2021-10-25 13:25 (월)
[보안칼럼] Zero Trust 보안으로의 긴 여정(1)
상태바
[보안칼럼] Zero Trust 보안으로의 긴 여정(1)
  • 길민권 기자
  • 승인 2021.09.08 15:52
이 기사를 공유합니다

‘Zero Trust(제로트러스트)’. 이 단어를 보았을 때, 이게 무슨 의미일까 생각을 많이 했다. ‘Zero’도 알고 ‘Trust’도 알겠는데 이 두 개의 단어를 조합하면 무슨 의미인지 이해할 수 없었기 때문이다. 더욱이 외부의 정보보안 강연이나 보안을 한다는 사람들의 제로트러스트는 보통 "아무것도 믿지 마라!" 이렇게 이야기하는데 여전히 이해되지 않고 허전했다.

목마른 자가 우물 판다고, 결국 인터넷 검색을 해 보았더니, 10년도 넘은 시점에 이 개념이 소개되었다는 내용을 최근에서야 알게 되었다. 아니 아마도 들었으나 별로 중요하게 생각하지 않고 그냥 지나쳤을 가능성이 더 높을 것이다. 아마도 제로트러스트 보안 모델을 이해하려면, 이 모델 이전에는 어떤 보안 모델을 가지고 있었고 그 보안 모델은 어떻게 만들어졌는지 배경을 이해하고 시간이 흘러 어떤 부분에서 효율성이 떨어지는지 이해하는 게 중요할 것이다. 결국 그 부족한 부분을 제로 트러스트 보안 모델이 해결해 준다고 말할 것이기 때문이다.

정보 보안을 이야기할 때, 성이 있고 그 성을 둘러싸는 성곽을 쌓고 성곽 주변에 물이 돌게 하고 또 그 물에 악어를 풀어 놓아 성을 보호

한다는 이야기를 하면서 그와 비슷하게 정보 보안도 그 예제를 들어 소개한다. 사실 정말 이렇게 해서 만들어졌는지는 모르겠지만 이해를 돕는 데는 유용한 소재인 것은 인정한다.

컴퓨터가 소개되었을 때는 컴퓨터의 빠른 연산처리 능력이 컴퓨터의 가장 중요한 본연의 기능이었으므로 그 부분을 단독 처리하였다. 이때는 단독 실행하고 있는 컴퓨터의 물리적인 보안이 중요한 요인이 아니었을까 생각한다. 그러나 이러한 단독 실행형 컴퓨터들이 연결되어 또 다른 세상을 만들게 되었다. 즉 closed system에서 conneted system이 가능하도록 networking 기술이 소개되었다. 가까운 곳을 연결하는 Local Area Network(LAN)부터 시작해서 그러한 LAN을 연결하여 주는 Wide Area Network(WAN)이 소개되었고 인터넷으로 WWW, 이메일, FTP 등이 소개되면서 또 다른 세상을 만들어 주었다. 그러나 항상 좋은 것만 만들어지는 것은 아닌 것 같다. 이때 해킹이라는 것도 점점 대두되었는데, 네트워킹 상태에서의 해킹을 의미한다.

“인터넷 방화벽”

방화문/방화벽은 불의 확산을 방지하는 역할을 한다. 컴퓨터가 연결되어 conntected가 되었을 때 연결된 것을 선택적으로 차단하고 허용하는 장치가 필요했고 이것을 Internet Firewall이라 불렀다. 불 난 곳과 불 안 난 곳을 구분해 주는 것이었다. 즉 불 난 곳에서 불 안 난 곳으로 불이 번지는 것을 막는 것이다. 이것은 방화벽의 이야기고 인터넷 방화벽에서는 불이 아니라 Trust였다. 인터넷 방화벽 안쪽은 신뢰하는 네트워크 공간이었고 인터넷 방화벽 밖은 신뢰하지 않는 네트워크 공간이었다. 이 인터넷 방화벽이 한동안 좋은 정보 보안을 제공했으나, 해커들에게는 해결해야 하는 숙제거리였다. 역시나 해커들은 인터넷 방화벽을 우회하여 침투하는데 성공한다.

인터넷 방화벽에서는 정책에 따라서 허용/차단으로 나누어 처리하였는데 일단 한번 허용한 트래픽은 그다음 아무런 제약 없이 활동이 가능했다. 문제는 그 허용된 트래픽 안에는 해커의 공격 트래픽도 포함되어 있었다는 것이 또 다른 문제였다. 이에 네트워크 트래픽을 분석하여 해커들의 공격을 식별할 수 있는 Intrusion Detection System(침입탐지시스템)이다.

“Intrusion Detection System”

Detection이라는 용어에서 보듯이 탐지만 되었으므로, 경고를 통해 누군가는 대응을 해야 했다. 또 조금 더 개선되어 탐지된 내용은 방화벽과 연동하여 해당 공격자의 IP를 차단할 수 있도록 자동화를 하기도 했다. 지금은 Intrusion Prevention System으로 발전하여 차단까지 제공을 한다.

해커의 창과 보안의 방패 싸움으로 점점 진화하여 기존의 Internet Firewall + Intrustion Detection(Prevention) System을 도입하고 여기에 더 나아가 Proxy 기술을 통해 RFC의 규약을 지키지 않는 트래픽을 차단하거나, Content Inspection을 통해 악성코드 유무를 판단하고, 악성코드의 동적 분석을 통해 악성 유무를 판단하는 Sandbox 기술이 도입되고 있다. 이것을 우리는 Layered Security 전략이라고 하고 또는 Defense In Depth(심층 방어) model이라고 한다.

“Layered Security/Defense In Depth”

계층적 보안 전략 또는 심층방어 보안 모델을 우리는 오랫동안 써 왔다. 좋은 대안이 나오지 않는 한 이 정보 보안 전략은 계속 사용하게 될 것이다. 그렇기 때문에 위에서 소개한 솔루션 이외에 아주 다양한 솔루션들이 하나의 계층을 담당하려고 소개한다. Network Detection & Response(NDR)도 소개되고, 네트워크 상의 비이상 징후를 탐지하는 솔루션도 소개되고, 사후에 분석을 위해 네트워크 트래픽 모두를 저장하는 솔루션도 소개되고, 또 다른 누군가는 새로운 레이어를 준비하고 있을 것이다.

“또 사? 이거면 다 되는 거야?”

-보안담당자와 관리자와의 대화 내용 중-

보안 사고는 지속되다 보니, 결국 침해는 있을 수밖에 없다. 인정하자. 다만 침해는 있을 수 있으나 피해는 보지 말자라는 측면에서 얼마나 빠르게 침입을 인지할 수 있는지 또는 새로운 인공지능이나 머신러닝 기술을 사용하여 알려지지 않은 악성코드를 얼마나 더 잘 잡을 것인지에 초점이 맞춰져 있다.

그런데 왜 보안사고는 끊이지 않고 계속 나고 있을까? 무엇이 잘못일까?

[글. 타이거CNS / 타이거CNS 블로그 / 문의. h9430@tigercns.com]


[AIS 2021] 국내 최대 인공지능·머신러닝 정보보호 컨퍼런스에 여러분을 초대합니다!(보안교육 7시간 이수)

-인공지능·머신러닝 적용 정보보호 기술과 위협 정보 공유의 장

-2021년 9월 16일 온라인 개최

-공공·금융·기업 정보보호 관계자라면 누구나 무료참석

-보안교육7시간 이수증 발급

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★