본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

CNS Tech

아무것도 신뢰하지 않는 보안 전략, ‘Zero Trust’

2022.06.02

제로트러스트(Zero Trust)는 ‘아무것도 신뢰하지 않는다’는 것을 기본 전제로 삼는 보안 개념입니다. 2010년, 세계 3대 리서치 기업 중 하나인 포레스터 리서치의 분석가 존 킨더백(John Kindervag)이 기업 내 보안 및 액세스 컨트롤을 설명하기 위해 사용하면서 주목받기 시작했죠.

전통적인 보안 시스템은 액세스 지점에서 신뢰하는 사용자나 단말기를 (내부 네트워크) 인식해 권한을 확인합니다. 반면, Zero Trust는 신뢰하는 내부자나 단말기의 여부와 상관없이 철저하게 검증하고 권한을 부여한 뒤에도 접근 범위를 최소화합니다. 

Zero Trust는 한동안 추상적이고 신선하지 않은 개념으로 여겨졌습니다. Zero Trust 실현에 필요한 시스템 중 하나인 싱글 사인 온(Single Sign On, SSO)은 90년대에 개발된 기술로, 단 한 번 로그인해 여러 서비스에 액세스 할 수 있게 합니다.새로운 영역에 있는 기술이 아니기 때문에 이미 SSO를 도입한 조직 입장에서 Zero Trust라는 개념은 신선하지 않게 느껴질 수밖에 없었죠.

그러나 Zero Trust 개념을 준수하려면 보안 체계를 새롭게 설계하거나 재구축해야 할 가능성이 높습니다. 기존 사용자와 단말기에 대한 신뢰를 바탕으로한 보안 아키텍처에서 아무것도 신뢰하지 않는 구조로 넘어가기 위해서는 새로운 사고방식과 도구, 방법론이 고려돼야 하기 때문이죠. 하지만, 당장 큰 문제가 발생하지 않는 상황에서 새로운 보안 아키텍처를 고민하는 것은 쉽지 않은 일이었습니다.

이런 인식은 코로나19 팬데믹 이후 급속도로 바뀌었습니다. 실제로 심각한 보안 문제가 발생했으며, 이러한 보안 문제가 더 이상 먼 이야기가 아니라는 위기감이 조성되었기 때문입니다. 이번 글에서는 주요 사례를 통해 Zero Trust가 해법이 된 이유와 Zero Trust의 전망에 대해서 살펴보겠습니다.

코카콜라의 영업비밀 도난 

지난 2018년, 중국계 과학자 샤논 유(Shannon You)는 약 1억 2,000만 달러 가치의 영업 비밀을 훔친 혐의로 코카콜라 컴퍼니로부터 미국 법무부에 고발됐습니다. 그녀는 코카콜라의 주요 엔지니어였는데요. 중국의 천인계획*에 지원하면서 류 샹첸이라는 공모자와 접촉했고, 샹첸이 그녀에게 회사의 주요 기밀에 접근을 요구하면서 벌어진 사건이었습니다.

*천인계획: 중국정부가 전 세계에서 첨단 과학과 기술 인재를 확보하고자 했던 계획이나, 주로 기술을 훔치는 통로로 사용됨 

샤논 유가 영업 비밀을 훔친 방법은 간단했습니다. 그녀는 영업 비밀이 담긴 파일을 구글 드라이브에 업로드했고, 일부는 스마트폰 카메라로 촬영해 구글 드라이브에 보관했습니다.

이후 화학업체인 이스트만 케미컬 컴퍼니(이하 이스트만)의 패키징 애플리케이션 개발 매니저로 고용된 샤논은 똑같은 수법으로 회사 정보를 빼돌리려다 발각됐고, 그 결과 코카콜라에서의 범행도 밝혀지게 됐습니다.

