제로 트러스트도 방어 어렵다··· 기업의 보안 사각지대 5가지

제로 트러스트는 사이버 공격을 막는 절대적인 안전장치가 아니다. 공격자는 제로 트러스트를 우회할 새로운 수단을 끊임없이 찾아낸다. 이런 일이 비일비재한 이유는 제로 트러스트를 채택할 때 기업 환경 내 모든 것을 고려하지 않았기 때문이다. 
 

제로 트러스트는 입증되지 않는 한 모든 사용자, 모든 기기, 모든 메시지를 신뢰할 수 없는 것으로 간주하는 사이버보안 패러다임이다(사실 철학에 가깝다). 경계를 기준으로 외부의 것은 신뢰할 수 없고 기업 네트워크 내부의 것은 자동으로 신뢰할 수 있는 것으로 간주하던 예전 방식의 대안이다. 

오늘날에는 경계가 어디에나 있고 직원이 사무실 못지않게 집에 있을 가능성이 크며, 컴퓨팅 리소스는 여러 곳의 데이터센터와 클라우드, 기타 서드파티 사이에 펴져 있다. 예전 방식은 더 이상 통하지 않는다. 제로 트러스트는 이런 문제에 대한 최신 해법이다. 모두가 여기에 동의한다. 2022년에 공개된 700곳의 회사를 대상으로 한 옥타(Okta) 설문조사에 따르면, 이미 제로 트러스트 이니셔티브를 마련한 기업은 55%였으며(2021년 24%), 97%는 향후 12~18개월 이내에 마련할 계획이 있다고 답했다.

하지만 제로 트러스트는 만병통치약이 아니다. 가트너에 따르면, 2026년까지 사이버 공격 중 절반 이상이 제로 트러스트가 다루지 않고 보호할 수 없는 부분을 겨냥할 것으로 예상된다. 가트너 애널리스트 존 와츠는 “제로 트러스트에는 2가지 큰 문제가 있다. 하나는 기존 기술이나 섀도우 IT 같은 범위다. 2번째 큰 문제는 제로 트러스트 통제 기기를 우회하는 공격이 있다는 사실이다”라고 지적했다.

지난 3월 공개된 미국 내 IT 및 사이버보안 전문가 400명을 대상으로 한 사이버시큐리티 인사이더(Cybersecurity Insiders) 설문조사에 따르면, 제로 트러스트를 시행한 기업은 19%에 불과했으며, 30%는 프로젝트가 진행 중이고 38%는 아직 계획 단계라고 밝혔다. 가트너에 따르면, 성숙하고 측정 가능한 제로 트러스트 프로그램이 마련된 기업은 현재 1% 미만이며 2026년까지 이런 프로그램이 마련될 예정인 기업은 10%에 불과하다. 

제로 트러스트를 도입했다 하더라도 모든 보안 문제가 해결된다는 의미는 아니다. 제로 트러스트에는 사각지대가 여럿 있다. 예를 들면, 제로 트러스트에 맞게 설계되지 않은 레거시 시스템, 모니터링되지 않는 IoT 기기, 해서는 안 되는 일을 하는 권한 있는 사용자, 서드파티 서비스 등이다. 지속적인 변화를 관리해야 하는 상황도 포함된다. 하나씩 살펴보자. 

1. 레거시 시스템
모든 시스템과 애플리케이션이 제로 트러스트 원칙에 맞게 쉽게 업데이트되는 것은 아니다. 예를 들어, 많은 레거시 시스템에는 업데이트에 필요한 것이 갖춰져 있지 않다. 보험 중개 기업 PIB 그룹은 설립된 지 불과 7년 만에 92곳의 다른 회사(대부분은 다른 보험사)를 인수했다. 12명이었던 직원 수는 3,500명으로 늘었다. CISO 제이슨 오진은 CSO에 “많은 플랫폼을 인수하고 있는데, 이런 플랫폼은 이미 이직한 사람이 작성한 것이라 제대로 지원되고 있지 않다”라고 말했다.

오진은 PIB 그룹의 현재 HR 시스템조차 제로 트러스트를 지원하지 않는다며, “사용자 이름과 비밀번호, IP 화이트리스트도는 지원하지만 이중 인증은 지원하지 않는다”라고 덧붙였다. 그러나 IP 화이트리스트는 집이나 다른 원격 장소에서 근무할 때는 유용하지 않다.

