제로 트러스트란?

제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제로 보안 아키텍처를 설계하는 방식입니다. 이는 통신이 방화벽 내부에서 시작되는지 여부에 따라 신뢰성을 결정하던 전통적인 아키텍처와는 대조적입니다. 구체적으로 말하자면, 제로 트러스트는 절대적 신뢰 모델과 일회성 인증에 의존하는 보안 아키텍처의 빈틈을 메우려는 시도라고 볼 수 있습니다.

전 세계적으로 위협 환경이 진화하고 네트워크 내부의 활동은 신뢰할 수 있다는 오랜 믿음이 흔들리면서 제로 트러스트가 인기를 얻기 시작했습니다. 체계적인 사이버 범죄자 조직은 내부자를 모집하여 내부자 위협의 기회를 늘리고, 전통적인 보안 아키텍처 외부를 통과할 수 있는 새로운 방법을 계속해서 찾아 나갑니다. 정교한 해킹 툴과 상용화된 서비스 플랫폼으로서의 랜섬웨어 역시 널리 보급되면서 돈을 노리는 새로운 유형의 범죄자와 사이버 테러리스트가 더 손쉽게 활동할 수 있게 되었습니다. 이러한 모든 위협은 귀중한 데이터가 유출되거나, 비즈니스와 상거래에 지장을 주거나, 인명 피해를 유발할 가능성이 있습니다.

이처럼 새로운 위협 환경에 처한 미국 연방 정부를 대상으로 제로 트러스트 아키텍처를 도입하라는 행정 명령이 발효되었으며, 많은 기업이 이를 도입하는 데 따르는 비용과 이점을 저울질하고 있습니다.

유명한 2010년 Forrester Research 제로 트러스트 리포트에서 John Kindervag는 네트워크 보안에 대한 일반적인 “신뢰하되 검증하는” 접근 방식을 “검증하되 절대 신뢰하지 않는” 전략으로 조정할 것을 촉구했습니다. Kindervag는 “네트워크를 M&M 초콜릿처럼 겉은 바삭하고 속은 말랑말랑하게 만들고 싶다”라는 당대의 보편적인 목표에 도전했습니다. 기업은 수십 년간 네트워크를 이런 식으로 설계해 왔습니다. 즉, 신뢰할 수 있는 내부 네트워크(말랑말랑한 중심부)와 외부 세계를 방화벽과 기타 보안 방어 체계(바삭한 겉껍질)로 분리한 것입니다. 이 껍질 안에 있거나 원격 방법으로 내부와 연결된 개인 또는 엔드포인트는 껍질 바깥에 있는 경우보다 더 높은 신뢰를 받았습니다.

“단단한 껍질, 말랑한 중심부”로 설명되는 이러한 보안 설계 방식은 결코 이상적인 것이 아니지만 오늘날에도 여전히 지속되고 있습니다. 이 아키텍처에서는 사용자, 기기, 데이터, 기타 리소스가 최소한으로 분리되어 있으므로 일단 안으로 들어가면 내부 네트워크를 쉽게 횡단할 수 있습니다. 사이버 공격은 먼저 한 개 이상의 내부 엔드포인트나 기타 자산에 액세스한 다음 네트워크 내부로 이동하면서 취약점을 공격하고, 통제된 정보를 유출하고, 추가 공격을 개시하는 방식으로 이러한 설계를 이용합니다.

이렇게 성능이 떨어지는 아키텍처는 정교한 사이버 공격에 취약할 뿐 아니라, 사용자가 더 세분화된 서비스를 통해 더 많은 위치에서 더 많은 자산에 원격으로 액세스해야 하기 때문에 엔드포인트를 대규모로 추가하여 네트워크를 확장하면 부담이 더욱 증가합니다. COVID-19 팬데믹 이후 원격 근무자가 점점 늘어나고 클라우드 환경의 워크로드가 지속적으로 증가함에 따라 신뢰 문제에 쏠리는 관심이 더 커졌습니다.

이러한 환경의 취약점을 관리하기 위해 기업들은 전체 네트워크에 대한 보안 액세스를 허용하는 가상 프라이빗 네트워크(VPN)에서 더 세분화된 제로 트러스트 네트워크 액세스(ZTNA) 방식으로 전환하고 있습니다. ZTNA에서는 액세스를 세분화하고 사용자 권한을 특정 애플리케이션 및 서비스로 제한합니다. 이러한 마이크로 세그멘테이션 접근 방식은 공격자의 내부 이동을 제한하고, 공격 표면을 줄이고, 데이터 침해의 영향을 억제하는 데 도움이 될 수 있습니다. 하지만 제로 트러스트 모델을 도입하려면 조직이 보안 아키텍처의 모든 측면에서 “검증하되 절대 신뢰하지 않는” 철학을 적용해야 합니다.