코카콜라와 이스트만의 결정적인 차이는 바로 ‘지속해서 수행하는 보안 활동’의 유무였습니다. 코카콜라는 그녀에게 주요 정보를 보유하지 않는 대가로 3만 9,912달러를 제공했고, 일련의 보안 절차에 따라서 모든 권한을 열어줬습니다. 반면, 이스트만은 영업 비밀에 접근할 수 있는 중요 직원으로 그녀를 채용했으나 ‘누구도 신뢰하지 않는 보안 체계’ 아래 정보를 외부로 옮기는 수상한 행동을 지속해서 탐지했죠. 그 결과, 의문점이 생긴 즉시 해고 및 고발 절차를 진행할 수 있었습니다. 고액의 보상보다 기초적인 보안을 강화하는 것이 보안 사고를 막는데 더 효과적이었던 겁니다.

도난당한 정보가 끝내 중국으로 옮겨지진 않았기에 실질적인 피해는 없었지만, 전통적인 보안 아키텍처에서는 언제든 비슷한 사고가 일어날 수 있다는 경각심을 불러온 사건이었습니다.

Zero Trust 이해하기

글로벌 시장조사기관 리서치 앤 마켓은 사내 방화벽과 VPN(Virtual Private Network)에만 의존하는 조직은 보안 경계 측면으로 침투하고 이동하는 사이버 범죄자의 위협에 취약할 것이라고 지적했습니다. [1]

그렇다면 사이버 범죄자는 어디에 있을까요? 위의 코카콜라 사례처럼 가장 위험한 것은 바로 내부자입니다. 2019년, 가트너 보고서에서도 2025년까지 클라우드 보안 문제의 원인 중 99%는 제공자가 아닌 사용자일 것이라고 지적합니다.국내 상황도 마찬가지인데요. 산업통상자원부와 경찰청에 따르면, 2017년부터 2021년 6월까지 약 5년간 유출된 영업 비밀 527건 중 71%가 내부자가 외부로 유출한 것으로 밝혀졌습니다. 특히, 중소기업의 피해가 91.4%로 가장 높았고, 평균적으로 연간 1,840만 달러를 보안에 지출하는 대기업 피해도 8.6%로 집계됐다는 것에 주목할 필요가 있습니다. [2]

가트너는 ‘클라우드가 안전한가?’에서 ‘클라우드를 안전하게 사용하고 있는가?’로 질문을 바꿔야 한다고 지적하며, 동시에 ‘지나친 두려움은 부적절한 지출로 이어질 수 있다’고 이야기합니다. 실제로 많은 기업이 클라우드 전략을 이행함에 따라, 세계적으로 클라우드 보안 지출은 매년 가파르게 증가하고 있습니다.

2019년, 보안업체인 어택아이큐™가 발표한 포네몬 연구소의 조사에 기반한 보고서를 보면 IT 및 IT 보안을 담당하고 있는 577명의 응답자 중 53%가 기업 내 구축한 보안 솔루션이 제대로 작동하고 있는지 정확히 모른다고 답했습니다. 더군다나 63%는 공격을 차단하지 못한 것을 확인했다고 밝혔는데요. 그런데도 58%의 기업은 보안 예산을 단 14% 높일 계획이라고 밝혔습니다. [3]

어택아이큐™ 발표 보고서

현재 사용 중인 보안 솔루션이 효과적인지 파악할 수 없어서 나타나는 불안을 다른 도구의 추가로 해결하려다 보니, 효과 대비 비용만 늘어나는 상황인데요. 실제 조사 기업들은 평균 47개의 서로 다른 보안 솔루션 및 기술을 사용하는 것으로 나타났습니다. 어택아이큐™ CEO 브렛 갤러웨이는 “기업들은 사이버 보안 솔루션이 얼마나 효과적인지 알지 못한 채 너무 큰 비용을 지출하고 있다.”라고 지적했습니다.

그렇다면 Zero Trust는 내부자 위협을 제거하면서 보안 비용을 절감할 수 있을까?

