최근 해커 조직 '랩서스'가 삼성, LG, 미국 이동통신사 'T모바일' 등 주요 기업을 해킹하는 등 기업에 대한 사이버 공격이 이어지자 기존 사이버보안 시스템보다 한층 강화된 새로운 보안원칙인 '제로 트러스트'가 주목받고 있다.
제로 트러스트는 2010년 존 킨더백 포레스터리서치 수석 애널리스트가 제시한 보안 방법론의 개념으로, 말 그대로 사용자나 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 '아무도 신뢰하지 않는' 전략이다. 사용자 신원 증명과 단말기 접근 허가 및 유효성을 입증한 이후에도 '불신'을 기반으로 최소한의 권한만을 부여한다.
기존의 전통적인 보안 시스템은 외부로부터의 접근을 차단하는, 즉 외부인만을 신뢰하지 않는 구조의 방화벽 중심 보안 모델이었다. 이미 한번 내부인으로 인식된 사용자나 단말기는 회사 네트워크나 데이터에 접근하면, 보안 시스템의 신뢰를 얻은 상태에서 보안 방식에 통과해 IT 시스템 내 자원을 자유롭게 활용할 수 있었다.
그러나 제로 트러스트는 처음부터 내부 직원이든 누구든 '아무도 믿지 않는다'라는 관점에서 모든 네트워크와 시스템을 운영하는 보안 방법이다. 기존 보안 시스템을 통과한 사용자나 단말기더라도, 제로 트러스트 모델에선 이들을 신뢰하지 않고 신뢰수준을 '제로(0)'로 둔다. 이미 한번 유효성을 입증해 접속한 사용자나 단말기도 추가적인 활동을 위해서는 반복적으로 인증 과정을 거쳐야 한다.
제로 트러스트 개념이 10년 만에 다시 보안업계에서 재조명되는 배경에는 최근 기업을 향한 사이버 공격이 단순히 회사와 차단된 외부가 아닌 내부에서 벌어지고 있기 때문이다. 지난 3월 SK쉴더스가 발표한 자료에 따르면 삼성, LG 등 국내 주요 기업을 해킹했던 신흥 해커 조직 랩서스는 내부 임직원 계정을 악용해 내부 정보를 탈취했다. 이들은 다크웹을 통해 공격 회사 임직원의 직원 정보를 구매하는 등 임직원 계정정보를 확보해 사용자 PC에 접근했고, 이를 기반으로 내부 정보를 탈취했다.
특히 해커가 손쉽게 공격 대상 PC에 접근할 수 있었던 이유는 이중 인증이 적용되지 않은 PC를 노렸던 것으로 보인다. 즉 한번 보안 시스템의 신뢰를 얻은 사용자는 추가적인 제재 없이 '무조건적인 믿음'을 기반으로 회사 내부 시스템에 계속 접근할 수 있었기 때문에 보안 허점이 드러난 것이다. 랩서스는 지난 3월엔 대가를 지불할 의사가 있다며 텔레그램 채널을 통해 애플, IBM 등 주요 기업망 침입을 도울 내부자를 모집하기도 했다. 최근 상황에 대해 SK쉴더스는 "해커 공격이 상시적으로 이뤄지고 있다는 가정 아래 제로 트러스트 기반을 전제로 단계별 적절한 보안 솔루션을 도입해야 한다"라고 진단했다.
단순히 외부와 내부, 흑백논리로 보안을 할 수 없게 된 다수 기업은 제로 트러스트 보안 시스템을 도입할 예정이다. 글로벌 클라우드 업체 옥타가 지난해 발표한 아시아·태평양(APAC) 지역 제로 트러스트 보안 현황 리포트에 따르면 주요 글로벌 기업 2000곳 중 63%가 제로 트러스트 보안 방식을 이미 진행하고 있다고 답했으나 조사 대상이었던 한국 기업의 경우 4%만이 그렇다고 답했다. 다만 한국 기업도 96%가 앞으로 12~18개월 내에 제로 트러스트 보안을 시작할 것이라고 답했다. 옥타는 해당 보고서를 통해 "(기업은) 사람이 새로운 보안 경계임을 인식하고, 어디서나 모든 서비스에 대한 강력한 인증을 도입해야 한다"라고 했다.
국내 보안업체들도 제로 트러스트를 기반으로 하는 보안 솔루션을 내놓고 있다. 네트워크 접근제어(NAC) 솔루션 개발업체 지니언스는 지난 30일 보안 솔루션 '지니안 제로 트러스트 네트워크 액세스(ZTNA)'를 출시했다고 밝혔다. 지니안 ZTNA는 정보 통제기능을 강화한 제로 트러스트 솔루션으로 정상 인증을 받기 전에는 어떠한 시스템에도 접속 권한을 부여하지 않아 이전보다 정보보호 통제범위가 확대됐다.
지니언스 관계자는 "제로 트러스트 개념이 제대로 적용되지 않았던 과거 보안 시스템의 경우 아이디와 비밀번호로 한번 사용자가 허가된 사람임을 인증하면 회사의 모든 정보에 접근할 수 있었지만, 제로 트러스트를 기반으로 한 솔루션을 도입하면 기존 아이디와 비밀번호는 기본이고 지문, 일회용 비밀번호 생성기(OTP) 등을 통해 계속 인증해야 한다"라며 "또 과거와 달리 모든 회사 정보에 접근할 수 있는 것이 아니라 사용자는 특정 정보에만 접근할 수 있는 등 변화가 생겼다"라고 했다.
기업 내 취약점을 노린 사이버 공격이 계속 증가하면서 정보기술(IT) 기업도 제로 트러스트 보안 상품을 내놓고 있다. 클라우드 업체 베스핀글로벌은 올해 초 기존 보안 담당 부서를 클라우드 사업 본부로 격상한 후 사이버보안 사업을 확대하고 있으며, 지난 4월 '제로 트러스트 보안' 상품을 선보였다. 이 상품은 옥타, 지스케일러, 마이크로소프트 인튠 등 기업들과 연계해 클라우드 사용 전 과정에 대한 보안 솔루션을 고객사에 제로 트러스트 기반의 형태로 제공한다.
베스핀글로벌 관계자는 "클라우드로 인해 언제 어디서나 직원들이 업무를 진행하게 되면서 기업들은 기존 보안 시스템을 적용할 수 없게 됐고, 클라우드를 통해 직원들이 계정 단위로 회사 내부 시스템에 접속하게 되면서 계정 탈취 등 보안 문제에 기업이 대응해야 할 필요성이 커졌다"라고 했다. 이 관계자는 "물리적으로 회사 건물에 들어와 회사 네트워크에 접속해서 일하는 시대가 아니기 때문에 접속을 외부에서든 내부에서든 누가 해도 철저하게 보안을 하는 제로 트러스트 보안이 미래에도 더 주목받을 것이다"라고 했다.