제로 트러스트는 ‘항상 확인한다’는 개념의 보안 철학이다. 필요한 권한을 최소한으로만 준다는 뜻도 된다. 이 때문에 불편함을 호소하는 경영진들이 적잖이 있다고 한다. 대단히 어리석다.
[보안뉴스 문가용 기자] 전 세계적인 팬데믹 사태가 선포되고서 20개월이 넘었다. 결국 ‘제로 트러스트’가 가장 안전한 보호 방법이라는 것이 물리 공간에서나 사이버 공간에서나 다 증명되고 있다. 제로 트러스트란 그 어느 것도 안전하지 않다는 걸 넘어, 모든 사람, 모든 엔드포인트, 모든 트래픽이 감염되어 있다는 전제를 깔아두는 것을 말한다. 그냥 넘어가지 말고 확인한다는 철학이기도 하며, 우리는 코로나 때문에 각종 매장들에 출입하며 늘 확인을 하고 확인을 받았다.
[이미지 = utoimage]
되돌아 보건데 제로트러스트의 핵심은 결국 ‘최저 권한의 원칙’이라고 말할 수도 있다. 모든 사용자들에게 미션 수행에 있어 최소한의 권한만을 허락하는 것을 말한다. 꼭 필요한 앱, 꼭 필요한 컴퓨터, 꼭 필요한 네트워크에만 접근할 수 있게 되는 것이다. 지난 팬데믹 기간 동안 이것이 연습되었다면, 그 조직은 꽤나 이 시간을 현명하게 보냈다고 말할 수 있다.
그런데 제로 트러스트를 실제로 구현하고 실천하는 데 있어 가장 지켜지지 않는 현상이 하나 발견되고 있다. 조직 내 권한이 높은 사람들은 예외가 된다는 것이다. 이른바 C레벨 임원들이라면 제로 트러스트의 제한을 전혀 받지 않는 경우가 상당히 많았다. 이들은 자신들이 맡은 업무와 상관없이 언제고 자신이 보고 싶은 문서나 자료는 볼 수 있어야 했고, 그렇게 되지 않았을 때 담당자들을 혼냈다고 한다. 하지만 아무리 높은 사람이라도 업무 수행에 필요 없는 데이터에는 접근할 수 없어야 한다.
여기에는 여러 가지 이유가 있지만, 가장 먼저는 고위급 간부들이나 경영진들은 사이버 공격자들이 가장 공격하고 싶어 하는 표적이라는 것을 기억해야 한다. 높은 지위에 있다는 건 권한이 높다는 것이고, 이 권한은 공격자들에게 ‘자유이용권’이나 다름없기 때문이다. 높은 사람들은 보안 정책을 무시하고, 따라서 네트워크의 모든 부분에 접근할 수 있다는 걸 해커들 대부분 알고 있다. 그런 상황에서 경영진에게만 제로 트러스트를 적용하지 않는다는 건 대단히 위험하고 어리석은 일이다.
또한 C레벨 임원진들은 세간의 인식과 달리 꽤나 오랜 시간 업무를 진행하는 사람들이기도 하다. 누구보다 오래 접속해 있고, 누구보다 많은 메시지와 메일을 받는다. 그리고 회사에서 가장 ‘높은 명성’이라는 리스크를 가지고 있는 사람이기도 하다. 임원진의 정보가 유출되기라도 한다면, 그 정보는 대단히 민감한 정보일 가능성이 높을 뿐만 아니라 회사의 신뢰도가 크게 하락할 수 있다. 가장 확실히 보호받아야 할 사람들이 바로 임원진들이라는 것이다.
프랑크푸르트의 보안 기업 1600사이버(1600 Cyber)의 수석 보안 컨설턴트인 프랭크 새터화이트(Frank Satterwhite)는 “큰 조직이 해킹 당했다는 소식이 뉴스에 나올 때마다 CEO가 TV에 나와서 ‘죄송하고, 새로운 기술을 도입하고, 그 어느 때보다 안전을 꾀하겠다’고 말하는데, 그 누구도 실수 방지에 대해서는 언급하지 않는다”고 말한다. “보안은 인간적 요소를 많이 포함하는 건데, 이 부분은 완전히 간과하죠. 왜요? 높은 임원진들이 문제의 근원일 때가 생각보다 많아서인 건 아닐까요?”