포레스터 리서치가 마이크로소프트의 Zero Trust 솔루션을 토대로 조사한 보고서에 따르면, VPN에 의존한 레거시 솔루션을 사용한 보안과 비교해 Zero Trust는 92%의 투자 대비 수익률(ROI)을 달성한다고 밝혔습니다.또한, 보안 강화로 데이터 침해 위험이 50% 감소한 것으로 나타났는데요. 특히, 악의적인 내부자로 인한 데이터 침해 가능성이 줄어들었다고 덧붙였습니다. Zero Trust를 통해 비용 절감 및 내부 위협 대응을 함께 실현한 것이죠. [4]

Zero Trust를 통한 비용 절감

Zero Trust가 화두가 된 이유

디지털 트랜스포메이션의 가속화와 코로나19 팬데믹에 따른 원격근무 증가로 인해 Zero Trust는 화두로 떠오르게 됐습니다.

BYOD(Bring your own device)는 2009년부터 인텔(Intel)이 공격적으로 사용하면서 유명해진 개념입니다.직원 개인 단말기의 업무 사용을 개념화한 것으로, 개인 단말기를 어디까지 지원해야 하는지, 어떻게 권한을 부여해야 하는지에서 시작됐습니다. 당시에는 단말기가 기준인 탓에 별도 애플리케이션을 단말기마다 설치하거나 보안 컨테이너로 대응하는 방안이 유행이었는데요. 개인 단말기의 퍼블릭 클라우드 사용이 증가하면서 Zero Trust가 거론됐습니다. 

하지만 기업의 디지털 전환이 더딘 상황이었고, 대다수 직원이 퍼블릭 클라우드를 사용 중인 건 아니었기에 기업들은 BYOD를 통한 단말기 관리에 더 집중했습니다. 그래서 법인이 단말기를 따로 제공하는 CYOD(Choose Your Own Device) 방식으로 옮겨갈 뿐, Zero Trust는 클라우드로 전환하는 일부 기업만을 위한 것으로 여겨졌죠.

그러나 단말기만 관리하는 방식으로는 클라우드로 확산하는 위협까지 막을 수 없었습니다. 단말기를 지급해도, 심지어 원하는 단말기를 선택하게 해도 직원들은 개인 단말기를 업무에 사용하길 원했습니다. 원론적으로는 BYOD나 Zero Trust가 설명하는 개념은 크게 다르지 않습니다. 단말기가 중심이냐, 클라우드가 중심이냐의 차이죠. 

결과적으로 DX가 가속하면서 클라우드 채택이 증가했고, 코로나19 팬데믹은 이를 더욱 가속했습니다. 

어떤 단말기를 쓰느냐가 아니라 어느 단말기라도 보안 경계에 포함할 수 있어야 한다는 인식이 자리 잡게 됐죠. 마침내 클라우드가 단말기보다 더 중요한 지점이 되면서 Zero Trust가 부상하게 된 겁니다.

기업은 클라우드 제공자가 보안 문제를 해결해 주리라고 믿었지만, 내부 위협은 클라우드 제공자가 해결할 수 있는 영역이 아니었습니다. 그래서 내부 위협을 고려한 보안 전략에 Zero Trust를 비롯한 온갖 기술과 도구, 솔루션을 포함해 비용만 증가시키는 결과를 낳게 됐습니다.

오늘날 기업이 DX를 실행하려면 오래된 레거시 기술을 벗어날 필요가 있으며, 그 실마리를 개념화한 것이 바로 Zero Trust입니다. 구글과 같은 글로벌 기업은 물론, 미국 정부도 Zero Trust를 도입하기 위한 움직임을 보이고 있습니다.

구글의 VPN 탈출 프로젝트

2011년, 구글은 임직원이 VPN을 사용하지 않고, 외부 네트워크에서 업무를 수행할 수 있게 지원하는 목적의 사내 프로젝트를 시작했습니다.

기존 보안에서 원격근무에 보편적으로 사용한 것은 VPN이었습니다. 하지만, 외부에서 내부로 연결하는 과정의 보안 취약성은 해결할 수 없었는데요. 원격근무 수를 제한하는 원시적인 방법이 나을 정도였습니다. 하지만 직원들의 원격근무 요구가 코로나19 팬데믹 이전부터 계속 있었기에 때문에 VPN 사용으로 발생하는 문제를 어떻게 해결할 수 있을지 고민한 것이었죠.

