Offcanvas

보안

블로그ㅣ’제로-트러스트’ 과장광고 구별법

2022.08.31 Christopher Burgess  |  CSO
‘제로 트러스트’는 제품이 아니라 심층 방어(Defense in Depth; DiD) 및 최소 권한 액세스(Least-privileged access) 개념을 기반으로 하는 보안 방법론이다. 

필자의 눈에는 제로 트러스트와 그 구현에 관해 모두가 ‘유행어 빙고(buzzword bingo)’를 하는 것처럼 보이며, 이는 美 정부의 지침에서 시작됐다고 생각한다. 

모든 연방기관과 부서가 관리예산국(OMB; Office of Management and Budget)의 ‘연방 제로 트러스트 전략(Federal Zero Trust Strategy)’으로 전환해야 한다는 지난 1월 백악관의 발표는 실용적이면서도 야심에 차 있었다. 정부는 로그4j 취약점을 예로 들면서, “이 제로 트러스트 전략을 통해 기관들이 이러한 유형의 위협을 더 신속하게 탐지, 격리, 대응할 수 있다”라고 밝혔다. 

하지만 제로 트러스트 전략이 성공하려면 이를 구현하는 사람들이 ‘제로 트러스트 전략이 무엇인지’, ‘제로 트러스트의 기본 원칙은 무엇인지’를 제대로 이해해야 한다.  
 
ⓒGetty Images Bank

제로 트러스트가 새로운 것인가? 
트렐릭스(Trellix)의 수석 엔지니어 겸 취약점 연구 책임자 더글라스 맥키는 글로벌 보안 컨퍼런스 블랙햇(Black Hat)에서 ‘심층 방어’와 ‘최소 권한 액세스 원칙’이 새로운 유행어인 제로 트러스트의 이면에 있는 핵심 요소라고 말했다. 

그에 따르면 비즈니스 운영팀과 협력하는 CISO는 현업이 업무를 원활하게 수행할 수 있도록 필요한 정보 액세스를 조정해야 한다. CISO에게 필요하지 않은 것은 (현업이) 필요하지 않을 때도 방해 없이 계속해서 정보에 액세스하는 것이다. 

이를 막기 위해서는 기업 생태계 전반의 요구사항을 지속적이고 동적으로 모니터링해야 한다. 개인의 역할이 변경되면 요구사항도, 허용된 액세스도 조정돼야 한다. 직원이 그만두면 (해당 직원에게 허용됐던) 액세스도 중단돼야 한다. 말은 쉽지만 많은 엔티티에서 (이를) 달성하기란 어려운 일이다. 

코드42(Code42)의 CEO 조 페인은 “프로세스와 절차(예: 웹 기반 스토리지에 로드)에서 벗어날 경우 즉시 수정될 수 있도록, 직원들이 신뢰할 수 있는 방식으로 업무를 수행하게끔 지원해야 한다”라고 언급했다. 

최소 권한 액세스 없이 제로 트러스트가 존재할 수 없다
바로 거기에 문제가 있다. CISO가 최소 권한 액세스 원칙을 시행하지 않는다면 액세스가 허용되고 승인되기 때문에 경계를 벗어나는 모험을 할 필요가 없다. 수영 레인(개인에게 허용된 접근 권한)에 머무르는 직원의 정보 탈취를 감지하기가 어렵다. 즉, 직원이 모든 기업 프로세스와 절차를 따르고, 자연스럽게 액세스할 수 있는 곳에만 접근하면 거의 처벌받지 않고 정보를 확보(탈취)할 수 있다는 것이다. 

제로 트러스트 인식 문제
제로 트러스트는 유행어 이상으로 더 복잡하다. 이그레스(Egress)의 제품 관리 부문 부사장 스티브 말론은 “안타깝게도 제로 트러스트에는 약간의 인식 문제가 있다. 벤더의 잘못된 표현으로 인해 구매자가 오해를 하고 있다. 제로 트러스트에 관해 이해해야 할 가장 중요한 사항은 제품이 아니라는 점이다. 제로 트러스트는 보안 방법론이다. 다시 말해, 기업이 IT 환경 전반에 걸쳐 정의하고 채택해야 하는 기술 및 모범 사례의 프레임워크다. 건강한 편집증이라고 생각해야 한다”라고 설명했다. 

‘건강한 편집증’은 모든 사람을 방심하지 않도록 하는 동시에 정보가 어떻게 액세스되고, 이동되며, 저장되는지에 초점을 맞추도록 한다. 이러한 사고방식이 C-레벨부터 개별 기여자까지 받아들여져야 구축 및 운영에서 어려움을 겪지 않을 수 있다. 

단일 제품으로 제로 트러스트를 구현할 수 없다
이어 말론은 “제로 트러스트 전략을 구현하는 데 어려움을 겪는 기업들이 있다. 개인적으로 목격한 가장 큰 실수는 보안팀이 진정한 ‘제로 트러스트 접근’의 의미를 오해한 것이다. 문제에 ‘빠른 수정’을 제공하기 위해 여기저기서 개별 보안 솔루션을 사용하여 제로 트러스트를 달성하고 있다고 믿는다. 하지만 제로 트러스트는 개별 솔루션을 구축하는 것 그 이상이다”라고 지적했다. 

그는 “멋진 이름에 속지 않아야 한다. 제로 트러스트는 단순히 또 하나의 유행어도 아니고 단일 제품도 아니다. 이는 중요한 보안 이니셔티브다”라고 덧붙였다. 

인력, 프로세스, 기술의 중요성은 아무리 강조해도 지나치지 않다. 이는 전략적으로 최소 권한 액세스 원칙과 심층 방어를 구축하는 데 있어 핵심 요소다. 그렇다. 보편적이고 교과서적인 제로 트러스트 구현은 존재하진 않지만 제로 트러스트 원칙은 존재하며, 신뢰는 성공적인 제로 트러스트 전략에 필수적이다. (해군에서 말하듯) 신뢰가 없으면 침몰하기 마련이다. 

* Christopher Burgess는 시스코의 前 수석 보안 고문이며, 데이터 및 보안 분야의 여러 스타트업에서 CEO/COO를 역임했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.