오늘날 오픈뱅킹과 마이데이터 등 다양한 금융서비스와 고객지향형 서비스들이 상호 연동되는 개방된 환경에서, 개인정보 및 데이터 보안은 더욱 세밀하게 다뤄져야 한다. 보안 전문가들은 보다 강력한 암호화와 방화벽, 안티바이러스, 소프트웨어 패치 유지관리에 심혈을 기울여 왔으며, HIPAA(Health Insurance Portability and Accountability Act) 및 PCI DSS(Payment Card Industry Data Security Standard)와 같은 요구사항도 세부적인 계정 기반 액세스 제어 및 암호화를 포함한 데이터별 보호 조치로 계속 세분화되고 있다. 하지만 해커들 역시 공격 기술과 전략을 지속적으로 발전시키고 있기 때문에 항상 경계심을 늦출 수 없다.
클라우드 전환이 확대되면서 기존의 전통적인 온프레미스(사내구축형) 접근제어 방식만으로는 데이터를 완벽히 보호하기 어려워졌다. 원격 작업자와 모바일 장치는 네트워크 경계 외부에 위치해 있으나 내부 시스템에 접근할 수 있는 경로가 항상 존재하며, 보안 경계는 계속 확장될 수밖에 없다. 사이버 공격은 점점 더 복잡해지고 그 영향력도 커지고 있으며, 랜섬웨어 공격이 성공하면 주요 기능이 손실되고 민감한 정보가 유출될 수 있다. 어떤 기업도 자신이 충분히 안전하다고 확신할 수 없는 상황이다. 해커들이 가장 자주 사용하는 방법 중 하나는 권한이 있는 관리자나 애플리케이션의 자격 증명을 탈취하거나 추측한 뒤, 네트워크 전반에서 자유롭게 이동하는 것이다.
이러한 이유로 최근 많은 기업들이 이미 해커들이 내부에 침투했다고 가정하고, 내부의 누구도 ‘신뢰하지 않고 항상 확인한다’는 개념의 ‘제로 트러스트’ 보안을 점점 강화하고 있다.
제로 트러스트 보안 모델은 외부의 누구도 내부 데이터에 접근할 수 없다는 기존의 ‘성과 해자(castle and moat)’ 개념의 보안 모델을 넘어, 관리자의 실수로 접근이 허용되거나 해커가 침투했을 때, 내부의 누구도, 그 어떤 시스템도 기본적으로 신뢰할 수 없다는 가정에서 출발한다. 즉, 단순히 접근 경로를 차단하거나 계정 권한을 통제하는 기존 보안 수준에서 벗어나, 접근 요청의 컨텍스트와 신뢰 수준, 자산의 민감도에 따라 세부적인 보안 정책을 부여하는 것이다. 제로 트러스트 아키텍처는 클라우드 애플리케이션을 사용하고 개방형 플랫폼을 운영하는 조직에 특히 효과적이다.
미국 국립표준기술연구소(NIST)는 제로 트러스트를 정적인 네트워크 기반 경계를 넘어 사용자와 자산 및 리소스에 초점을 맞추어 방어하는 진화된 사이버 보안 패러다임으로 정의하고 있다. 기존에는 네트워크에 연결되어 있거나 자산 소유권이 있으면 사용자 계정에 암시적 권한이 부여된다고 가정했지만, 제로 트러스트 보안은 이러한 암시적 신뢰를 원천적으로 부정한다. 대신, 권한이 부여된 사용자와 장치 및 애플리케이션만 시스템 및 데이터에 접근할 수 있도록 보다 강력한 보안 정책을 정의한다.
제로 트러스트 보안 접근 방식에는 몇 가지 핵심 원칙이 있다:
•침해 가정: 네트워크에 이미 위협 행위자가 존재한다고 가정한다.
•기본 접근 거부: 기본적으로 모든 접근을 차단하며, 필요에 따라 트랜잭션 단위로 권한/인증을 부여한다.
•가치 기반 보호: 자산의 가치를 기준으로 보호 수준을 설정하며, 불필요한 접근은 차단한다.
•세분화된 네트워크: 네트워크는 세분화되어야 하며, 보안이 필요 없는 자산이나 공간은 없다.
•AI 기반 탐지: 비정상적인 행동을 실시간으로 포착하고 즉각 차단한다.
