아무 것도 믿지 말라, 제로트러스트...보안원칙의 하나로 자리 잡아
솔라윈즈 등 굵직한 사건 연이어 터지며 주목받은 공급망 보안, SBOM이 대안으로 떠올라
[보안뉴스 원병철 기자] 2014년과 2015년, 연이어 발생한 미국 연방인사관리처(OPM) 해킹사건은 2,200만 명의 개인정보 유출과 함께 미국사상 최악의 해킹사건으로 꼽혔다. 특히 연이은 해킹공격에 인사관리처의 사용자 인증 시스템의 허술함과 보안 실태의 문제점이 수사결과 밝혀지면서 미국 정부를 중심으로 ‘제로트러스트(Zero Trust)’ 모델의 도입이 요구됐다.
[이미지=utoimage]
제로트러스트는 ‘아무것도 믿지 말라’는 의미로 1994년 S.P. March의 ‘Formalising Thrust as a Computational Concept’ 보고서에서 처음 언급됐고, 이후 2003년 제리코 포럼(Jericho Forum)의 ‘조직 IT시스템 경제 정의’와 2009년 구글의 제로트러스트 환경 ‘BeyoundCorp’ 등에서 거론됐다. ‘제로트러스트’라는 용어는 2010년 포레스터 리서치의 존 킨더버그(John Kindervag) 수석 애널리스트가 발표한 ‘No More Chewy Centers : Introducing The Zero Trust Model of Information Security’ 보고서였는데, 비교적 보안이 느슨한 내부에 사이버 범죄자들이 침투했을 때 새로운 보안모델로 제로트러스트를 주장했다.
이러한 제로트러스트는 초기에는 보안기업의 마케팅 용어로 사용되며 하나의 솔루션처럼 소개됐지만, OPM 해킹사건 이후 미국표준기술연구소(NIST)가 2020년 8월 ‘SP 800-207’ 보고서에서 ‘제로트러스트 아키텍처(Zero Trust Architecture)’를 소개하면서 ‘보안원칙’ 중 하나로 자리 잡게 됐다. 실제로 SP 800-207 보고서 이후 미국 연방정부와 의회는 제로트러스트 도입에 팔을 걷었다.
2021년 5월 바이든 대통령은 ‘국가 사이버보안 개선을 위한 행정 명령(Executive Order 14028)’을 발표했고, 6월 미국 사이버보안 전담기관 CISA는 제로트러스트 성숙도 모델(Pre-decisional Draft)을 발간했다. 7월에는 NIST가 ‘행정명령(EO-14028)’ 관련 주요 소프트웨어에 대한 보안성 관련 지침을 발표했고, 미국백악관관리예산처(OMB)는 제로트러스트 사이버 보안 원칙을 향한 미 연방정부 전략에 관한 각서를 발표했다. 2022년 5월 NIST는 제로트러스트 아키텍처 계획 : 연방 관리자를 위한 계획수립 지침 백서 ‘CSWP 20’을 발간했으며, 같은 해 8월 제로트러스트 아키텍처 구현(SP-1800-35A~D, Preliminary Draft)을 발간했다.
공급망 보안은 연이어 발생한 ‘공급망 공격(Supply Chain Attack)’에 대응할 수 있는 방법으로 제시됐다. 여기서 공급망이란 소프트웨어 개발부터 배포, 설치, 유지보수에 이르는 모든 과정을 말하며, 공급망 공격이란 공격자가 공급망의 과정에 개입해 변조된 소프트웨어를 사용자의 시스템에 전달되도록 하는 공격이다. 대표적인 공급망 공격 사건인 미국의 솔라윈즈는 유지보수(업데이트) 단계를 노려 발생한 사건이다. 공격자는 솔라윈즈의 시스템 내부에 침입해 업데이트 파일을 변조하고, 정상적인 업데이트 채널을 통해 사용자에게 전파했다.
공급망 보안이 이슈가 된 이유는 외부의 공격도 있지만, 대부분의 소프트웨어가 오픈소스를 이용하거나 라이브러리를 엮어서 하나의 시스템을 만드는 경우가 많다는 것도 한몫했다. 문제는 이러한 상태에서 하나의 컴포넌트(소프트웨어 모듈을 미리 만들고, 필요할 때 이를 조립하는 것)에 ‘취약점’이 발생할 경우 이를 이용한 모든 소프트웨어가 감염될 수 있다는 점이다. 심지어 취약점이 있는 컴포넌트를 사용했는지 조차 모르고 지나칠 수도 있다.
이때 필요한 것이 바로 SBOM이다. SBOM은 Software Bill of Materials, 즉 소프트웨어 자재 명세서의 줄임말로, 이를 이용해 어떤 컴포넌트로 구성됐는지 파악해 놓으면, 나중에 취약점이 발생했을 때 바로 확인해 대응할 수 있다. 물론 소프트웨어 자체에 취약점이 있다면 SBOM이 도움이 안 될 수도 있지만, 현재 많은 사이버 공격그룹들이 공급망 공격에 집중하는 상황에서 최소한의 보안 강화를 할 수 있다는 점에서 주목받고 있다. 바이든 행정부도 행정명령 14028을 통해 SBOM을 언급했다.
이처럼 미국정부를 중심으로 제로트러스트와 공급망 보안(SBOM)이 체계를 갖추고, 영국 등이 보조를 맞추고 있는 상황에서, 우리나라 역시 2022년 10월 26일 ‘제로트러스트·공급망 보안 포럼’을 발족하고 기존 보안체계의 한계를 뛰어 넘는 신보안체계 마련에 나섰다. 때문에 제로트러스트와 공급망 보안, 이 두 가지 키워드는 2023년 사이버보안의 판도에 큰 영향을 끼칠 것으로 기대된다.