PIB 그룹은 곧 새로운 HR 시스템으로 갈아탈 예정이지만 다른 시스템들은 그렇게 빨리 교체할 수 없는 상황이다. 교체 가능해질 때까지 오진은 다른 해결책을 마련했다. “알 수 있는 장소에서 오는 트래픽인지 확인하는 것이다. 제로 트러스트 포장지로 싸 두는 셈이다.” 인증이 처리된 후에 포장지가 트래픽을 통과해 레거시 시스템에 도달하게 된다. 현재 HR 시스템과 같은 레거시 시스템은 IP 주소의 출처가 제로 트러스트 플랫폼인지 확인한다. 오진은 일부 레거시 시스템은 사용자 이름과 비밀번호도 없을 정도로 매우 엉망이라고 지적하며, “아무도 문지기를 통하지 않고는 시스템에 도달할 수 없다”라고 덧붙였다.

회사의 빠른 성장뿐 아니라 코로나19 팬데믹도 제로 트러스트로 이동하게 된 중요한 이유였다. 단, 팬데믹은 PIB 그룹이 제로 트러스트를 실시하기 시작할 무렵 종료됐다. 오진은 “나의 계획은 PIB 그룹이 갖고 있는 레거시 시스템을 모조리 없애는 것이지만, 사실 절대 실현되지 않을 것이다. 6년 후에도 여전히 레거시 시스템을 운영하고 있다 해도 놀라지 않을 것”이라고 말했다. 모든 것을 업그레이드하려면 자원과 자금이 필요하다. 오진은 “먼저 특정 고위험 항목을 업그레이드하기로 했다”라고 덧붙였다.

2. IoT 기기
“내가 알지도 못하는 IoT도 갖고 있다.” 오진은 기업에 수많은 IoT 기기가 있다고 말했다. 예컨대 한 지점에서 누군가가 다른 사람에게 알리지 않고 현관 출입 시스템을 설치하기로 할 때 문제가 된다. “설치 담당자가 ‘네트워크에 접근할 와이파이 키를 받을 수 있을까요?’라고 하면 누군가가 줄지 모른다”라고 지적했다. 

모든 와이파이 게이트웨이에 제로 트러스트가 적용된 것이 아니므로 PIB 그룹은 어떠한 기업 데이터에도 접근할 수 없는, 미승인 기기를 위한 별도의 네트워크를 제2의 해결책으로 사용하고 있다. 또한 오직 승인된 기기만 주 네트워크에 연결되어 있는지 확인하기 위한 감사를 실행할 수 있는 도구도 갖추고 있다.

가트너의 와츠도 IoT와 OT가 보안 문제가 될 수 있다는 점에 동의한다. “그런 기기와 시스템은 제로 트러스트를 시행하기 더 어렵다. ID에 대한 확신이 상대적으로 적어서다. 사용자가 없으면 사용자 계정도 없다. 무언가를 네트워크에 배치해야 할 경우에 인증 수단이 없다. 이는 해결하기 어려운 문제다”라고 지적했다.

와츠는 일부 회사는 이런 문제를 해결하지 못해 IoT와 OT를 제로 트러스트 범위에서 제외하겠지만, 이런 시스템의 보안을 확보하도록 도움을 주는 서비스가 있다고 덧붙였다. 가트너가 공개한 사이버-실물 시스템의 보안을 확보하기 위한 시장 가이드에는 아르미스(Armis), 클래로티(Claroty), 드라고스(Dragos) 등이 포함돼 있다. 와츠는 CSO에 “일단 이런 기술을 시행하면 업체를 더 신뢰해야 한다. 해당 기술에 자체적인 취약점과 문제점이 있다면 공격자는 약점을 찾아낼 것”이라고 경고했다.

3. 권한 있는 사용자의 잘못된 접근
내부자 위협 위험은 모든 회사에 문제다. 제로 트러스트는 권한 있는 내부자가 민감한 리소스에 대해 유효한 접근 권한이 있는 경우에는 도움이 되지 않는다. 신뢰받는 직원이기 때문이다.

이런 위험은 다른 기술로 줄일 수 있다. 오진은 “누군가는 모든 권한을 갖고 있을 수 있지만 그런 사람이 갑자기 새벽 3시에 인터넷에 접속할까? 제로 트러스트 옆에 행동 애널리틱스를 배치하면 그런 이상 행동을 잡아낼 수 있다. PIB 그룹은 EDR(Endpoint Detection and Response)의 일환이자 옥타 로그인의 일환으로 사용한다. 평소에는 아무것도 출력하지 않는 사람이 60페이지를 출력하고 있는가? 이런 상황을 위한 데이터 손실 방지 프로그램도 있다”라고 설명했다. 