구글에서 진행한 VPN 탈출 프로젝트의 원칙은 세 가지였습니다. ‘①서비스에 대한 액세스는 연결하는 네트워크에 의해 결정돼서는 안 된다’, ‘②서비스 액세스 권한은 사용자와 단말기의 컨텍스트 요소를 바탕으로 제공돼야 한다’, ‘③서비스에 대한 액세스는 모두 인증, 승인, 암호화를 거쳐야 한다’. 구글은 액세스 제어 기능을 네트워크 경계가 아닌 개별 사용자로 이전하고, 계층화된 보안 접근 방식으로 끊임없이 검증했습니다. 구글은 이를 10년 동안 회사 내부에서 테스트했고, 현재 대부분의 구글 직원은 VPN 없이 외부 네트워크에서 업무를 수행하고 있습니다.

미국 정부의 Zero Trust 계획 

2021년 5월 발표된 미국 대통령의 행정명령의 주요 구성요소 중 하나는 Zero Trust였습니다. 2024년 9월까지 Zero Trust를 이행할 계획으로 정부 기관의 클라우드 활용 비중을 높이던 중, 중국 기반의 APT41 등 공격 집단의 공격이 증가하면서 정부 차원에서 새로운 보안 정책과 원칙이 필요했습니다.

행정명령에 따르면, “제로트러스트 아키텍처 (ZTA: Zero Trust Architecture)는 사용자가 작업을 수행하는 데에 필요한 최소한의 액세스만 허용해 단말기가 보안 위험으로 손상돼도 공격을 억제할 수 있다. Zero Trust 모델은 침해가 불가피하거나 이미 발생할 가능성이 크다는 걸 가정하고, 필요한 것만 접근하도록 지속적, 동적으로 제한해 변칙적이거나 악의적인 행동을 찾는다.”라고 정의합니다. 프라이빗 클라우드, 퍼블릭 클라우드, 온프레미스가 뒤섞인 인프라에서 기존 보안 정책을 유지하는 건 불가능하다고 판단한 것이죠. 

국가 원수가 직접 Zero Trust를 주요 사안으로 제시한 것은 기업 차원에서도 Zero Trust 도입을 고려해야 한다는 방증입니다.

Zero Trust 효과 및 단점

Zero Trust 도입으로 얻을 수 있는 효과는 비용 절감과 가시성 향상입니다. 그러나, Zero Trust 도입이 이러한 장점을 극대화하는 건 아닌데요. Zero Trust 솔루션조차 기존 도구에 Zero Trust개념을 접목했다는 것이지, Zero Trust 개념의 새로운 도구를 만들었다는 의미가 아니기 때문입니다.

처음 Zero Trust가 소개됐을 때 대다수 반응은 ‘새롭다’라기 보다는 ‘기존 보안에 요소를 추가한 것 아닌가?’였습니다. 대부분의 방법론이 그러하듯 기존에 있던 개념을 사용하면서도 정작 이를 활용하려면 모든 걸 바꿔야 하는 것처럼, Zero Trust가 기존 보안과 다른 해결책이라는 인식으로 전환되기까지 오랜 시간이 걸렸습니다. 분명 기존 보안으로도 Zero Trust는 실현할 수는 있습니다. 단지 초세분화를 위한 도구와 확보하기 어려운 가시성으로 인해 모니터링 보안 인력의 시간과 비용이 들 뿐이죠.

즉, Zero Trust의 단점이라는 건 Zero Trust 도입 자체를 의미하며, Zero Trust 솔루션은 이러한 단점을 해결하는 데에 초점을 두는 것입니다. 보안 문제 해결과 함께 오래된 레거시 기술을 걷어내 비용 절감을 달성할 수 있다는 목표가 Zero Trust의 본질적인 효과입니다.

[출처]

1. https://www.researchandmarkets.com/reports/5239565/zero-trust-security-market-growth-trends 
2. https://www.hankookilbo.com/News/Read/A2021091914330003729
3. https://attackiq.com/lp/ponemon-study/
4. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWRIEi?culture
5. https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

글 ㅣ LG CNS 기술전략팀(정보기술연구소)

챗봇과 대화를 할 수 있어요