제로 트러스트 보안 아키텍처는 민감한 데이터 및 중요 애플리케이션뿐만 아니라 인증된 사용자와 데이터 흐름을 식별하는 것으로부터 시작한다. 이를 통해 통합된 통제 시스템을 통해 자동화 및 통제 관리를 구현한다. 모든 통신과 네트워크 위치는 신뢰를 의미하지 않으며, 모든 리소스에 대한 접근은 연결 단위로 관리된다. 권한이 부여되기 전에 요청자의 신뢰를 평가하며, 제한된 시간 동안 제한된 네트워크 영역에 대한 접근 권한을 부여하는 방식으로 작동한다.
영국 정부의 국가사이버보안센터(NCSC)가 개발한 8가지 제로 트러스트 원칙은 제로 트러스트의 핵심 개념을 잘 보여준다. 다양한 기관은 이를 기반으로 구현 방법을 제시하고 있다.
보안 우선의 아키텍처를 지향하는 오라클 클라우드에서도 정책기반의 ZPR(ZERO Trust Packet Routing) 서비스를 통해 제로 트러스트 아키텍처를 구현할 수 있다. 예를 들어, 아래 그림과 같이 연구 및 개발을 위해 애플리케이션 서버에 접속하도록 네트워크를 허용하면, 동일한 네트워크 구간에 있는 데이터 서버에 접속할 수 있게 된다.
이를 방지하기 위해 ACL, 서버 보안, DB 보안 등의 다양한 보안 도구를 활용해 통제를 시도하지만, 사용자의 요구사항에 대응하다 보면 접근제어 목록 및 네트워크/서버 보안 정책은 점점 더 복잡해지고 관리가 어려워진다. 궁극적으로 내부 사용자들에게 시기적절한 통제 정책을 적용하기가 쉽지 않다. 그러나 애플리케이션 서버에 특정 속성값을 부여하고, 해당 속성값을 가진 시스템만 데이터에 접근할 수 있도록 ZPR 정책을 부여한다면, 내부에 접속한 사용자라 하더라도 허용된 속성값을 가진 애플리케이션을 거치지 않고는 데이터에 직접 접근할 수 없게 된다.
ZPR 서비스를 적용하면 네트워크 설정 오류나 보안 취약점을 미연에 방지할 수 있으며, 접근 과정에서 초당 수조 개의 패킷을 검출 및 모니터링할 수 있다.
일반적인 네트워크 보안은 방화벽과 VPN, 침입 감지 시스템 등과 같은 기술에 의존한다. 하지만 올바른 자격 증명을 가진 사람이 네트워크의 사이트와 애플리케이션, 장치에 접근할 수 있다면 내부 보안은 여전히 취약할 수 있다. 반면, 네트워크 내부와 외부 모두에서 기본적으로 아무도 신뢰하지 않는 제로 트러스트 보안을 통해 공격 대상과 위험을 감소시킬 수 있다. 유출된 자격 증명이나 취약한 장치를 통해 접근하더라도 추가적인 보안 컨트롤이 가능해 피해를 최소화할 수 있다.
제로 트러스트 보안은 중요 애플리케이션 및 데이터 접근제어, 특정 네트워크, 엔드포인트, 계정 및 권한 관리, 외부 연계나 리모트 접근 제어 등 다양한 영역에 적용할 수 있다. 특히 공유 서비스를 기반으로 하는 클라우드 환경에서 정보 자원을 보다 정밀하게 통제하고 보호하는 데 있어 가장 현명한 선택이 될 것으로 기대된다. [글. 한국오라클 이의형 상무]
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[주의] 맥OS 사용자 타깃 공격 악성코드 유포중…데이터 및 가상화폐 정보 탈취](https://www.dailysecu.com/news/photo/202501/162904_190975_4557.jpg)
![[주의] 포스페이스 라우터 취약점 악용한 미라이 변종, 글로벌 DDoS 공격 확산](https://www.dailysecu.com/news/photo/202501/162875_190941_212.jpg)
![[김장현의 테크와 사람] 〈66〉AI 오남용과의 전쟁](https://img.etnews.com/news/article/2025/01/07/news-p.v1.20250107.c4c63176402d440d89cc30f061c86a9d_P3.jpg)
![[주의] 이반티, 커넥트 시큐어 제로데이 취약점 악용한 해킹 공격 경고](https://www.dailysecu.com/news/photo/202501/162864_190931_5751.jpg)
![비트코인 물량 25% 양자컴 공격에 취약…업계 "보안 진화로 막는다" [블록체인 NOW]](https://newsimg.sedaily.com/2025/01/10/2GNN1Z8SEM_2.jpg)
