코로나가 갑작스럽게 덮치는 바람에 보안은 속수무책으로 당하고 있다. 그런데 정말로 코로나 때문이기만 한 것일까? 원격 근무 체제로 급히 마련된 분산 네트워크가 허술한 건 준비할 시간이 없었기 때문이기만 한 것일까? 코로나에 너무 모든 핑계를 대고 있는 건 아닐까?
[보안뉴스 문가용 기자] 21일부터 22일까지 양일간 삼성 코엑스에서 열리고 있는 제15회 국제 시큐리티 콘퍼런스(ISEC 2021)의 막이 올랐다. 첫째 날 두 번째 기조 연설자인 한국 마이크로소프트의 신호철 팀장은 ‘하이브리드 워크 환경의 보안 전략’이라는 제목으로 현장에 참석한 보안 전문가들의 필기 욕구를 돋웠다.
▲ISEC 2021에서 키노트 강연을 하고 있는 한국MS 신호철 팀장[이미지 = 보안뉴스]
하이브리드 업무 환경은 코로나라는 전 세계적인 비상 상황을 맞은 지금 보안 업계의 가장 큰 화두다. 각국의 봉쇄 조치로 원격 근무자가 기하급수적으로 늘어나면서 업무 환경이 ‘분산 네트워크’ 형태로 변했기 때문이다. 변하는 과정이 너무 갑작스러웠고, 준비가 충분치 못했으며, 그래서 지난 1년 반 정도 기간 동안 원격 근무 체제와 관련된 각종 보안 사고가 터졌다.
하지만 각종 보안 사고가 많아지고 보안 위협이 증가한 건 팬데믹이 누구도 예측할 수 없는 상황으로 갑자기 치달았기 때문만은 아니다. 보안 업계가 ‘생산성과 보안성을 동시에 높인다’ 혹은 ‘보안성을 높이느라 생산성을 저해하지 않는다(반대로, 생산성을 높이느라 보안성을 저해하지 않는다)’는 고민에 대한 답을 수년 동안 속 시원히 내놓지 못해왔던 것이 팬데믹 때문에 확연히 드러난 것이라고 볼 수도 있다. 즉 ‘분산 네트워크’ 체제가 드러내는 문제의 뿌리에는 ‘생산성 vs. 보안’이라는 근본적이고 오래된 문제가 깔려 있는 것이다.
신호철 팀장은 “원격 근무 체제가 되면서 ‘생산성과 보안성을 양자택일해야만 하는 상황’으로는 아무 것도 이룰 수 없게 됐다”고 강조하면서 “코로나 때문에 우리는 둘 다 가져가는 방법을 고민할 수밖에 없는 처지에 놓이게 됐다”고 말했다. ‘어떻게 해야 두 마리 토끼를 다 잡는가?‘를 탁상 공론할 때가 지나고 본격적으로 도입해야 할 차례가 됐다는 뜻이다.
“직원들이 집에서 업무를 보더라도 회사에 출근했을 때와 똑같은 생산성을 발휘해야 하는 게 기업 입장에서는 가장 중요합니다. 그래서 재택근무 러시가 일어난 초기에는 생산성 위주로 온라인 협업이 진행됐죠. 그러다가 여러 가지 사고가 터지고 보안 위협이 늘어났습니다. 그러자 요즘 다시 보안 쪽으로 관심이 옮겨지고 있죠. 새로운 인프라 내에서 ‘안전하게 생산성을 유지하는 방법’을 고민해야 한다는 겁니다.”
그래서 그는 “10여 년 전에 선언처럼 등장했던 제로트러스트가 이제 진짜 실물이 되어 도입되어야 할 때”라고 강조했다. “모든 순간, 모든 상황에서 확인을 하고, 최소한의 권한만을 허용하며, 침해 사고를 가정하는 게 조직의 문화 속에 배어들어가야 합니다.” 그러면서 최소한의 권한만을 허용하려면 ‘저스트 인 타임(Just-in-Time)’이라는 시스템이 같이 구축되어야 한다고 설명했다. 한 번 관리자 권한을 부여받은 계정에 영구한 관리자 권한을 주는 게 아니라, 관리자더라도 상황과 시기에 따라서만 권한이 부여되는 식으로 계정 관리를 해야 한다는 뜻.