[원병철 기자(boanone@boannews.com)]
솔라윈즈 등 굵직한 사건 연이어 터지며 주목받은 공급망 보안, SBOM이 대안으로 떠올라
[보안뉴스 원병철 기자] 2014년과 2015년, 연이어 발생한 미국 연방인사관리처(OPM) 해킹사건은 2,200만 명의 개인정보 유출과 함께 미국사상 최악의 해킹사건으로 꼽혔다. 특히 연이은 해킹공격에 인사관리처의 사용자 인증 시스템의 허술함과 보안 실태의 문제점이 수사결과 밝혀지면서 미국 정부를 중심으로 ‘제로트러스트(Zero Trust)’ 모델의 도입이 요구됐다.
[이미지=utoimage]
제로트러스트는 ‘아무것도 믿지 말라’는 의미로 1994년 S.P. March의 ‘Formalising Thrust as a Computational Concept’ 보고서에서 처음 언급됐고, 이후 2003년 제리코 포럼(Jericho Forum)의 ‘조직 IT시스템 경제 정의’와 2009년 구글의 제로트러스트 환경 ‘BeyoundCorp’ 등에서 거론됐다. ‘제로트러스트’라는 용어는 2010년 포레스터 리서치의 존 킨더버그(John Kindervag) 수석 애널리스트가 발표한 ‘No More Chewy Centers : Introducing The Zero Trust Model of Information Security’ 보고서였는데, 비교적 보안이 느슨한 내부에 사이버 범죄자들이 침투했을 때 새로운 보안모델로 제로트러스트를 주장했다.
이러한 제로트러스트는 초기에는 보안기업의 마케팅 용어로 사용되며 하나의 솔루션처럼 소개됐지만, OPM 해킹사건 이후 미국표준기술연구소(NIST)가 2020년 8월 ‘SP 800-207’ 보고서에서 ‘제로트러스트 아키텍처(Zero Trust Architecture)’를 소개하면서 ‘보안원칙’ 중 하나로 자리 잡게 됐다. 실제로 SP 800-207 보고서 이후 미국 연방정부와 의회는 제로트러스트 도입에 팔을 걷었다.
2021년 5월 바이든 대통령은 ‘국가 사이버보안 개선을 위한 행정 명령(Executive Order 14028)’을 발표했고, 6월 미국 사이버보안 전담기관 CISA는 제로트러스트 성숙도 모델(Pre-decisional Draft)을 발간했다. 7월에는 NIST가 ‘행정명령(EO-14028)’ 관련 주요 소프트웨어에 대한 보안성 관련 지침을 발표했고, 미국백악관관리예산처(OMB)는 제로트러스트 사이버 보안 원칙을 향한 미 연방정부 전략에 관한 각서를 발표했다. 2022년 5월 NIST는 제로트러스트 아키텍처 계획 : 연방 관리자를 위한 계획수립 지침 백서 ‘CSWP 20’을 발간했으며, 같은 해 8월 제로트러스트 아키텍처 구현(SP-1800-35A~D, Preliminary Draft)을 발간했다.
공급망 보안은 연이어 발생한 ‘공급망 공격(Supply Chain Attack)’에 대응할 수 있는 방법으로 제시됐다. 여기서 공급망이란 소프트웨어 개발부터 배포, 설치, 유지보수에 이르는 모든 과정을 말하며, 공급망 공격이란 공격자가 공급망의 과정에 개입해 변조된 소프트웨어를 사용자의 시스템에 전달되도록 하는 공격이다. 대표적인 공급망 공격 사건인 미국의 솔라윈즈는 유지보수(업데이트) 단계를 노려 발생한 사건이다. 공격자는 솔라윈즈의 시스템 내부에 침입해 업데이트 파일을 변조하고, 정상적인 업데이트 채널을 통해 사용자에게 전파했다.
공급망 보안이 이슈가 된 이유는 외부의 공격도 있지만, 대부분의 소프트웨어가 오픈소스를 이용하거나 라이브러리를 엮어서 하나의 시스템을 만드는 경우가 많다는 것도 한몫했다. 문제는 이러한 상태에서 하나의 컴포넌트(소프트웨어 모듈을 미리 만들고, 필요할 때 이를 조립하는 것)에 ‘취약점’이 발생할 경우 이를 이용한 모든 소프트웨어가 감염될 수 있다는 점이다. 심지어 취약점이 있는 컴포넌트를 사용했는지 조차 모르고 지나칠 수도 있다.
이때 필요한 것이 바로 SBOM이다. SBOM은 Software Bill of Materials, 즉 소프트웨어 자재 명세서의 줄임말로, 이를 이용해 어떤 컴포넌트로 구성됐는지 파악해 놓으면, 나중에 취약점이 발생했을 때 바로 확인해 대응할 수 있다. 물론 소프트웨어 자체에 취약점이 있다면 SBOM이 도움이 안 될 수도 있지만, 현재 많은 사이버 공격그룹들이 공급망 공격에 집중하는 상황에서 최소한의 보안 강화를 할 수 있다는 점에서 주목받고 있다. 바이든 행정부도 행정명령 14028을 통해 SBOM을 언급했다.
이처럼 미국정부를 중심으로 제로트러스트와 공급망 보안(SBOM)이 체계를 갖추고, 영국 등이 보조를 맞추고 있는 상황에서, 우리나라 역시 2022년 10월 26일 ‘제로트러스트·공급망 보안 포럼’을 발족하고 기존 보안체계의 한계를 뛰어 넘는 신보안체계 마련에 나섰다. 때문에 제로트러스트와 공급망 보안, 이 두 가지 키워드는 2023년 사이버보안의 판도에 큰 영향을 끼칠 것으로 기대된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
