COVID-19 때문에 생긴 IT 디아스포라가 세상을 뒤덮고 있다. 분산 네트워크가 바로 그것이다. 그러면서 사이버 공격은 보다 원활해졌다. 각종 사이버 공격자들이 활개를 치기 시작했고, 재택근무자들은 집에서 나홀로 방어에 나서야만 했다. 잘 될 리가 없었다.
[보안뉴스 문가용 기자] 코로나로 인해 재택근무가 본격적으로, 시급하게 시작됐다. 각자 집으로 흩어져 맡은 일들을 처리하게 되면서 ‘분산 네트워크’가 반강제적으로 유행하기 시작했는데, 처음 기업들은 집으로 보낸 직원들이 생산량을 예전처럼 맞추는 데에 온통 몰두했다.
[이미지 = utoimage]
그러다 보니 보안은 후순위로 밀려났고, 엔드포인트들은 각종 사이버 공격의 집중포화를 맞았다. 코로나에서 파생되는 각종 사회적 이슈들을 피싱 공격자들은 빠르게 활용하곤 했고, 집에 있던 직원들은 이러한 피싱 링크를 무심코 누르거나 악성파일을 의심 없이 열어 회사 크리덴셜을 빼앗기거나, 공격자들이 회사 네트워크나 클라우드 계정으로 접근하도록 했다.
여기에 보안 업계는 크게 두 가지 해결책을 들고 나오는데, 그 중 하나가 ‘제로트러스트’다. 아무 것도 믿지 말고 전부 확인을 해야 한다는 내용의 보안 철학이자 원칙이 바로 이 제로트러스트다. 원래 있어왔던 개념이었지만 크게 힘을 받지 못했었다가 코로나와 랜섬웨어라는 두 가지 팬데믹이 덮치자 논의의 중심으로 자리를 옮기게 됐다.
제로트러스트는 ‘모든 엔드포인트와 모든 트래픽이 감염되었다’는 전제에서 출발한다. 이는 ‘if가 아니라 when의 문제’라는 현대의 보안 개념과 일맥상통한다. ‘if가 아니라 when’이란, 보안을 기획하고 구성할 때 ‘해킹이 될지도, 안 될지도 모른다’는 게 아니라 ‘언제인지를 정확히 모를 뿐 이미 해킹은 됐다’는 생각으로 접근하는 것을 말한다. 다른 말로 표현하자면, 모든 공격을 예방하려고 노력하는 것이 아니라, 공격이 이미 들어왔다고 생각하고 피해를 최소화하는 것에 집중하는 것이기도 하다.
예방이 아니라 피해 최소화를 위해 제로트러스트를 실제로 도입한다는 건 간단히 말해 ‘권한 최소화의 원칙’을 도입하는 것과 같다. 조직 내 각 구성원이 자기의 맡은 업무를 처리할 때 필요로 하는 권한만을 부여하는 것이다. 누구나 회사 클라우드 계정 비밀번호를 알게 된다거나, 여러 사람이 회사 공식 SNS 계정에 접근할 줄 알게 되는 지금의 사무실 분위기와 정반대되는 것으로, 이는 경영진에게도 적용되는 것이 원칙이다.
팬데믹이라는 바람을 타긴 했지만 제로트러스트가 온전히 대세로 자리를 잡은 것은 아니다. 사람에게는 ‘신뢰하려는 본성’이 있기 때문이라고 일부 전문가들은 분석한다. 또한 경영진이나 관리자급에서 권한 축소를 달가워하는 사람이 많지 않다는 것도 문제가 되고 있다는 현장에서의 불만도 나오고 있는 상황이다. 단순히 기술적인 문제가 아니라 기업 문화와도 연결이 된 것이라 내년에도 도입하는 데에만 시간이 흘러갈 것으로 예상된다.
제로트러스트의 원활한 도입은 조직 내 실존하는 모든 디지털 자원에 대한 ‘재고 파악’을 전제로 깔고 있다. 심지어 각 하위 조직과 조직원들의 업무 프로세스까지도 보안 부서 및 책임자가 파악하고 있어야 한다. 그래야 어느 정도의 권한을 부여할지 결정하고, 어떤 경로로 어떤 데이터에 접근하는 것이 정상적 행위인지 규정할 수 있기 때문이다. 이런 바탕 위에 ‘모든 것을 철저히 검사한다’는 원칙이 세워져야 한다.
그러므로 2022년을 맞이하는 보안 담당자들이라면 언제고 ‘재고 파악’의 지시가 떨어질지 모른다는 걸 염두에 두어야 한다. 지시가 내려오지 않더라도 ‘제로트러스트’라는 표현이 경영진들 사이에서 나오기 시작하면 ‘재고 파악’부터 하는 게 맞다. 하지만 많은 전문가들이 이 과정은 절대 쉽지 않으며, 시간도 오래 걸린다고 경고한다. 닥쳐서 하면 쉽게 하지 못할 작업이니 미리부터 준비해두는 것이 현명하다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>