[아이뉴스24 김혜경 기자] "제로트러스트(Zero-Trust)가 구현됐다면 올해 초 랩서스(Lapsus) 조직의 공격을 방어할 수 있었을 것이다. 기존 보안모델로는 급변하는 환경에 발맞춘 대응이 부족하다는 점을 인지, 2019년 내부적으로 제로트러스트 아키텍처를 수립했다. 바텀업(상향식) 형태로 디바이스와 사용자, 서비스 단계별로 추진하고 있으며, 긴 여정으로 보고 접근할 계획이다."
26일 보코서울강남에서 열린 '제로트러스트·공급망 보안 포럼 발족식'에서 신종회 엔씨소프트 사이버보안센터장(CISO)이 이같이 말했다.
제로트러스트는 2010년 포레스터(Forrester) 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 창안했으며 '아무도 신뢰하지 않는다'는 원칙을 전제로 모든 접근을 잠재적 보안 위협으로 판단하는 개념이다. 기존 경계보안 방식에서 벗어나 분산 방화벽을 이용한 '초세분화(마이크로 세그멘테이션)' 등이 핵심이다.
코로나19 장기화에 따라 비대면이 일상화되면서 제로트러스트 보안모델이 다시 주목받고 있는 상황. 지난해 5월 미국 바이든 정부는 행정명령을 발표하면서 해당 아키텍처를 연방정부에서 구현하도록 요구한 바 있다.
이날 발족식에서 이석준 가천대 교수는 제로트러스트에 대해 "내부에도 공격자가 존재할 수 있다는 가정을 포함하는 개념"이라며 "공격을 원천 차단하는 것이 아닌 공격이 발생했더라도 파급 효과를 최소화한다는 의미도 포함된다"고 설명했다.
신종회 센터장은 올해 초 삼성전자와 엔비디아, 마이크로소프트(MS) 등 복수의 글로벌 기업을 공격한 랩서스에 대해서도 설명했다. 신 센터장은 "이들 조직의 공격은 최초 침투와 내부망 침투, 데이터 유출 등 3단계로 진행됐다"며 "공격 대상기업에서 사용되는 계정을 사전 확보한 후 재택근무 환경의 보안 취약점을 공략했다"고 말했다.
그는 "최초 침투 시에는 경계형 보안모델의 맹점을, 내부망 침투 단계에선 서버와 소프트웨어 취약점, 접근제어 정책이 미흡했다는 점을 악용했을 것"이라며 "인증서 관리와 권한 분리 취약점을 찾아 데이터를 유출했다. 이 과정에서 제로트러스트가 구현됐다면 공격을 막을 수 있었을 것"이라고 전했다.
신 센터장은 ▲솔루션의 기능적 한계 ▲데이터·서비스 분류 관련 거버넌스 ▲실증 레퍼런스의 부족 등을 아키텍처 구현 과정에서 극복해야 할 도전과제로 꼽았다. 그는 "중앙 집중적인 정책 관리와 접근제어 결정·실행이 이뤄져야 하지만 기기와 사용자, 서비스를 아우르는 통합 솔루션이 부재한 상황"이라며 "솔루션 간 연동을 비롯해 규격과 방식을 수요자가 검증해야 한다"고 설명했다.
또 "데이터·서비스 레벨에서 권한이 분리된 접근제어와 모니터링을 위해선 중요도 기반 서비스 분류 체계가 필요하지만 현 시점에서는 미흡하다"고 말했다.
이어 "당사 내부적으로 사용자와 기기단에는 어느 정도 구현이 완료됐고 데이터와 서비스 등급에 따라 세분화하는 작업은 진행 중에 있다"며 "제로트러스트 구현을 위해선 단순 기술적인 측면이 아닌 패러다임 전환이 필요하고 각 기업과 조직이 보유한 기기 혹은 서비스에 대한 명확한 분석과 이해가 우선돼야 한다"고 덧붙였다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기