“또한 침해를 미연에 방지하는 식의 접근법은 더 이상 유효하지 않습니다. 그런 노력이 아직 필요한 건 맞습니다만 이제는 최대한 빨리 탐지하고 최대한 빨리 위협을 제거하는 게 더 필요하다는 뜻입니다. 이런 방어를 하려면 보안 담당자들의 상상력과 창의력이 필요합니다. 공격 시나리오를 미리 마련해야 한다는 것입니다.” 제로트러스트를 구현하기 위해서는 보안 전문가들이 해커의 마인드를 이해하고 있어야 한다는 주장은 여러 보안 전문가들을 통해 설파되어 오기도 했었다.
신호철 팀장은 “제로트러스트에는 여섯 가지 분야로 나눠 생각해야 한다”고 보다 구체적인 제로트러스트 도입 방안을 설명했다. “아이덴티티, 엔드포인트, 데이터, 애플리케이션, 인프라, 네트워크가 바로 그것입니다. 이 여섯 가지를 ‘생산성과 보안성의 동시 향상’이라는 목표를 두고 바꿔가는 게 제로트러스트 도입의 방법론입니다.”
신호철 팀장의 설명은 이어졌다. “아이덴티티와 엔드포인트를 관리하는 핵심 요소는 비밀번호죠. 하지만 이제 비밀번호는 편리하지도 않고 안전하지도 않은 도구가 됐습니다. 점점 ‘비밀번호 없는 미래’로 나아가야 합니다.” 그러면서 자신도 지난 1년 동안 업무 환경 가운데 비밀번호를 입력한 적이 없었다고 밝혔다. “비밀번호를 기억하지 않아도 되어서 생산성도 높아지고, 비밀번호보다 안전한 관리 시스템 덕분에 보호까지 받고 있습니다.”
데이터와 앱, 인프라와 네트워크에 관해서 신호철 팀장은 “상황별 혹은 조건부 접근 권한을 부여해야 한다”고 주장했다. “먼저는 어떤 데이터가 있고, 어떤 앱이 인프라와 네트워크를 구성하고 있는지 파악하는 것부터 해야 합니다. 그리고 데이터들에 레이블을 붙여야 합니다. 그래서 그 종류와 쓰임새, 상황에 따른 보호 장치를 적용해야 합니다. 예를 들어 일괄적인 암호화는 데이터 보안을 강화하긴 하겠으나 이용성을 떨어트리죠. 그러다 보면 결국 보안이 무시됩니다. 이용성을 고려하는 게 장기적으로는 보안을 강화하는 길입니다.”
그러면서 그는 “클라우드가 이러한 제로트러스트 도입의 핵심이 될 것”이라고 밝혔다. “원격의 근무자가 자기 장비로 회사 업무를 하기 위해 로그인을 한다고 했을 때, 클라우드의 중앙 모니터링 장치가 이 장비를 먼저 확인합니다. 그러면서 컴퓨터가 어떤 상태이고 회사 데이터를 다뤄도 괜찮은지를 판단하는 거죠. 그런데 예를 들어 멀웨어 침투 흔적이 발견되었다면, 이 중앙 모니터링 장치가 클라우드에 마련되어 있는 보안 앱에 알리고요. 그 앱은 클라우드 내에서 그 PC의 문제를 해결해서 접속을 허용하는 겁니다. 이런 식의 업무 절차가 USB에도 적용될 수 있겠죠. 사용자 입장에서는 별도로 뭘 하지 않아도 접속해 놓고 잠시 기다리면 PC와 USB를 쓸 수 있는 상태가 되는 거고요.”
▲생산성과 보안성이라는 두 마리 토끼를 잡는 게 제로트러스트의 관건 [이미지 = utoimage]
신호철 팀장은 “결국 보안 인프라는 공항처럼 되어야 할 것”이라고 말한다. “기존에는 성벽을 두텁게 쌓은 ‘성벽 모델’이 우리가 추구하는 바였습니다. 하지만 이제는 공항처럼 기능해야 합니다. 누구나 갈 수 있는 공간도 있고, 여권이 있는 사람만 들어갈 수 있는 공간도 있고, 높은 권한을 가진 사람만 들어가는 관제실도 있죠. 그런 모든 공간들이 섞여 있지만 안전하게 운영되고 있고 불편함도 없습니다. 이게 좀 더 제로트러스트에 가까운 유형이 아닐까 합니다.”
3줄 요약
1. 팬데믹 사태가 드러낸 건 ‘보안과 생산성의 공존’의 필요성.
