[디지털투데이 김현우 인턴기자] 제로트러스트(Zero Trust)는 철저한 신원 확인 및 인증 과정을 기반으로 하는 네트워크 보안모델이다.

제로트러스트는 기존의 보안모델이 외부의 적을 차단하는데 집중하던 것과 달리, 기업 네트워크에 접속하려하는 모든 개인의 신원을 검증하는데 초점을 둔다. 인증을 통과해 권한이 부여된 사용자와 디바이스만 애플리케이션 및 데이터에 접속하도록 허용하며, 필요한 만큼의 접근 권한만 허용하는 것이 골자다. 이는 보안 프로그램이나 솔루션뿐만 아니라 기업 보안을 위한 전사적인 관리 프로세스를 일컫는다.

제로트러스트는 코로나19 확산으로 인해 원격·재택 근무가 늘면서 업무 공간이나 기기가 사무실을 벗어나 가정이나 카페 등 다양한 공간으로 확장하며 중요성이 부각됐다. 과거에는 외부 접근만 차단하면 됐지만, 이제는 직원도 기업 외부에서 네트워크에 접속을 시도하는 상황이 잦아졌기 때문이다. 이 때문에 무조건 접근을 차단하는 것이 아니라, 확실한 제로트러스트를 기반으로 철저한 신원 확인 프로세스를 거치는 방향이 새로운 패러다임으로 제시됐다.

인증 과정에는 기본적인 ID와 비밀번호 같은 지식기반 인증뿐만 아니라 OTP(One Time Password: 일회용 비밀번호)나 보안 키 등 소유기반 인증, 지문이나 홍채 등 속성기반 인증이 복합적으로 동원된다. 시스코의 멀티팩터 인증(보안 강도를 높이기 위해 몇 가지 인증수단을 조합해서 사용하는 것)방식인 Duo MFA(Multi-Factor Authentication)는 전화기나 토큰을 이용한 2차 검증을 통해 사용자의 신원이 확인되어야 액세스 권한을 부여하기도 한다.

제로트러스트의 개념은 2010년  존 킨더백(John Kindervag) 포레스터리서치(Forrester Research) 애널리스트가 제안했다. 현재 코카콜라, 구글, 웨스트젯 항공 등 다양한 기업에서 쓰이고 있으며, 미국 하원은 2016년 인사관리국(OPM) 침해사고 이후 모든 정부기관이 제로트러스트를 채택할 것을 권장하고 있다.

제로트러스트 분야의 개척자인 구글은 6년에 걸쳐 기존의 VPN(virtual Private Network: 가상사설망) 및 권한 네트워크 접근 모델에서 자체적인 제로 트러스트 환경인 비욘드코프(BeyondCorp)로 전환했다. 이 과정에서 구글은 직무 역할과 분류에 대한 재정의와 재구성, 앱에 대한 가시성 향상, 사용자 인증 및 접근 제어 정책 개편 등을 거쳤다.

마이크로소프트(MS) 애저 액티브 디렉토리(Azure Active Directory, Azaure AD)는 기업용 ID 서비스를 기반으로 사용자 인증을 지원한다. 계정 하나로 여러 클라우드 애플리케이션 및 데이터에 접속할 수 있는 SSO(Single Sign On)로 사용자가 복잡한 계정과 비밀번호를 외워야 하는 불편함을 줄임과 동시에 지문, 얼굴, 보안 키 등을 통한 멀티팩터 인증을 더해 보안성을 높였다. MS는 지난해 말 미국 정부 기관을 상대로 벌어진 사상 최대의 해킹 공격인 솔라윈즈(SolarWinds)사태에 대한 내부 조사 후, 향후 정보 보안에 '제로트러스트 마인드셋'이 필요하다는 결론을 내리기도 했다.

미국 보안 기업 아카마이(Akamai)는 2010년 애플리케이션 접근 모델에 제로 트러스트 개념을 도입했다. 아카마이의 모델은 모든 애플 리케이션 접근 요청을 검증, 심사한다. VPN도 없고 인터넷에서는 어떠한 애플리케이션도 보이지 않아 직접 접근하는 것이 불가능하다. 공격자가 아카마이의 사용자 계정 접근 권한을 획득하더라도 가할 수 있는 피해를 최소하하기 위해 계정별로 접근가능한 도구와 서비스를 구분했다.

국내 보안 기업 엠엘소프트(MLsoft)는 2018년 한국전자통신연구소의 원천기술을 도입해 제로트러스트 개념의 보안 솔루션인 SDP를 개발했다. 지난해 11월에는 미국 CSA(클라우드 보안연합)에 가입해 기술 확장에 나섰다.

또 다른 국내 기업 프라이빗테크놀로지(Pribit)는 기본적으로 모든 애플리케이션 접속을 허용하지 않은 상태를 유지하되 사용자별 접속 가능한 애플리케이션과 목적지 네트워크를 개별 지정해 허용하는 접속 제어 기술을 개발했다. 이는 OSI 7 계층(충돌 문제 완화를 위해 국제표준기구에서 표준화한 네트워크 구조)에 특수 계층을 추가하는 방식이다. 프라이빗테크놀로지는 지난 1월 이 기술에 대한 10건의 특허 출원을 완료했고, 글로벌 진출에도 나설 계획이다.

[사진: 셔터스톡]

지난해 8월 MS는 제로트러스트가 산업 보안의 표준 모델로 자리잡게 될 것이라는 전망을 내놨다. MS가 500명 이상의 직원을 둔 인도, 독일, 영국 및 미국의 기업 리더 약 800명을 대상으로 설문 조사를 실시한 결과, 기업의 94%가 사이버 보안 강화 대책으로 제로 트러스트 모델을 구축 중에 있었으며, 그 중 51%는 제로 트러스트 역량 구축에 속도를 내고 있다고 답했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사