[디지털투데이 황치규 기자] 원격 근무 확산 속에 보안 침해 사고가 줄어들 조짐은 여전히 없어 보인다. 충분한 인력과 자원을 갖춘 대기업들도 해킹에 당하는 사례가 쏟아지고 있다. 테크 회사들, 심지어 해킹 막는 기술을 파는 보안 회사들도 해킹에 당했다는 뉴스가 어색하지 않은 요즘이다.

최근에는 우버와  비디오 게임 업체 테이크 투 인터렉티브 소프트웨어 산하 록스타 게임스 조직이 해킹에 당하는 불명예를 뒤집어 썼다.

유명 회사들이 연이어 해킹 공격에 노출되고 있는 가운데, 빅테크 기업들은 점점 아무도 믿지 않는, 이른바 제로 트러스트 아키텍처를 직원들이 회사 밖 다양한 위치에서 다양한 기기들을 통해 회사 시스템에 접근하는 환경에 대응할 수 있는 보안 패러다임으로 보고 있다.

24일(현지시간) 월스트리트저널(WSJ)에 따르면 마이크로소프트, 구글 같은 대형 테크 플랫폼 회사들은 물론 올해 해킹 사고를 경험한 엔비이아, 옥타 같은 기업들 지금 상황에선  제로 스트러스트가 그래도 현실적인 보안 전략이라고 보고, 관련 역량을 강화하고 있다.

제로 트러스트는 명백한 검증(explicit verification), 최소 특권, '사용자가 침해를 당했다는 가정'에 기반한 보안 개념으로 예전처럼 공격자가 네트워크에 들어오는 것을 봉쇄하는데 집중하는 것을 넘어, 들어왔다고 해도 악의적인 행위를 하는 것을 막거나 피해를 최소화하는데 초점이 맞춰져 있다.

코로나 19 상황 이후 원격 근무 환경이 확산되면서 제로 트러스트는 차세대 보안을 상징하는 패러다임으로 부상했다.

마이크로소프트는 올해 여러 대기업들 시스템을 침입한 해킹 그룹인 랩서스(Lapsus$)로부터 공격을 받았다. 이 과정에서 계정 하나가 침해를 당했다. 하지만 회사 차원에서 이를 빠르게 탐지했고 조치를 취했다. 이를 통해 고객 데이터가 유출되는 것은 막았다고 한다.

WSJ에 따르면 마이크로소프트 바수 자칼 보안 담당 부사장은 "피해가 없었던 것은 자체 구현한 제로 트러스트 아키텍처의 결과"라며 "이런 아키텍처가 없다면 공격자는 평균적으로 1시간 안에 시스템 접근 권한을 얻고 민감한 부분에 들어갈 수 있다"고 말했다.

구글도 2009년 중국 정부과 관련돼 있는 해커들이 중국 인권 운동가들이 쓰는 구글 이메일 서비스 계정을 침투하려고 하는 것을 보면서 제로 트러스트로의 전환을 본격화했다.

이후 구글은 비욘드코프BeyondCorp)로 불리는 자체 제로 트러스트 시스템을 구현하기 시작했다. 회사측에 따르면 비욘드코프는 네트워크 위치에 상관 없이 사용자, 기기, 애플리케이션, 서비스들에 걸쳐 모든 구글 IT 시스템들에 적용된다. 이같은 전환은 직원들이 어디서나 가상사설망(VPN) 없이도 쉽게 일할 수 있게 한다고 구글 대변인은 전했다.

마이크로소프트와 구글은  제로 트러스트 보안 역량을 자사 클라우드 서비스를 통해 외부 기업들을 상대로 판매하는 제품으로도 구현했다.

올해 랩서스 해킹 그룹에 해킹을 당한 글로벌 반도체 기업 엔비디아도 사고 이후 제로 트러스트 도입에 속도를 내는 모습이다. WSJ에 따르면 3월 랩서스로부터 공격을 당하기 전 엔비디아는 모피어스 디지털 핑거프린팅 솔루션(Morpheus digital fingerprinting)을 발표했다.

모피어스 디지털 핑커프린팅은 AI를 사용해 일주일에 수천억 개에 달하는 사용자 행동들을 분석하고 사용자가 비상적인 행위를 하는 것처럼 보이는 사례들을 표시한다. 모피어스 디지털 핑커프린팅은 엔비디아가 그전부터 제로 트러스트 보안의 필요성에 대해 인식하고 있었음을 보여준다.

이런 가운데 엔비디아는 랩서스 의해 시스템이 침해당하는 사고를 겪었고 이것은 회사 차원에서 제로 트러스트 도입을 가속화시키는 계기가 됐다. 젠슨 황 엔비디아가 CEO가 제로 트러스트로의 전환을 주도하고 있다.

제로 트러스트 보안은 가능한 많은 접근을 원하는 엔지니어들 입장에서 보면 생산성을 제한하는 것과 같은 단점도 있다. 

이와 관련해 저스틴 보이타노 엔비디아 엔터프라이즈 컴퓨팅 담당 부사장은 "보안과 접근성 사이에서 균형을 맞추는 것은 보안 팀과 직원들 간 끊임 없는 대화를 의미한다"면서 "젠슨 황 CEO는 3월 사고 이후 솔직했다. 직원들은 지금 우리가 나쁜 이들이 우리 네트워크가 있을 수도 있는 새로운 세상에서 살고 있다는 것을 이해하는 듯 보인다"고 전했다.

보안 회사임에도 랩서스로부터 해킹을 당하는 민망한 상황을 겪었던 클라우드 기반 ID 보안 업체 옥타도 사고 이후 제로 트러스트 보안을 확대 적용했다. 옥타는 모든 하도급 업체들에게 옥타가 가진 것과 같은 수준의 보안을 갖추고 있음을 입증하도록 요구하고 있다고 WSJ은 전했다.

제로 트러스트는 보안은 기업들이 운영하는 보안 레이어에 많은 변화를 몰고 오는 만큼, 한번에 다 하겠다는 식보다는 우선순위를 정해 단계적으로 접근하는 것이 현실적이라는 목소리에 힘이 실리고 있다.

골드만삭스 전 CTO인 보에 하트먼은 "소소코드, 다른 지식재산, 고객 정보 같은 중요한 것들을 보호하는 것부터 시작하고 이후 다른 시스템들에 대한 작업을 진행할 수 있다"고 말했다.

그럼에도 제로 트러스트를 향한 도전의 규모는 상당할 수 있다. 멀티 팩터 인증(multifactor authentication: MFA)은 접근을 위한 최전선에 있는 최고 사이버 방어 도구들 중 하나 임에도 22% 기업들만이 MFA를 구현하고 있다고 WSJ이 마이크로소프트 자칼 부사장을 인용해 전했다.

지지자들도 제로 트러스트가 사이버 방어에 있어 완벽한 해결책이 될 수 없다는 건 인정한다.

그럼에도 규제당국과 주주들, 그리고 고객들은 기업 리더들이 해킹과 데이터 침해에 보다 책임 있게 나서기를 요구하고 있고 해커들 또한 그어느 때보다 공격적이고 많은 자원을 갖추고 있음을 감안하면 기업들이 선택할 수 있는 카드는 많지 않다는 지적이다. 엔비디아의 보이타노 부사장은 "네트워크에는 항상 나쁜 사람들이 있다는 것을 가정해야 한다"면서 "질문은 우리 자원과 지식 재산을 어떻게 보호하느냐 하는 것이다"고 말했다.