2. 선언과 같았던 제로트러스트, 이제는 실체로서 받아들여야 할 때.
3. 성벽과 같은 보안에서 공항과 같은 운영 시스템으로 변모해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 21일부터 22일까지 양일간 삼성 코엑스에서 열리고 있는 제15회 국제 시큐리티 콘퍼런스(ISEC 2021)의 막이 올랐다. 첫째 날 두 번째 기조 연설자인 한국 마이크로소프트의 신호철 팀장은 ‘하이브리드 워크 환경의 보안 전략’이라는 제목으로 현장에 참석한 보안 전문가들의 필기 욕구를 돋웠다.
▲ISEC 2021에서 키노트 강연을 하고 있는 한국MS 신호철 팀장[이미지 = 보안뉴스]
하이브리드 업무 환경은 코로나라는 전 세계적인 비상 상황을 맞은 지금 보안 업계의 가장 큰 화두다. 각국의 봉쇄 조치로 원격 근무자가 기하급수적으로 늘어나면서 업무 환경이 ‘분산 네트워크’ 형태로 변했기 때문이다. 변하는 과정이 너무 갑작스러웠고, 준비가 충분치 못했으며, 그래서 지난 1년 반 정도 기간 동안 원격 근무 체제와 관련된 각종 보안 사고가 터졌다.
하지만 각종 보안 사고가 많아지고 보안 위협이 증가한 건 팬데믹이 누구도 예측할 수 없는 상황으로 갑자기 치달았기 때문만은 아니다. 보안 업계가 ‘생산성과 보안성을 동시에 높인다’ 혹은 ‘보안성을 높이느라 생산성을 저해하지 않는다(반대로, 생산성을 높이느라 보안성을 저해하지 않는다)’는 고민에 대한 답을 수년 동안 속 시원히 내놓지 못해왔던 것이 팬데믹 때문에 확연히 드러난 것이라고 볼 수도 있다. 즉 ‘분산 네트워크’ 체제가 드러내는 문제의 뿌리에는 ‘생산성 vs. 보안’이라는 근본적이고 오래된 문제가 깔려 있는 것이다.
신호철 팀장은 “원격 근무 체제가 되면서 ‘생산성과 보안성을 양자택일해야만 하는 상황’으로는 아무 것도 이룰 수 없게 됐다”고 강조하면서 “코로나 때문에 우리는 둘 다 가져가는 방법을 고민할 수밖에 없는 처지에 놓이게 됐다”고 말했다. ‘어떻게 해야 두 마리 토끼를 다 잡는가?‘를 탁상 공론할 때가 지나고 본격적으로 도입해야 할 차례가 됐다는 뜻이다.
“직원들이 집에서 업무를 보더라도 회사에 출근했을 때와 똑같은 생산성을 발휘해야 하는 게 기업 입장에서는 가장 중요합니다. 그래서 재택근무 러시가 일어난 초기에는 생산성 위주로 온라인 협업이 진행됐죠. 그러다가 여러 가지 사고가 터지고 보안 위협이 늘어났습니다. 그러자 요즘 다시 보안 쪽으로 관심이 옮겨지고 있죠. 새로운 인프라 내에서 ‘안전하게 생산성을 유지하는 방법’을 고민해야 한다는 겁니다.”
그래서 그는 “10여 년 전에 선언처럼 등장했던 제로트러스트가 이제 진짜 실물이 되어 도입되어야 할 때”라고 강조했다. “모든 순간, 모든 상황에서 확인을 하고, 최소한의 권한만을 허용하며, 침해 사고를 가정하는 게 조직의 문화 속에 배어들어가야 합니다.” 그러면서 최소한의 권한만을 허용하려면 ‘저스트 인 타임(Just-in-Time)’이라는 시스템이 같이 구축되어야 한다고 설명했다. 한 번 관리자 권한을 부여받은 계정에 영구한 관리자 권한을 주는 게 아니라, 관리자더라도 상황과 시기에 따라서만 권한이 부여되는 식으로 계정 관리를 해야 한다는 뜻.
