IT 분야는 특히나 유행에 민감하다. 트렌드가 바뀌면 민첩하게 옷을 갈아입고, 해당 분야 전문업체라고 목소리를 높인다. 대체로 3년마다 이런 물결이 반복된다. 때문에 고객들은 이들을 양치기 소년처럼 바라보기도 한다.

현 시점 보안 핵심 트렌드는 단연코 ‘제로 트러스트’이다. 항간에서는 제로 트러스트, AI보안 키워드가 포함되어야만 투자가 성사된다는 말이 나오기도 한다. 그러나 필자를 포함한 많은 이들은 ‘제로 트러스트’ 보안체계의 정의에 대해 쉽게 설명하지 못한다.

과연 ‘제로 트러스트’ 보안 트렌드는 내년이면 아무도 모르게 잊힐 신기루일까, 아니면 향후 10년간 길게 이어져 나갈 보안의 오아시스일까?

먼저 ‘제로 트러스트’ 보안체계가 탄생하게 된 배경부터 생각해본다.

IT보안분야가 직면하고 있는 가장 중요한 도전은 ‘클라우드 컴퓨팅’ 환경의 확대이다.

클라우드 컴퓨팅은 언제, 어디서든 원하는 서비스에 접근할 수 있는 기술이다. 사용자들은 이를 통해 업무 효율성을 확보한다. 서비스 자원추가가 필요할 경우 즉각적으로 조정하여 추가 용량을 확보할 수 있으며, 시스템 형상도 최신환경으로 손쉽게 유지할 수 있다는 장점이 있다.

‘클라우드 컴퓨팅’은 위와 같은 강점을 바탕으로 ‘퍼블릭 클라우드’ 혹은 ‘프라이빗 클라우드’로 향후에도 더욱 더 영향력을 넓혀갈 것임에는 의심의 여지가 없다.

그러나 보안관점에서의 ‘클라우드 컴퓨팅’은 우리에게 반드시 해결해야 할 만만치 않은 숙제를 남겨 주기도 한다. 클라우드 환경으로 전산인프라를 이전하면 보안 수준이 크게 높아진다는 말이 있다. 이는 사실이 아니다. 컴퓨팅 인프라가 사내가 아닌 회사 바깥에 있기에 오히려 개인정보 유출통제, 감사증적 확보, 인증 및 신분증명 측면에서 도전적인 문제를 야기한다.

보안담당자는 회사 밖에서 사내기밀정보가 열람될 경우 정보유출 방지를 위해 면밀하게 통제해야 할 필요가 있다. 외부 단말에 고객 개인정보가 다운로드 되는 일도 반드시 차단해야 할 것이다.

클라우드 서비스에 접속한 사용자의 세부 접속기록을 확보하는 일도 내부시스템과 비교했을 때 결코 쉬운 일이 아니다. 외부 접속자의 신원확인 절차는 철저하게 처리되어야 하며, 외부 단말은 악성코드 감염에 취약하기에 차단대책 역시 강화되어야 한다. 악성코드에 감염된 단말이 서비스에 접근하더라도 시스템은 무너지지 않아야 한다.

회사 외부로부터의 접근은 아무것도 믿을 수 없다는 ‘신뢰제로(Zero Trust)’ 전제에서 시작되어야 한다.

이러한 흐름 속에서 ‘클라우드 컴퓨팅’에 대한 보안전략을 재정의해야 할 필요성이 적극적으로 대두되었다. 그 결과물이 ‘제로 트러스트’ 보안체계이다.

현재 ‘제로 트러스트’는 미국 정부에서 적극적으로 추진하고 있다. 미 정부 역시 자국 공공시스템에 클라우드 인프라를 적극적으로 접목해온 것으로 알려져 있다.

‘제로 트러스트’는 보안기업에 따라, 이해관계에 따라 다양한 입장을 표방하고 있으며, 널리 받아들여지는 개념 중 하나는 ▲인증, ▲디바이스, ▲네트워크, ▲애플리케이션, ▲데이터 등 총 5가지 축을 기반으로 지속적으로 보안 성숙도를 높여가는 것이다.

예를 들면 ▲백그라운드에서 지속적으로 본인여부를 확인하는 강화된 인증 ▲네트워크 영역 세분화(마이크로 세그멘테이션, 망분리, 소프트웨어 정의 네트워크) ▲네트워크 이상행위 분석 ▲개인정보 및 기밀정보 유출통제 조치 ▲행위기반 악성코드 통제 ▲단말 및 서버 가상화 등이 ‘제로 트러스트’기반 기술에 해당된다.

사실 새로운 것은 없다. 보안분야에서 수년 전부터 대두되어왔던 것들이 대다수이다. 결국 개별적으로 논의되던 기술이 ‘클라우드 컴퓨팅’ 시대에 들어와 체계적으로 정리된 것이 ‘제로 트러스트’ 보안체계라고 할 수 있다.

‘제로 트러스트’ 시대에는 기존에 없었던 전문 보안 솔루션이 탄생하기도 할 것이다. 그러나 대부분 기존 보안 솔루션에 ‘제로 트러스트’ 관점을 입혀 성장하게 될 것이다. 제품을 도입하는 기업/기관 입장에서는 ‘제로 트러스트’관점에서 보안 솔루션을 ‘오케스트레이션’하는 것이 주된 과제가 될 것이다. 업무 특성에 따라 선제적으로 도입해야 할 솔루션도 달라질 것이다.

‘제로 트러스트’를 향한 여정은 멀고 험난할 것이다. 현실은 사내 중요한 개인정보가 어디에 얼마나 있는지 전수검사도 제대로 못하고 있는 것이 현재 보안수준이기 때문이다. 업무PC가 몇 대인지, 외부반출 노트북이 몇 대 인지, 단말 자산파악도 제대로 되지 않는 곳도 있다는 것이 보안의 불편한 진실이다.

‘제로 트러스트’ 체계 도입에 적극적인 미국 국방부 역시 이를 위해 5~10년정도의 기간을 두고 성숙도를 높여가고 있다. 결국 모든 것은 투자여력과 전문인력 문제로 귀결되기도 한다. ‘제로 트러스트’ 보안을 위해서는 경영진, 더 나아가서는 CEO의 적극적인 관심과 투자가 필수적일 수밖에 없는 이유이다. [글. 김대환 소만사 대표이사]

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★