차세대 보안 패러다임으로 주목받는 제로 트러스트 (Zero Trust)

▲ 경계 기반의 전통적인 보안 모델 VS. 제로 트러스트 보안 모델

*출처 : 미국표준기술연구소(NIST), Zero Trust Cybersecurity: ‘Never Trust, Always Verify’

제로 트러스트는 이전부터 사용해오던 경계 기반의 보안체계와는 다르게 ‘신뢰’를 보안 취약점으로 여깁니다.
따라서 ID와 비밀번호를 입력하여 사내망에 접속한 믿을 수 있는 사용자라도
해커일 가능성을 염두에 두고 사내 리소스에 접근할 때마다 추가 인증을 통해 신원을 증명하게 합니다.

제로 트러스트는 현재 코카콜라, 넷플릭스, 구글 등 여러 글로벌 기업의 보안 시스템에 적용되며
세계적인 보안 트렌드로 자리 잡고 있습니다.
그리고 미국에서는 각 정부기관에서도 다단계 인증, 사용자 모니터링 등
제로 트러스트 기반의 보안 정책 수립이 필수가 되면서
기업뿐만 아니라 국가적 차원에서도 제로 트러스트의 중요성이 커져가고 있습니다.

하지만 글로벌 기업에 비해 국내 기업의 제로 트러스트 도입 추세는 현저히 더딘 편입니다.
글로벌 클라우드 업체 옥타가 지난해 발표한 아시아·태평양(APAC) 지역 제로 트러스트 보안 현황 리포트에 따르면
글로벌 기업의 53%가 제로 트러스트 보안 방식을 도입한 반면 국내 기업은 4%에 불과했습니다.
제로 트러스트 보안 모델이 중요하다는 인식을 가지고 있는 것에 비해 실제 도입 수준은 상당히 낮은 편입니다.

제로 트러스트가 특히 재택근무와 원격근무 환경에서 주목받는 이유는 무엇일까요?
바로 원격으로 사내망에 접속하는 직원들이 증가하면서
사내망과 내부 리소스들이 각종 사이버 범죄에 이용될 가능성이 커졌기 때문입니다.
대표적인 이유에 대해 조금 더 자세히 알아보겠습니다.

01
사내 시스템 접근 방식의 다양화

회사가 아닌 외부에서 개인이 보유한 노트북, 스마트폰 등의 기기로 사내 시스템에 접근하는 직원들이 늘어났습니다.
이러한 직원들과 그들이 사용하는 기기를 노리는 보안 공격이 증가하면서 기존 경계 기반의 보안체계가 이야기하는
“사내망에 접속한 사용자 또는 기기는 안전하다”라는 믿음에서 벗어나야 할 필요가 생겼습니다.

02
가상사설망(VPN)의 위험성

재택근무와 원격근무가 일상화되면서 대부분의 기업에서 VPN을 사용하고 있는데요,
VPN은 회사 서버와 원격 근무자가 사용하는 기기를 연결하는 일종의 암호화 터널 기술로,
ID와 비밀번호를 이용한 인증을 하면 이 ‘터널’을 이용할 수 있는 권한을 얻게 됩니다.

하지만 ID와 비밀번호를 해커가 입수한다면 어떤 일이 벌어질까요?
이들은 사내 시스템에 들어와 중요한 데이터를 유출할 수도 있고, 사용자 기기에 악성코드를 심어놓거나
사용자를 가짜 사이트에 접속하도록 유도하여 심각한 사기 피해를 입힐 수도 있습니다.
이처럼 보안에 취약한 문제를 가진 VPN을 대체하기 위해 Zero Trust 도입의 필요성이 나타나고 있습니다.

03
SaaS, IaaS 등 외부 클라우드 시스템 이용량 증가

코로나 팬데믹 이전과 비교해 SaaS(Software as a Service) 기반 업무 협업 툴
그리고 IaaS(Infrastructure as a Service) 기반 아마존 AWS와 같은 클라우드 시스템 등의 이용량이 증가했습니다.
외부 클라우드 시스템과 사내 시스템이 연결되는 지점이 많아지면서
기업 보안 담당자들은 늘어나는 보안 허점들을 모두 관리하기에 역부족인 상황이 되었습니다.
그 결과, 개별 사용자와 기기에 대해 제로 트러스트 보안 방식(다단계 인증, 최소 권한 부여, 접근 시간 제한 등)을
적용하는 것이 더 효율적으로 안전한 보안 시스템을 구축하는 방법이라는 목소리가 높아지고 있습니다.

포스트 코로나 시대에도 기업들은 재택근무제, 원격근무제를 그대로 유지할 것으로 전망됨에 따라
변화하는 근무환경에 대응할 수 있는 제로 트러스트 도입은 이제 불가피해졌습니다.
Zero Trust 기반의 기업 보안 시스템은 기존의 보안체계를 완전히 바꾸지 않아도
보안성이 높은 제대로 된 솔루션을 도입한다면 구축이 가능한데요,

그렇다면 보안성이 높은 제대로 된 솔루션은 무엇일까요?