하더라도 하나의 구역(zone) 밖으로 이동하지 못하게 하는 구조적 장치다. 피해 확산을 막는 데 중요하게 작용한다. 암호화는 설령 데이터가 탈취되더라도 활용 불가능하게 만드는 '최종 방어막' 역할을 한다.
운영 단계에서의 지속적 검증 체계도 중요하다. 제로 트러스트는 ISMS-P와 같은 인증을 받거나 체크리스트 확인 등으로 구현되는 것이 아니라 실시간 보안 운영 그 자체로 구현되는 모델이다. 패치 적용 속도, 서버·클라우드 설정 검증, 접근 및 API 로그를 실시간으로 탐지하는 등의 기본적 감시 체계를 충분히 갖춰야 제로 트러스트 보안을 한다고 말할 수 있다.
여기에 공격표면관리(ASM), 자동 취약점 점검, 확장된 탐지·대응(XDR) 및 보안 정보·이벤트 관리(SIEM), 보안 오케스트레이션·자동화·대응(SOAR) 등과 같은 솔루션을 이용한 자동화된 보안 관제 기술은 이러한 제로 트러스트 운영 보안을 현실적으로 구현할 수 있게 한다.
이런 솔루션은 도입이 어려워 보이지만 오히려 전담 인력이 부족한 중소기업에서 더 효과가 크다. 다만 현재 국내에서 이 수준의 운영을 하는 기업이 실제 소수라는 점이 문제다. 올해 2년차 시범사업을 마친 제로 트러스트 보안이 좀 더 빠르게 확산돼야 하는 이유다.
국내 보안관제 전문기업 관계자는 "보안은 최신 장비 도입도 좋지만 그 장비를 어떻게 운영하는지가 핵심"이라면서 "아무 의미 없어 보이는 데이터와 반복되는 보안 경보 속에서 차이를 찾아내야 하는데, 이 역시 기본을 간과한다면 사고 징후를 놓치기 쉽다. 이 때문에 관리형 탐지·대응(MDR) 분야가 더욱 활성화될 필요가 있다"고 말했다.
국민도 보안 체계 일부…‘제로 트러스트 습관’ 들여야
한국은 국민의 디지털 의존도가 매우 높은 만큼, 개인의 보안 습관이 기업 보안과도 직접 연결된다. 전문가들은 개인에게도 제로 트러스트 원칙이 필요하며, 그 내용은 복잡하지 않다고 설명한다.
첫째, 모든 주요 서비스에서 다중요소인증(MFA)를 켜는 것이다. MFA는 비밀번호 입력 외에도 생체인증이나 SMS(문자) 등 추가 인증을 더하는 것을 말한다. 계정 탈취가 대부분의 사고 출발점이기 때문에 MFA만 활성화해도 피해 규모는 현저히 줄어든다.
둘째, 비밀번호 재사용 금지다. 유출된 하나의 아이디 및 비밀번호를 다른 사이트에 무차별 대입해보는 '크리덴셜 스터핑(Credential Stuffing)' 공격을 막는 가장 기본적인 방법이다. 가급적 사이트마다 다른 비밀번호를 사용할 것을 권장한다. 복잡할 수 있지만 규칙을 잘 설정한다면 의외로 쉽게 사이트마다 다른 비밀번호 적용이 가능할 수 있다.
셋째, 문자·SNS·카카오톡 링크를 기본적으로 의심하는 태도를 가져야 한다. 배송·환불·세금 등 안내로 사칭하는 피싱은 대부분 한 번의 클릭에서 시작된다. 링크 클릭 대신 공식 앱이나 홈페이지에서 직접 확인하는 습관이 중요하다.
넷째, 금융/쇼핑/SNS 계정을 분리해 사용할 필요가 있다. 제로 트러스트의 최소권한 개념을 개인에게 적용한 것으로, 한 계정이 털려도 피해가 퍼지지 않도록 하기 위함이다.
마지막으로, 결제내역과 로그인 기록을 정기적으로 확인하는 것은 위험 징후를 조기에 발견할 수 있는 가장 쉬운 방법이다.
한 보안 기업 대표는 "대형 사이버 보안 사고를 줄이고 보안 산업이 성장하려면 보안을 비용이 아닌 생존을 위한 투자로 인식하는 생각의 전환이 반드시 필요하다"면서 "특히 전세계 보안 업계에서 주목하는 '제로 트러스트'는 거창한 기술이 아니라, 한국이 오랜 기간 소흘히 해 온 기본기를 다시 세우는 전략임을 잊지 말아야 한다"고 말했다.
정종길 기자
jk2@chosunbiz.com