“또한 침해를 미연에 방지하는 식의 접근법은 더 이상 유효하지 않습니다. 그런 노력이 아직 필요한 건 맞습니다만 이제는 최대한 빨리 탐지하고 최대한 빨리 위협을 제거하는 게 더 필요하다는 뜻입니다. 이런 방어를 하려면 보안 담당자들의 상상력과 창의력이 필요합니다. 공격 시나리오를 미리 마련해야 한다는 것입니다.” 제로트러스트를 구현하기 위해서는 보안 전문가들이 해커의 마인드를 이해하고 있어야 한다는 주장은 여러 보안 전문가들을 통해 설파되어 오기도 했었다.
신호철 팀장은 “제로트러스트에는 여섯 가지 분야로 나눠 생각해야 한다”고 보다 구체적인 제로트러스트 도입 방안을 설명했다. “아이덴티티, 엔드포인트, 데이터, 애플리케이션, 인프라, 네트워크가 바로 그것입니다. 이 여섯 가지를 ‘생산성과 보안성의 동시 향상’이라는 목표를 두고 바꿔가는 게 제로트러스트 도입의 방법론입니다.”
신호철 팀장의 설명은 이어졌다. “아이덴티티와 엔드포인트를 관리하는 핵심 요소는 비밀번호죠. 하지만 이제 비밀번호는 편리하지도 않고 안전하지도 않은 도구가 됐습니다. 점점 ‘비밀번호 없는 미래’로 나아가야 합니다.” 그러면서 자신도 지난 1년 동안 업무 환경 가운데 비밀번호를 입력한 적이 없었다고 밝혔다. “비밀번호를 기억하지 않아도 되어서 생산성도 높아지고, 비밀번호보다 안전한 관리 시스템 덕분에 보호까지 받고 있습니다.”
데이터와 앱, 인프라와 네트워크에 관해서 신호철 팀장은 “상황별 혹은 조건부 접근 권한을 부여해야 한다”고 주장했다. “먼저는 어떤 데이터가 있고, 어떤 앱이 인프라와 네트워크를 구성하고 있는지 파악하는 것부터 해야 합니다. 그리고 데이터들에 레이블을 붙여야 합니다. 그래서 그 종류와 쓰임새, 상황에 따른 보호 장치를 적용해야 합니다. 예를 들어 일괄적인 암호화는 데이터 보안을 강화하긴 하겠으나 이용성을 떨어트리죠. 그러다 보면 결국 보안이 무시됩니다. 이용성을 고려하는 게 장기적으로는 보안을 강화하는 길입니다.”
그러면서 그는 “클라우드가 이러한 제로트러스트 도입의 핵심이 될 것”이라고 밝혔다. “원격의 근무자가 자기 장비로 회사 업무를 하기 위해 로그인을 한다고 했을 때, 클라우드의 중앙 모니터링 장치가 이 장비를 먼저 확인합니다. 그러면서 컴퓨터가 어떤 상태이고 회사 데이터를 다뤄도 괜찮은지를 판단하는 거죠. 그런데 예를 들어 멀웨어 침투 흔적이 발견되었다면, 이 중앙 모니터링 장치가 클라우드에 마련되어 있는 보안 앱에 알리고요. 그 앱은 클라우드 내에서 그 PC의 문제를 해결해서 접속을 허용하는 겁니다. 이런 식의 업무 절차가 USB에도 적용될 수 있겠죠. 사용자 입장에서는 별도로 뭘 하지 않아도 접속해 놓고 잠시 기다리면 PC와 USB를 쓸 수 있는 상태가 되는 거고요.”
▲생산성과 보안성이라는 두 마리 토끼를 잡는 게 제로트러스트의 관건 [이미지 = utoimage]
신호철 팀장은 “결국 보안 인프라는 공항처럼 되어야 할 것”이라고 말한다. “기존에는 성벽을 두텁게 쌓은 ‘성벽 모델’이 우리가 추구하는 바였습니다. 하지만 이제는 공항처럼 기능해야 합니다. 누구나 갈 수 있는 공간도 있고, 여권이 있는 사람만 들어갈 수 있는 공간도 있고, 높은 권한을 가진 사람만 들어가는 관제실도 있죠. 그런 모든 공간들이 섞여 있지만 안전하게 운영되고 있고 불편함도 없습니다. 이게 좀 더 제로트러스트에 가까운 유형이 아닐까 합니다.”
3줄 요약
1. 팬데믹 사태가 드러낸 건 ‘보안과 생산성의 공존’의 필요성.
2. 선언과 같았던 제로트러스트, 이제는 실체로서 받아들여야 할 때.
3. 성벽과 같은 보안에서 공항과 같은 운영 시스템으로 변모해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