가트너의 와츠는 내부자 위협이 제로 트러스트 통제 기기를 시행한 이후에 남아 있는 주요 위험이라고 지적했다. 또한 신뢰받는 내부자가 소셜 엔지니어링 기법에 속아 데이터를 유출하거나 공격자의 시스템 내부 진입을 허용할 수 있다. “내부자 위협 및 계정 탈취 공격은 완벽한 제로 트러스트 세계에 남아 있는 2가지 위험이다”라고 말했다.

회사 자금에 접근할 수 있는 사람을 속여 자금을 위협 행위자에게 보내게 하는 BEC(Business Email Compromise)도 있다. 와츠는 “BEC는 AI로 그럴듯하게 합성한 이미지로 조직원에게 전화를 걸어 다른 계좌로 송금해 달라고 요청하는 딥 페이크일 수도 있다. 실제로는 제로 트러스트 통제 기기는 전혀 건드리지 않는 공격”이라고 말했다. 

이런 문제에 대처하려면 침해가 일어나도 피해가 최소화되도록 사용자 접근을 제한해야 한다. 와츠는 “권한 있는 계정의 사용자 접근 제한은 어렵다”라고 지적했다. UEBA(User and Entity Behavior Analytics)는 내부자 위협 및 계정 접수 공격 탐지에 도움이 될 수 있다. 관건은 탐지 오류로 인해 업무 완수가 중단되지 않도록 기술을 지능적으로 배포하는 것이다.

예를 들어, 변칙적인 활동은 접근권을 읽기 전용으로 변경하거나 가장 민감한 애플리케이션에 대한 접근을 차단하는 것과 같은 적응 통제를 유발할 수 있다. 기업은 너무 많은 사용자에게 너무 많은 접근권을 주지 않도록 해야 한다. 와츠는 “단순한 기술 문제가 아니다. 이를 지원할 수 있는 인력과 프로세스가 있어야 한다”라고 강조했다.

사이버시큐리티 인사이더 설문조사에 따르면, 과도한 권한을 보유한 직원의 접근이 제로 트러스트를 배치할 때의 가장 큰 어려움이라고 응답한 비율은 47%였다. 또한 모든 사용자가 필요 이상의 접근권을 갖고 있다고 응답한 비율은 10%, 일부 또는 몇몇 사용자가 그렇다는 응답 비율은 79%, 접근권이 지나치게 많은 사용자가 없다는 응답 비율은 9%에 불과했다. 비욘드트러스트(BeyondTrust)의 의뢰로 실시된 디멘셔널 리서치(Dimensional Research) 조사 결과, 63%의 기업이 지난 18개월 동안 권한 있는 사용자 또는 인증정보와 직접 관련된 ID 문제가 있었다고 전한 것으로 나타났다.

4. 서드파티 서비스
클라우드팩토리(CloudFactory)는 직원 600명과 필요에 따라 투입되는 ‘클라우드 근무자’ 8,000명을 거느린 AI 데이터 업체다. 클라우드팩토리의 보안 운영 책임자 셰인 그린은 CSO에 클라우드팩토리가 제로 트러스트를 완전히 채택했다고 말했다. “지원해야 하는 사용자 수가 엄청나기 때문”이다. 

그린에 따르면, 클라우드팩토리의 원격 근무자는 구글 인증으로 로그인하는데, 이를 통해 보안 정책을 적용할 수 있다. 하지만 그린은 틈이 존재한다고 지적했다. 일부 중요한 서드파티 서비스 제공업체는 SSO(Single-sign On) 또는 SAML(Security Assertion Markup Language) 통합을 지원하지 않는다. 그 결과 근무자는 미승인 기기에서 자신의 사용자 이름과 비밀번호를 사용해 로그인할 수 있다. 그린은 “그렇게 기업의 시야를 벗어나는 것은 막을 길이 없다”라며 기술 업체들은 이것이 문제임을 인식하고 있지만 뒤처져 있으며 분발해야 한다고 지적했다. 

이런 문제는 클라우드팩토리만 겪는 게 아니다. 서드파티 서비스 제공업체의 보안 문제는 해당 업체가 사용하는 인증 메커니즘을 넘어서는 문제다. 예를 들어 많은 기업 시스템이 API를 통해 서드파티에 노출되는데, 제로 트러스트 배치 범위를 파악할 때는 API를 간과하기 쉽다.