제로 트러스트 보안의 기반은 탈경계화와 최소 권한 액세스이며, 이를 통해 네트워크 경계와 절대적 신뢰 아키텍처에 내재된 취약점으로부터 민감한 데이터, 자산, 서비스를 보호합니다.

탈경계화: 기업은 더 이상 지리적 경계로 정의되지 않습니다. 사용자는 다양한 위치와 엔드포인트에서 활동하고 하나 이상의 운영 환경에서 리소스에 액세스하며, 여기에는 보통 엔터프라이즈 IT 조직이 소유하거나 통제하지 않는 클라우드 및 서비스로서의 소프트웨어(SaaS) 솔루션이 포함됩니다. 탈경계화는 이와 같은 위치와 신뢰의 분리 문제를 해결합니다.

최소 권한: 이름 또는 위치를 기준으로 신뢰가 상속되지 않는다면 모든 상호 작용은 의심스러운 것이 됩니다. 또한 허용 또는 차단에 따르는 이익과 위험을 반드시 고려해야 하는 상호 작용의 허용 여부를 비즈니스에서 결정하게 됩니다. 최소 권한은 절대적으로 필요한 리소스에만 액세스 가능하도록 액세스 권한을 제한하는 관행을 말합니다. 즉 활동에 필요한 “최소한의” 권한만 허용하는 것입니다. 각각의 리소스 액세스 요청은 Identity 관리와 위험 기반의 상황 인식 액세스 제어를 사용해 실시간으로 검증되어야 합니다.

제로 트러스트 아키텍처를 구현하기 위해 기존 네트워크 전체를 교체하거나 새로운 기술을 대량으로 확보할 필요는 없습니다. 대신에 기존의 다른 보안 사례와 툴을 프레임워크에서 강화해야 합니다. 많은 조직이 이미 제로 트러스트 아키텍처에 필요한 기반을 보유하고 있으며 일상 업무에서 제로 트러스트 지원 관행을 따르고 있습니다.

예를 들어, 제로 트러스트 전략을 성공적으로 도입하려면 다음과 같은 중요 구성 요소가 필요한데, 기존의 보안 아키텍처에 이미 이러한 요소가 있을 수 있습니다.

• Identity 및 액세스 관리

• 권한 부여

• 자동화된 정책 결정

• 리소스에 패치 적용

• 지속적 모니터링과 트랜잭션 로깅 및 분석

• 인적 오류가 발생하기 쉬운 반복성 활동을 최대한 자동화

• 행동 분석과 위협 인텔리전스를 사용하여 자산의 보안 강화

사실 제로 트러스트는 오늘날 많은 환경에서 다양한 규모로 이미 실행되고 있습니다. 제로 트러스트의 코어 테넌트에는 주로 기존 보안 사례 적용과 조직 및 프로세스 제어가 필요합니다. 보안이 조직의 핵심 가치인 미국 국방부, 국토안보부, 정보 기관과 같은 연방 조직에서는 제로 트러스트 보안 모델 구현에 있어 이미 큰 진전을 이루었습니다.

비즈니스 요구 사항을 충족하고 디지털 트랜스포메이션 활동을 촉진하기 위해 많은 조직이 오픈소스 구성 요소와 제3사 툴을 사용하여 소프트웨어를 개발하고 있습니다. 그러나 소프트웨어 공급망에 침투하려는 악의적인 사용자가 개발 라이프사이클의 초기에 오픈소스 구성 요소와 종속성의 보안을 손상시켜 사이버 공격을 유발하고 애플리케이션 출시를 지연시킬 수 있습니다. 제로 트러스트 접근 방식은 소프트웨어 공급망을 보호하고 문제를 조기에 감지하여 해결에 따른 비용을 절감하는 데 있어 매우 중요한 역할을 합니다.

조직은 안전한 오픈소스 코드를 사용하고 컨테이너 이미지에 보안을 구축하며 CI/CD 파이프라인을 강화하고 애플리케이션을 런타임에 모니터링함으로써 공급망 공격의 위험을 최소화할 수 있습니다.

보안 모델로서의 제로 트러스트는 Bell-LaPadula와 같이 더욱 공식화된 제어 액세스 모델에 비해 추상적인 용어로 기술되는 경우가 많으며, 다양한 그룹이나 표준 기구가 지지하는 다양한 구성 요소 세트가 있습니다. 대표적인 구성 요소는 다음과 같습니다.

• 사용자와 NPE(Non-Person Entity)를 위한 강력한 단일 Identity 소스

• 사용자와 머신 인증

• 정책 컴플라이언스 및 기기 상태와 같은 부가적인 컨텍스트

• 애플리케이션 또는 리소스에 대한 액세스를 규제하는 권한 부여 정책

• 애플리케이션 내의 액세스 제어 정책

이러한 구성 요소들은 대체로 Identity 기반 액세스 정책(기본값은 "deny-all"과 "allow-by-exception")을 구현하는 방법에 초점을 맞춥니다.

