"제로트러스트 개념을 처음 공식화한 미국 NIST(국립표준기술연구소)가 4가지 방식의 아키텍처(구조도)를 제시했음에도 국내에선 유독 특정 방식의 제로트러스트만 고집한다. 복잡하지 않고, 가볍고 쉽게 제로트러스트를 구축하는 기술에도 주목할 필요가 있다."
정보보안 전문기업 소프트캠프(1,514원 0.00%)를 이끌고 있는 배환국 대표의 얘기다. 지난해부터 정부·학계 및 공공기관을 중심으로 '제로트러스트'라는 보안 패러다임이 주목을 받아왔지만 정작 제로트러스트 시스템으로의 전환을 완료했다는 곳은 눈에 잘 띄지 않는다. 으레 복잡하고 어려운 목표라는 오해 때문이라는 게 배 대표의 설명이다.
제로트러스트(Zero Trust)는 말 그대로 '아무도 믿지 말라'는 의미다. 기존에는 모든 직원이 같은 물리적 공간에 모여서 일했기 때문에 기업의 정보자원을 보호하기 위한 각종 보안 솔루션도 외부로부터 내부로의 침입을 방지·예방하는 데만 집중하면 됐다. 그러나 디지털전환의 확산과 ICT(정보통신기술)의 발달, 뭣보다도 코로나19 대유행으로 재택·원격 근무가 공공·민간에 확산되면서 얘기가 달라졌다. 물리적으로 공격을 막아주던 벽을 허물 수밖에 없었고 이같은 틈을 노린 공격이 급증했다. 기업 내부자 정보를 다크웹에서 사서 기업 시스템에 접속하고 여기에 악성코드를 심어 시스템을 마비시킨 후 몸값(Ransom)을 받아내는 랜섬웨어 공격도 이 시기 급증했다. 정보자원 보호를 위한 새로운 방식을 고민해야 했던 것이다.
배 대표에 따르면 NIST가 구상한 제로트러스트 아키텍처는 '이용자'(공격자), 보호 대상인 기업의 '정보자원', 그리고 이용자와 정보자원간 정보교류를 허용·거부할지를 판단·실행하는 '정책 결정·집행 시스템'으로 나뉜다. 이 정책 결정·집행 기능을 이용자 단말기 및 기업의 IT시스템, 정보자원 등에 어떻게 설치·운용할지에 따라 또 다시 여러 방식으로 나뉜다. 간단히 설명하면 이용자-정보자원 사이의 각종 시스템·단말기에 얼마나 많은 검증 포인트를 설치하는지의 차이가 있다.
배 대표는 "국내에서는 이용자 단말, 기업 내부 시스템, 정보자원 모두에 검증 포인트를 설치해야 하는 방식만 제로트러스트인 것처럼 알려졌다"며 "클라우드플레어, 지스케일러 등 글로벌 보안기업들은 시스템 전부를 대대적으로 고쳐야 하는 방식 외에도 RBI(원격 브라우저 격리)나 IAP(웹 기반 신원 중심 접근제어) 등 다양한 방식을 모두 운용하고 있다"고 했다.
소프트캠프의 솔루션은 이 중 RBI와 IAP를 혼용한 방식으로 분류된다. 이용자와 정보자원 사이에 격리된 웹 브라우징 시스템을 둔다. 이용자가 직접 정보자원에 접촉하지 않고 웹 브라우징 스트리밍 방식으로 정보를 '열람'하는 방식이다. 이용자가 정보자원을 감염시킬 가능성도, 반대로 이미 오염된 정보자원이 이용자를 감염시킬 가능성도 이 중간 웹 브라우징 시스템에 의해 차단된다. 이 중간 시스템에서 기업 정보자원으로 통신이 이어질 때 신원인증 시스템을 두는 방식이다.
배 대표는 "RBI와 IAP 방식을 혼용한 '실드게이트'는 시스템 전부를 건드리지 않고도 제로트러스트 구현이 가능하다"며 "기존의 네트워크와 시스템 전부를 건드리는 데 부담을 느꼈던 국내 한 대규모 공공기관이나 대형 제조사 등이 우리 솔루션으로 PoC(기술검증)를 계획한 것도 쉽고 간편하다는 데 매력을 느꼈기 때문"이라고 했다.
한편 소프트캠프는 올 한 해 과학기술정보통신부, KISA(한국인터넷진흥원) 주도로 진행된 '제로트러스트 보안 실증사업'에 SGA솔루션즈, 지니언스, 에스지엔 등과 함께 컨소시엄을 구성해 참여했다. 넷마블, NHN클라우드, 예스티, 부동산114 등을 대상으로 진행한 제로트러스트 실증사업의 성과는 내달 공개된다. 배 대표는 "내년에는 좀 더 다양한 방식의 제로트러스트 기술들이 소개될 것"이라며 "기업·기관 고객들도 자신의 상황에 맞는 제로트러스트 솔루션을 찾아서 보안 시스템을 제고해야 할 것"이라고 했다.
*기사 본문 바로가기 : "'제로트러스트' 보안이 복잡하다? 쉽고 가볍게 구축 가능" - 머니투데이 (mt.co.kr)