물론 API에도 제로 트러스트 원칙을 적용해 보안 태세를 향상할 수 있다. 단, 일정 범위까지만 가능하다. 가트너의 와츠는 “서드파티가 사용할 수 있도록 설정한 인터페이스만 제어할 수 있다. 서드파티가 제대로 제어하지 못하면 일반적으로 통제할 수 없는 문제”라고 말했다. 서드파티가 데이터에 대한 사용자 접근을 허용하는 앱을 만들면 클라이언트에서의 인증이 문제가 될 수 있다. 와츠는 “인증이 매우 강력하지 않다면 누군가 세션 토큰을 훔칠 수 있다”라고 지적했다.

기업은 서드파티 서비스 제공업체를 감사할 수 있지만, 감사는 보통 1회성 점검이거나 즉석에서 수행된다. 또 다른 선택지는 승인되지 않은 작업이 수행되고 있을 때 이를 탐지할 수 있는 애널리틱스를 배포하는 것이다. 이를 통해 변칙적인 이벤트를 탐지할 수 있다. 와츠는 API 내에 악용되는 결함이 그런 변칙적인 이벤트로 나타날 수 있다고 설명했다.

5. 새로운 기술과 애플리케이션
올해 미국의 사이버보안 전문가 500명 이상을 대상으로 실시한 비욘드 아이덴티티(Beyond Identity) 설문 조사에 따르면, 응답자 중 48%가 새로운 애플리케이션을 처리하는 것을 제로 트러스트 시행에 있어 3번째로 큰 어려움으로 꼽았다. 

새로운 애플리케이션이 유일한 변화는 아니다. 글로벌 컨설팅 기업 아레트(AArete)의 기술 솔루션 그룹 경영 이사 존 캐리는 일부 기업은 프로세스를 개선하고 의사소통 흐름을 개선하기 위해 끊임없이 노력하고 있는데, 제로 트러스트는 “자유롭게 돌아다니는 데이터 앞에 장벽”이 될 수 있다고 말했다. 즉, 제로 트러스트가 올바르게 구현되지 않거나 설계되지 않으면 생산성에 타격이 있을 수 있다. 

이런 문제가 발생할 수 있는 대표적인 분야가 AI 프로젝트다. 최근에는 생성형 AI처럼 적용하려는 사업에 따라 구체적으로 맞춤화하고 미세 조정된 AI 모델을 만드는 선택지가 점점 늘어나고 있다. AI는 갖고 있는 정보가 많을수록 더 유용하다. 기술 컨설팅 기업 스타(Star)의 기술 책임자 마틴 픽스는 CSO에 “AI에 모든 것에 대한 접근권을 주고 싶을 것이다. 그것이 AI의 목적이기 때문이다. 그러나 AI가 침해되면 문제가 생긴다. 원하지 않는 것을 AI가 공개하기 시작한다면 문제다”라고 꼬집었다.

픽스는 악성 사용자가 교묘하게 단어를 선택한 질문을 던져 AI가 알려주지 말아야 할 것까지 알려주도록 유도하는 ‘프롬프트 해킹(prompt hacking)’이라는 새로운 공격 벡터를 소개했다. 픽스가 제시한 한 가지 해결책은 민감 정보로 일반용 AI를 훈련하지 않는 것이다. 민감 데이터는 별도로 보관해야 하며, 질문하는 사용자가 해당 데이터에 대한 접근권한을 보유하고 있는지 확인하는 접근 통제 시스템을 갖춰야 한다. “통제되지 않은 AI를 사용할 때만큼 결과가 좋지는 않을 수는 있으므로 더 많은 리소스와 더 많은 관리가 필요하다”라고 덧붙였다.

근본적인 문제는 제로 트러스트로 인해 기업의 업무 방식이 달라진다는 점이다. KPMG 미국 제로 트러스트 리더 디팍 마투르는 CSO에 “공급업체들은 쉽다고 말한다. 직원이 들어오는 곳에 엣지 보안을 배치하면 된다는 것이다. 그러나 쉽지 않은 일이다. 제로 트러스트의 복잡성은 이제 막 나오기 시작했다”라고 강조했다. 

바로 이것이 제로 트러스트가 절대 언급하지 않는 않는 가장 큰 결함이다. 기업이 제로 트러스트를 도입할 때는 프로세스를 변경해야 한다. 하지만 마투르는 그런 대신 사람들이 당연하게 프로세스를 수정할 것이라고 여기는 경우가 너무 많다고 지적했다. 
editor@itworld.co.kr