[2022 보안 핫키워드-5] 분산 네트워크와 제로트러스트의 대두

2021-12-26 23:48
  • 카카오톡
  • 네이버 블로그
  • url
<보안뉴스>는 보안전문기자들 간의 열띤 논의와 토론을 거쳐 다가오는 2022년에 가장 주목해야 할 보안 분야 핫키워드 10가지를 선정했습니다. 본지에서는 10개의 핫키워드를 차례로 소개하는 한편, 선정된 이슈를 중심으로 2022년 다양한 특집기획 기사를 진행할 예정입니다. 많은 관심과 성원 부탁드립니다. [편집자주]

COVID-19 때문에 생긴 IT 디아스포라가 세상을 뒤덮고 있다. 분산 네트워크가 바로 그것이다. 그러면서 사이버 공격은 보다 원활해졌다. 각종 사이버 공격자들이 활개를 치기 시작했고, 재택근무자들은 집에서 나홀로 방어에 나서야만 했다. 잘 될 리가 없었다.

[보안뉴스 문가용 기자] 코로나로 인해 재택근무가 본격적으로, 시급하게 시작됐다. 각자 집으로 흩어져 맡은 일들을 처리하게 되면서 ‘분산 네트워크’가 반강제적으로 유행하기 시작했는데, 처음 기업들은 집으로 보낸 직원들이 생산량을 예전처럼 맞추는 데에 온통 몰두했다.


[이미지 = utoimage]

그러다 보니 보안은 후순위로 밀려났고, 엔드포인트들은 각종 사이버 공격의 집중포화를 맞았다. 코로나에서 파생되는 각종 사회적 이슈들을 피싱 공격자들은 빠르게 활용하곤 했고, 집에 있던 직원들은 이러한 피싱 링크를 무심코 누르거나 악성파일을 의심 없이 열어 회사 크리덴셜을 빼앗기거나, 공격자들이 회사 네트워크나 클라우드 계정으로 접근하도록 했다.

여기에 보안 업계는 크게 두 가지 해결책을 들고 나오는데, 그 중 하나가 ‘제로트러스트’다. 아무 것도 믿지 말고 전부 확인을 해야 한다는 내용의 보안 철학이자 원칙이 바로 이 제로트러스트다. 원래 있어왔던 개념이었지만 크게 힘을 받지 못했었다가 코로나와 랜섬웨어라는 두 가지 팬데믹이 덮치자 논의의 중심으로 자리를 옮기게 됐다.

제로트러스트는 ‘모든 엔드포인트와 모든 트래픽이 감염되었다’는 전제에서 출발한다. 이는 ‘if가 아니라 when의 문제’라는 현대의 보안 개념과 일맥상통한다. ‘if가 아니라 when’이란, 보안을 기획하고 구성할 때 ‘해킹이 될지도, 안 될지도 모른다’는 게 아니라 ‘언제인지를 정확히 모를 뿐 이미 해킹은 됐다’는 생각으로 접근하는 것을 말한다. 다른 말로 표현하자면, 모든 공격을 예방하려고 노력하는 것이 아니라, 공격이 이미 들어왔다고 생각하고 피해를 최소화하는 것에 집중하는 것이기도 하다.

예방이 아니라 피해 최소화를 위해 제로트러스트를 실제로 도입한다는 건 간단히 말해 ‘권한 최소화의 원칙’을 도입하는 것과 같다. 조직 내 각 구성원이 자기의 맡은 업무를 처리할 때 필요로 하는 권한만을 부여하는 것이다. 누구나 회사 클라우드 계정 비밀번호를 알게 된다거나, 여러 사람이 회사 공식 SNS 계정에 접근할 줄 알게 되는 지금의 사무실 분위기와 정반대되는 것으로, 이는 경영진에게도 적용되는 것이 원칙이다.

팬데믹이라는 바람을 타긴 했지만 제로트러스트가 온전히 대세로 자리를 잡은 것은 아니다. 사람에게는 ‘신뢰하려는 본성’이 있기 때문이라고 일부 전문가들은 분석한다. 또한 경영진이나 관리자급에서 권한 축소를 달가워하는 사람이 많지 않다는 것도 문제가 되고 있다는 현장에서의 불만도 나오고 있는 상황이다. 단순히 기술적인 문제가 아니라 기업 문화와도 연결이 된 것이라 내년에도 도입하는 데에만 시간이 흘러갈 것으로 예상된다.

제로트러스트의 원활한 도입은 조직 내 실존하는 모든 디지털 자원에 대한 ‘재고 파악’을 전제로 깔고 있다. 심지어 각 하위 조직과 조직원들의 업무 프로세스까지도 보안 부서 및 책임자가 파악하고 있어야 한다. 그래야 어느 정도의 권한을 부여할지 결정하고, 어떤 경로로 어떤 데이터에 접근하는 것이 정상적 행위인지 규정할 수 있기 때문이다. 이런 바탕 위에 ‘모든 것을 철저히 검사한다’는 원칙이 세워져야 한다.

그러므로 2022년을 맞이하는 보안 담당자들이라면 언제고 ‘재고 파악’의 지시가 떨어질지 모른다는 걸 염두에 두어야 한다. 지시가 내려오지 않더라도 ‘제로트러스트’라는 표현이 경영진들 사이에서 나오기 시작하면 ‘재고 파악’부터 하는 게 맞다. 하지만 많은 전문가들이 이 과정은 절대 쉽지 않으며, 시간도 오래 걸린다고 경고한다. 닥쳐서 하면 쉽게 하지 못할 작업이니 미리부터 준비해두는 것이 현명하다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기