제로 트러스트 맛보기
안녕하세요, 에디터 푸린입니다.
2022년 보안 쪽에서 가장 핫한 키워드 중 하나는 바로 “제로 트러스트” 였습니다. 지난 11월에 진행된 저희의 작은 세미나에서 선보였던 <제로 트러스트 맛보기> 부분을 정리하여 아티클로 준비해보았습니다. 크게 일반 기업 IT담당자와 개발자를 주요 관객으로 설정하고 준비했다는 점 참고 부탁드립니다. 이번 아티클에서는 좀 더 일반적인 내용으로 제로 트러스트의 개념 등에 대해 소개를 드리고자 합니다.
WHAT IS ZERO TRUST?
가장 먼저, 제로 트러스트란 무엇일까요? 일단 용어 자체가 매우 직관적이고 쉬운편으로 바로 아실 수 있는 것처럼, “누구도 믿지 말라”라는 컨셉입니다. 제로 트러스트는 어떠한 어키텍처나 정해진 플랫폼, 솔루션 등이 아닌 개념이자 모델로 특정 영역에만 국한되는 것이 아닌 보안 관련 체계를 통칭하는 것이죠.
그렇기에 제로 트러스트는 어디에나 적용이 됩니다. 단순히 시스템 자체에 대한 보안뿐만 아니라 보안이라는 개념이 적용될 수 있는 모든 부분에 ”의심과 재검증“이라는 개념을 입힐 수 있는 것이죠.
제로 트러스트 개념이 등장한 것은 사실 어제오늘의 일이 아닙니다. 2010년 포레스터 리서치를 통해 제안된 모델로, 벌써 10년이 훌쩍 넘게 존재한 모델이죠. 그러면 왜 이제와서 이렇게 유명한가 하면, 팬데믹과 함께 DT가 가속화되며 근무 환경 및 형태가 급변하였기 때문입니다. 기업의 IT 시스템의 보안 환경이 네트워크, 기업용 애플리케이션, 클라우드 시스템 등 외부와 맞닿는 지점이 증가하고 있습니다. 거기에 IT 시스템에 접속할 수 있는 방식 또한 기존의 기업 제공 PC 외에도 개인용 PC, 스마트폰, 태블릿 등 더 다양해지고 있습니다. 최근의 초연결 사회에서 그 필요성이 중요해짐에 따라 급부상하게 된 것이죠.
WHY ZERO TRUST?
사회는 많은 사람들이 유기적으로 움직이며 행동하는 결과에 따라 움직입니다. 그리고 지금까지 사람들은 서로 다른 누군가와 관계를 형성할 때 “신뢰”를 하나의 기반으로 삼고 있죠. 이는 회사에서도 크게 다르지 않습니다. 회사 내에서 주어지는 업무나 권한 등은 그 사람이 같은 회사에, 혹은 계약된 관계의 회사 소속이며 관련된 업무를 부여받았기에 상호 약속으로 주어지는 것이고요. 소속과 업무라는 것이 이를 보장해주었습니다.
그러나 현대사회는 각종 공격 방식들이 고도화되며 끊임없이 계정 탈취 및 사칭 등의 이슈가 생기면서 더 이상 100프로의 신뢰가 보장되지 않는 사회로 변화하였습니다. A라는 사람을 매번 얼굴을 보고 확인하지 않아도 되던 시스템적 신뢰가 더 이상 완전무결하지 않게 된 것이죠. 그렇기에 비대면 신뢰에 대한 재검증의 필요성이 높아지기 시작했습니다. 제로 트러스트의 대전제도 바로 여기에서 시작합니다. 신뢰에 대한 재검증이 필요하며, 끊임없이 스스로를 증명하는 것이죠.
HOW TO DO ZERO TRUST?
제로 트러스트는 한번 도입하고 말 개념이 아니라, 이를 항상 염두에 두면서 전반적인 조직 구조 전체의 체계를 지속적으로 유지하고 개선해나가야 할 모델입니다. 가트너는 대부분의 조직들이 제로 트러스트 도입의 초입 단계라고 보고 있습니다. 다만, 지속적으로 지적되고 있는 부분은 제로 트러스트가 여기저기서 차용되다보니 현재 많은 벤더들이 본인들의 솔루션이나 서비스를 제안하기 위해 이용하는 단편적인 개념화가 팽배하고 있다는 것입니다. 이로 인해 현재 표준 제로 트러스트 모델이라고 불릴 만한 벤치마킹을 찾는 것이 어려운 점이 있습니다. 제로 트러스트의 개념이 점점 자리잡기 시작하고 오해가 바로잡힌다면 표준 아키텍처 모델과 이에 대한 가이드가 명확해질 수 있을 듯 합니다.
특히나 제로 트러스트 모델 자체가 절대적인 모델이 아닌 만큼, 각 기업/조직에서 현재 갖고 있는 IT환경을 명확하게 그리고 보안을 강화해야 할 지점에 대해 이해도를 높이며 어떤 솔루션이 더 자신의 조직에 "최적화된 제로 트러스트 모델"을 그려줄 수 있는지에 대해서는 개별적으로 면밀한 검토가 필요할 것입니다.
WHAT’S NEXT?
가트너에서는 현재 구조적으로 성숙하고 측정가능한 제로 트러스트 프로그램을 잘 실행하고 있는 기업은 전체의 1%도 되지 않으나 2026년까지 큰 엔터프라이즈의 약 10%가 자리잡을 것으로 전망하고 있습니다. 즉 제로 트러스트 모델의 개념은 한동안 지속될 것이고, 주요 기업들 위주로 자리잡기 시작할 것이라는 예상이나 아직 갈 길이 멀기는 합니다.
일반적인 관계자들의 입장에서는 이걸 어떻게 해야 하나, 매번 솔루션을 도입하는 게 끝인가 싶을 수는 있을 것 같습니다. 결국 중요한 것은 '내'가 IT 환경에서 진행하는 어떠한 일에 대해 어느정도의 책임추적성이 가능한지를 체크하는 것일 듯 합니다. 내가 참고하는 것에 출처와 내용에 대해서도 어느 정도 검증을 거치는 과정을 반드시 잊지 말 것이 결국 "제로 트러스트의 큰 그림" 완성하는데 기여하지 않을까요?
이상 에디터 푸린이었습니다.
(배경 이미지 출처: Unsplash의Laura Heimann )