그러나 이건 조직 문화와 관련된 부분이기 때문에 당장 고칠 수는 없다. C레벨이 되어서 회사의 모든 부분에 접속할 수 없다면 화부터 내는 사람들은 여전히 있을 것이다. 그렇다면 조직 입장에서는 어떻게 해야 하는가? 모든 통신과 모든 비정상 행위들에 대한 모니터링을 시작해야 한다. 통합 엔드포인트 관리 솔루션을 사용할 경우 사용자의 신원과, 엔드포인트의 보안 상태를 확인하는 게 그리 어렵지 않다. C레벨들에게 권한 제한을 줄 수 없는 상황이라면 그들의 행위와 엔드포인트를 모니터링 하기라도 해야 한다.
지속적인 모니터링이 진행된다면 비정상 행동 패턴이 발견됐을 때 보다 빨리 대처할 수 있게 되며, 누군가 C레벨인 것처럼 로그인을 시도했을 때 역시 보다 빠르게 알아볼 수 있게 된다. 그리고 이런 시도들이 얼마나 많은지 숫자와 도표로 보여주기까지 한다면 ‘난 모든 권한을 가져가야겠다’는 입장의 C레벨 임원진이라도 한 발 물러날 수밖에 없다.
좋은 VPN 모니터링 솔루션을 사용할 경우 IT 담당자는 VPN 로그 데이터를 방화벽으로부터 추출할 수 있게 되고, 이 역시 C레벨들이 꼭 봐야할 보고서 형태로 정리할 수 있다. 다만 그 자체로는 큰 효과가 없고, 권한이 높은 사용자들의 행동 분석 자료 및 엔드포인트 이벤트 로그와 연계했을 때 나타나는 의미를 설명할 수 있어야 한다.
제로 트러스트를 조입하려면 예외 역시 ‘제로’가 되어야 한다. 그 누구도 예외여서는 안 된다. 단 한 명이라도 예외가 있다면 제로 트러스트를 전사적으로 도입하는 게 무의미하게 된다. 보안에서는 구멍 하나가 모든 노력과 기술과 정책과 교육을 망쳐놓는다. 임원진이라고 해서 구멍이 안 되는 게 아니고, 설사 구멍이 되더라도 괜찮은 건 아니다(임원 자신의 신상은 괜찮을 수 있지만 회사는 그렇지 않다). 제로 트러스트를 ‘나만 빼고’ 도입하라는 임원진들이 있다면, 나중에 사고가 일어났을 때 자신의 이름이 보도되어도 괜찮다는 각서라도 쓰는 책임감 정도는 보여주어야 한다.
글 : 라제시 가네산(Rajesh Ganesan), VP, ManageEngine
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 전 세계적인 팬데믹 사태가 선포되고서 20개월이 넘었다. 결국 ‘제로 트러스트’가 가장 안전한 보호 방법이라는 것이 물리 공간에서나 사이버 공간에서나 다 증명되고 있다. 제로 트러스트란 그 어느 것도 안전하지 않다는 걸 넘어, 모든 사람, 모든 엔드포인트, 모든 트래픽이 감염되어 있다는 전제를 깔아두는 것을 말한다. 그냥 넘어가지 말고 확인한다는 철학이기도 하며, 우리는 코로나 때문에 각종 매장들에 출입하며 늘 확인을 하고 확인을 받았다.
[이미지 = utoimage]
되돌아 보건데 제로트러스트의 핵심은 결국 ‘최저 권한의 원칙’이라고 말할 수도 있다. 모든 사용자들에게 미션 수행에 있어 최소한의 권한만을 허락하는 것을 말한다. 꼭 필요한 앱, 꼭 필요한 컴퓨터, 꼭 필요한 네트워크에만 접근할 수 있게 되는 것이다. 지난 팬데믹 기간 동안 이것이 연습되었다면, 그 조직은 꽤나 이 시간을 현명하게 보냈다고 말할 수 있다.
그런데 제로 트러스트를 실제로 구현하고 실천하는 데 있어 가장 지켜지지 않는 현상이 하나 발견되고 있다. 조직 내 권한이 높은 사람들은 예외가 된다는 것이다. 이른바 C레벨 임원들이라면 제로 트러스트의 제한을 전혀 받지 않는 경우가 상당히 많았다. 이들은 자신들이 맡은 업무와 상관없이 언제고 자신이 보고 싶은 문서나 자료는 볼 수 있어야 했고, 그렇게 되지 않았을 때 담당자들을 혼냈다고 한다. 하지만 아무리 높은 사람이라도 업무 수행에 필요 없는 데이터에는 접근할 수 없어야 한다.
