[디지털투데이 황치규 기자]제로 트러스트는 최근 사이버 보안 시장에서 가장 중량감 있는 키워드 중 하나로 통한다. 하지만 커버하는 범위가 넓다 보니 개념은 알거 같은데, 디테일로 넘어가면 애매모호한 구석 및 오해도 있다는 지적이다.

최근 SDX센트럴 보도를 보면 아카마이 테크놀로지스의 로버트 블루모페 CTO는 제로 트러스트를 둘러싼 오해를 3가지로 요약한다.

그에 따르면 첫번째 오해는 제로 트러스트는 사람들을 신뢰하지 않는다는 것이다.

제로 트러스트에는 어쩔 수 없이 부정적인 뉘앙스가 풍긴다. 단어 자체에 어떤 것도 신뢰하지 않는다는 의미가 들어 있어서다.

직원들 입장에선 회사가 자신들을 더 이상 신뢰하지 않는다고 생각할 수도 있다.

블루모페 CTO는 "제로 트러스트라는 단어를 좋아했던 적이 없었다. 제로 트러스트는 회사가 나와 회사 데이터를 회사에 심각한 피해로 이어지는 의도하지 않은 에러들로부터 보호하기 위한 보안을 적용했다는 것을 의미한다"고 말했다. 이어 "제로 트러스트는 또한 안전한 네트워크 같은 것들은 없다. 모든 엔터프라이즈 트래픽은 검사되고 통제되어야 한다는 것을 의미한다"면서 :조직들은 모든 엔드포인트들을 확인하고 엔드포인트들 간 모든 커뮤니케이션을 통제할 필요가 있다"고 말했다.

블루모페 CTO가 꼽은 두번째 오해는 제로 트러스트는 복잡하다는 것이다. 그에 따르면 제로 트러스트는 2가지 핵심 요소들에 기반하는 단순한 보호 모델이다. 최소 특권 원칙( principle of least privilege)과 모든 사용자들과 기기들을 강력하게 확인하는 것이 바로 그것이다.

블루모페 CTO는 "제로 트러스트 보안 상태로 가는 길에 속도를 내려면 보안과 접근성은 모두 중요하다"고 강조했다.

그에 따르면 조직들은 2가지 기반 기술를 갖고 제로 트러스트 여정을 시작한다. 제로 트러스트 네트워크 액세스(zero-trust network access: ZTNA)와 마이크로세그먼테이션(Microsegmentation)이다.

ZTNA는  데이터센터와 데이터센트 외부 통신에서 오가는 이른바 노스-사우스(North-South) 트래픽을 통제하고, 마이크로세그먼테이션은 기존 방화벽은 네트워크 내에서 수평으로 이동하는 이스트 웨스트 트래픽(east west traffic)를 통제하는데, 조직들은 모든 트래픽을 통제할 필요가 있다는게 블루모페 CTO 설명이다.

ZTNA와 마이크로세그먼테이션 외에 엔드포인트 확인, 싱글사이온(SSO), 멀티 팩터 인증(multi-factor authentication: MFA), 아이텐티티&접근 관리(identity and access management: IAM) 등 다른 컴포넌트들도 제로 트러스트를 지원한다. 이들 솔루션 모두 조직들이 어느 접근이 허용되어야 하는지 결정할 수 있게 해준다.

블루모페 CTO는 제로 트러스트는 원격 접속에만 필요하며, 전통적인 기업 네트워크는 여전히 안전하다는 인식을 마지막 세번째 오해로 꼽았다.

그는 "사무실에서 이뤄지는 것을 포함해 모든 접속은 원격 접속으로 다뤄져야 한다"면서 직원들과 사용자들은 결코 애플리케이션과 같은 네트워크에 있지 않다는 것이 개인적인 신념"이라고 주장했다. 나아가 그는 "모든 사무실은 뛰어난 와이파이를 가진 개인 커피숍으로 생각되어야 한다. 나는 결코 애플리케이션과 같은 네트워크에 있지 않다.  따라서 원격 접속 메커니즘을 통해서만 애플리케이션에 접근할 수 있다. 이 모델에서 제로 트러스트 접속 아키텍처는 모든 접속이 관리되고 안전하다는 것을 보장하는데 도움이 된다"고 말했다.