제로 트러스트 원칙을 고수하려면 신뢰 경계의 범위를 최대한 작게 유지해야 합니다. 당연히 주체들은 경계 내에서 신뢰를 받고 액세스 제어는 생략 또는 우회되거나 제한됩니다. 특정 비즈니스 기능에 대해서만 권한을 부여하는 방식이므로 다른 기능에 대한 액세스를 허용하는 모든 경계는 범위를 좁혀야 합니다.

시스템 아키텍처의 모든 보안 경계가 적당한 제로 트러스트 경계 기준에 부합해야 하는 것은 아닙니다. 이러한 일상적인 경계(예: 원치 않는 IP 주소 필터링, 특정 프로토콜이 네트워크에 액세스하도록 허용, 소셜 미디어 사용 제한)는 제로 트러스트와 겹칠 수 있지만 여전히 보안 전략에 중요한 역할을 합니다. 하지만 제로 트러스트 도입에는 중요한 차이점이 있습니다. 기존 네트워크 아키텍처에 이미 존재할 수 있는 일상적인 경계는 신뢰도 계산에 반영되지 않는다는 점입니다. 제로 트러스트 원칙을 충족하는 경계만 신뢰도 계산에 반영해야 합니다.

제로 트러스트에 따라 주체는 항상 서로 명확히 구분된 채로 유지되어야 합니다. 즉, 모든 두 주체 간에 항상 신뢰 경계가 있어야 하므로 모든 상호 작용에 다단계 인증(MFA)과 직접 권한 부여가 필요합니다. 매우 흔한 시나리오지만 두 주체가 동일한 네트워크에 있는 경우에는 절대적인 신뢰가 없습니다. 두 주체가 동일한 물리적 위치에 있거나 동일한 부서 또는 통합 시스템에 속하는 경우에도 마찬가지입니다.

제로 트러스트 보안 모델은 이러한 신뢰 경계를 적용하여 작동하는데, 이는 일반적으로 모든 리소스와의 모든 상호 작용에 적용 지점을 끼워 넣음으로써 이루어집니다. 이러한 상호 작용은 시간이 지나면서 변화하고 Identity, 리소스 상태, 시스템의 다른 측면도 달라집니다. 이와 같은 지속적 변화에 따라 Identity와 리소스도 똑같이 지속적으로 평가하고 모니터링하여 인증과 권한 부여를 상황에 맞게 적용해야 합니다.

이렇게 기본적인 사항마저 너무나 제한적이기 때문에 구현할 수 없는 분야가 아직도 많습니다. 레거시 기술의 지속적 사용, 미성숙한 비즈니스 프로세스, 또는 필수 비즈니스 기능인 보안의 낮은 우선 순위 등은 모두 흔히 겪는 어려움입니다.

제로 트러스트는 경영진과 보안 전문가의 관점 변화를 요구하는 경우가 많습니다. 경영진은 기존의 낡은 보안 아키텍처를 유지하는 데 따르는 위험을 평가해야 합니다. IT 및 운영 기술(OT) 전문가는 기존 투자를 이용해 제로 트러스트 구현 비용을 줄이고 새로운 투자의 우선 순위를 어디에 두어야 할지 파악해야 합니다. 하지만 제로 트러스트를 적용할 수 없는 프로토콜과 기기가 있는 것이 현실입니다. 이 경우 이를 교체할지, 아니면 유지할지 결정해야 합니다. 게다가 제로 트러스트 접근 방식을 전적으로 수용하지 못하는 시스템이라면 OT 전문가는 제어를 완화할 방법은 무엇인지, 그리고 대안적인 보안 제어로 노출을 더 줄일 수 있는지 여부를 알아봐야 합니다.

제로 트러스트의 기본 전제인 “기본적으로 거부” 또는 "항상 인증"으로 전환하려면 구현과 시간 경과에 따른 유지 관리에 최선을 다해야 하며, 어떤 조직 구성원도 “섀도우 IT” 오퍼링을 생성함으로써 제로 트러스트 보안 아키텍처를 우회하려는 시도를 하지 못하게 해야 합니다.

Red Hat은 제로 트러스트를 도입하도록 도와드릴 수 있습니다. 먼저 기업은 제로 트러스트를 이해하고 이를 구현하는 데 전념해야 합니다. 이해관계자들이 현재 위협 환경의 속성을 이해하고 기존의 보안 사례가 중요하기는 하지만 제로 트러스트 원칙을 따르지 않는 한 불완전하다는 것을 인정하는 데까지 나아가기 위해서는 사이버 보안에 대한 전반적인 인식이 반드시 필요합니다. Red Hat은 Red Hat Open Innovation Labs 또는 기타 전문화된 Red Hat Services 계약을 통해 제공되는 맞춤형 경험을 통해 이러한 훈련과 교육에 대한 옵션을 제공합니다.