여기에는 여러 가지 이유가 있지만, 가장 먼저는 고위급 간부들이나 경영진들은 사이버 공격자들이 가장 공격하고 싶어 하는 표적이라는 것을 기억해야 한다. 높은 지위에 있다는 건 권한이 높다는 것이고, 이 권한은 공격자들에게 ‘자유이용권’이나 다름없기 때문이다. 높은 사람들은 보안 정책을 무시하고, 따라서 네트워크의 모든 부분에 접근할 수 있다는 걸 해커들 대부분 알고 있다. 그런 상황에서 경영진에게만 제로 트러스트를 적용하지 않는다는 건 대단히 위험하고 어리석은 일이다.
또한 C레벨 임원진들은 세간의 인식과 달리 꽤나 오랜 시간 업무를 진행하는 사람들이기도 하다. 누구보다 오래 접속해 있고, 누구보다 많은 메시지와 메일을 받는다. 그리고 회사에서 가장 ‘높은 명성’이라는 리스크를 가지고 있는 사람이기도 하다. 임원진의 정보가 유출되기라도 한다면, 그 정보는 대단히 민감한 정보일 가능성이 높을 뿐만 아니라 회사의 신뢰도가 크게 하락할 수 있다. 가장 확실히 보호받아야 할 사람들이 바로 임원진들이라는 것이다.
프랑크푸르트의 보안 기업 1600사이버(1600 Cyber)의 수석 보안 컨설턴트인 프랭크 새터화이트(Frank Satterwhite)는 “큰 조직이 해킹 당했다는 소식이 뉴스에 나올 때마다 CEO가 TV에 나와서 ‘죄송하고, 새로운 기술을 도입하고, 그 어느 때보다 안전을 꾀하겠다’고 말하는데, 그 누구도 실수 방지에 대해서는 언급하지 않는다”고 말한다. “보안은 인간적 요소를 많이 포함하는 건데, 이 부분은 완전히 간과하죠. 왜요? 높은 임원진들이 문제의 근원일 때가 생각보다 많아서인 건 아닐까요?”
그러나 이건 조직 문화와 관련된 부분이기 때문에 당장 고칠 수는 없다. C레벨이 되어서 회사의 모든 부분에 접속할 수 없다면 화부터 내는 사람들은 여전히 있을 것이다. 그렇다면 조직 입장에서는 어떻게 해야 하는가? 모든 통신과 모든 비정상 행위들에 대한 모니터링을 시작해야 한다. 통합 엔드포인트 관리 솔루션을 사용할 경우 사용자의 신원과, 엔드포인트의 보안 상태를 확인하는 게 그리 어렵지 않다. C레벨들에게 권한 제한을 줄 수 없는 상황이라면 그들의 행위와 엔드포인트를 모니터링 하기라도 해야 한다.
지속적인 모니터링이 진행된다면 비정상 행동 패턴이 발견됐을 때 보다 빨리 대처할 수 있게 되며, 누군가 C레벨인 것처럼 로그인을 시도했을 때 역시 보다 빠르게 알아볼 수 있게 된다. 그리고 이런 시도들이 얼마나 많은지 숫자와 도표로 보여주기까지 한다면 ‘난 모든 권한을 가져가야겠다’는 입장의 C레벨 임원진이라도 한 발 물러날 수밖에 없다.
좋은 VPN 모니터링 솔루션을 사용할 경우 IT 담당자는 VPN 로그 데이터를 방화벽으로부터 추출할 수 있게 되고, 이 역시 C레벨들이 꼭 봐야할 보고서 형태로 정리할 수 있다. 다만 그 자체로는 큰 효과가 없고, 권한이 높은 사용자들의 행동 분석 자료 및 엔드포인트 이벤트 로그와 연계했을 때 나타나는 의미를 설명할 수 있어야 한다.
제로 트러스트를 조입하려면 예외 역시 ‘제로’가 되어야 한다. 그 누구도 예외여서는 안 된다. 단 한 명이라도 예외가 있다면 제로 트러스트를 전사적으로 도입하는 게 무의미하게 된다. 보안에서는 구멍 하나가 모든 노력과 기술과 정책과 교육을 망쳐놓는다. 임원진이라고 해서 구멍이 안 되는 게 아니고, 설사 구멍이 되더라도 괜찮은 건 아니다(임원 자신의 신상은 괜찮을 수 있지만 회사는 그렇지 않다). 제로 트러스트를 ‘나만 빼고’ 도입하라는 임원진들이 있다면, 나중에 사고가 일어났을 때 자신의 이름이 보도되어도 괜찮다는 각서라도 쓰는 책임감 정도는 보여주어야 한다.
글 : 라제시 가네산(Rajesh Ganesan), VP, ManageEngine
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
