NSP통신

(서울=NSP통신) NSP인사 기자 = 제로트러스트(ZTNA, Zero Trust Network Access )는 사이버 세계에서 내부든 외부든 누구도 믿지 않는다는 가정하에 해킹을 방어하는 최신 개념의 차세대 사이버 보안 모델이다. 미국 국방부의 ‘블랙코어(BlackCore)’ 프로젝트에서 유래되어 최근 미국표준기술연구소(NIST, National Institute of Standards and Technology )에서 표준모델을 제시하고 있다.

최근 들어 미국, 일본 및 국내에서도 랜섬웨어나 가상사설망(VPN)의 취약점 등을 이용한 공격이 핵관련 분야에서부터 국방, 금융, 백화점 및 식품공급회사들까지 전방위적으로 발생했으며, 이로 인해 이들 산업 분야의 자료 유출은 물론 SW 공급망(Supply Chain)까지 위협받고 있다. 더 큰 문제는 IP주소 추적이 불가능한 영역의 다크웹 사이트에 특정 기관의 자료가 올라온 후에도 그 해당기관은 시스템이 해킹을 당했는지 조차도 모르는 경우가 많다는 것이다. 현재의 사이버보안 체계에서 얼마나 많은 기관들이 이미 해킹 되었는지는 큰 한방을 노리는 해커들 만이 알고 있을 것이다.

박춘식 교수 (아주대학교 제공)

특히 우리나라처럼 엄격한 물리적 망분리와 상대적으로 내부에서의 공격에 대한 대비가 부족한 환경에서 취약점이 수시로 드러나는 VPN기반 재택 원격근무의 보안이 얼마나 위험한지 심각히 고민해야할 시점이다. 또한, 클라우드 도입 및 오픈 API기반 서비스 증가에 따른 외부 시스템 접속부위의 취약한 보안고리가 뚫릴 경우가 더 큰 피해가 예상된다.

미국 바이든 대통령은 작년 5월 국가 사이버보안 개선에 대한 행정명령(Executive Order on Improving the Nation’s Cybersecurity) 중에서 “연방정부 사이버보안 체계 현대화”를 위한 “Security Best Practice”로 ZTNA 채용을 제시하였고, 금년 1월 26일 발표한 이행계획(Moving the Government Toward Zero Trust Cybersecurity Principle)에서는 연방정부의 각 부나 청은 60일 이내에 작성된 ZTNA 전략기준과 목표를 2024년말까지 완료하도록 명령하고 있다.

우리나라는 금융위원회 고승범 위원장이 금융플랫폼 혁신을 위한 간담회(2021.12,15)에서 ‘디지털 금융보안 강화를 위해 ZTNA 개념 도입 및 보안강화’를 제시했다. 또한 금융위는 디지털 금융혁신 서비스의 하나인 오픈뱅킹 시행 2주년의 성과를 평가(2022.12.22)하고 향후 보안성 강화를 위해 ZTNA 개념도입을 추진하고 있다. 금융보안원에서도 2022년 디지털금융 및 사이버보안 10대 이슈 중 하나로 ZTNA 전략에 따른 차세대 보안환경 확산을 발표한 바 있다.

현재 적용되고 있는 사이버 보안은 내부와 외부를 구분하는 경계형 보안인데, 이는 내부 자원 노출로 디도스 등 외부로부터의 공격 발생 가능성이 있고, 안전 구역이라고 생각하는 내부의 보안에 대한 대책이 상대적으로 소홀한 구조이다. 따라서 해커가 내부에 침투하거나 내부자의 공격 의도가 있을 경우는 보안사고를 피하기 어려운 구조다.

그러나 ZTNA는 데이터 보호를 위해 내 외부로부터 불법적인 접근 차단을 위해 인증 채널과 데이터 채널을 구분하여 선 인증된 최소한의 접근만 허가해서 네트워크, 서버 및 DB 등 자원들을 보호하고, 동적으로 감시하는 체계다. 외부 해커가 내부 공격 목표를 알 수 없어서 디도스 공격으로부터 보호되고, 내 외부자 간에도 개별채널(마이크로 세그멘테이션)이 프로그램 수준에서 형성되어 접근통제 수준이 매우 높다. 다시 말해 향후 엄격한 ‘망분리’ 의무화 보다는 각 기관의 판단에 따라 중요한 데이터 또는 실제 시스템 위주로 꼭 필요한 곳만 ‘망분리’를 할 수 있는 합리화의 해법이 적용될 수도 있을 것이다.

미국표준기술연구소는 ZTNA의 아키텍처 7개의 기본원칙으로 최소 접근권한, 선 인증 후 접속, 내부 횡적 이동 금지 및 실시간 통제 등을 제시하고, 6개의 구축 원칙으로 내 외부 자원들의 소유여부, 종류 및 위치에 관계없이 묵시적인 신뢰 금지 및 일관된 보안 정책 등을 제시하고 있다.

구현 방안으로는 단기적으로 현재 각 기관의 보안환경체계에서 사용중인 다양한 보안제품들의 기능과 ZTNA 기능을 병행하는 혼합형(Hybrid)형태로 구성하여 가장 우려되는 보안 취약점에 대하여 우선 적용하고, 장기적으로는 NIST에서 제시하는 도입 프로세스에 따라서 기업 주체와 소유자산 식별, ZTNA 후보 정책 수립 등 7단계의 표준화된 방안을 수행하면 된다는 것이다.

최근 ZTNA구현을 가장 적극적으로 받아들이는 분야는 VPN의 취약점등에 대한 보안 강화 방안으로 ‘SDP(Software Defined Perimeter)’와 ‘Beyondcorp’ 방식이다. SDP는 미국 클라우드보안협회(CSA: Cloud Security Alliance)에서 개발된 개념으로 컨트롤과 데이터 채널이 분리되어 서버가 숨겨지게 되고, 다 요소 인증, 양 끝단 프로그램간 암호화 터널을 제공하는 5단계 프로토콜을 통해서 구현되는 모델이다.

해외에서는 구글은 ‘Beyondcorp’ 방식 등의 모델을 기반으로 세계 시장 선점을 주도하고 있다. 다행히, 국내 기업들 중에도 수년 전 ETRI에서 개발한 SDP 플랫폼을 기반으로 NAC (Network Access Control) 및 엔드포인트(Endpoint) 단말기술 등을 포함하여 ZTNA 개념을 구현한 제품을 출시하여 VPN 취약점으로 인한 해킹의 대안으로 적용하고 있다. 국내에서도 혁신 기술 및 개념 도입에 대하여 규제가 없는지 당국의 적극적인 대응이 필요하다.

세계경제포럼(다보스 어젠다 2022)에서 전 세계 CEO들은 '올 최대 위협은 사이버 보안'이라고 발표하였고, ‘해킹 한번이면 자본시장 붕괴 … 가장 취약한 은행들 초 긴장’이라는 CEO다보스 설문조사를 이끈 밥 모리츠 PwC회장의 주장을 심각하게 받아들여 사이버 보안이 취약한 연결고리들에 대한 최첨단 기술이 적용 가능하도록 이제는 지원을 서둘러야 할 시점이다.

NSP통신 people@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.