미 국방부, OT 환경에 적용가능한 제로트러스트 도입 전략 발표 계획 중
제로트러스트 민간 도입, 구체적인 산업별 전략, 교육, 인센티브, 연구개발 지원 등 고려해야
[보안뉴스= 이석준 한국정보보호학회 제로트러스트연구회 위원장] 우리는 지금 디지털 대전환의 시대에 살고 있다. 인공지능, 클라우드, 사물인터넷 같은 디지털 기술은 더 이상 특정 산업의 전유물이 아니며, 기업의 운영 방식은 물론 우리의 일상까지 빠르게 바꾸고 있다. 예전에는 단지 업무에 도움을 주는 도구였던 IT 기술이 이제는 일을 하는 방식의 본질로 자리 잡고 있으며, 제조, 유통처럼 과거 IT와 거리가 멀었던 전통적인 산업 분야들조차도 디지털 기술 없이는 더 이상 돌아가지 않는다.
[자료: gettyimagesbank]
하지만 이러한 변화는 해커와 같은 사이버 범죄자들에게 새로운 공격의 통로를 제공할 뿐만 아니라 해킹 기술 역시 지속적으로 정교하고 교묘해지고 있다. 2021년 미국 동부 지역의 연료 공급망을 마비시킨 콜로니얼 파이프라인 랜섬웨어 공격, 2024년 미국 의료 시스템을 멈춰 세운 체인지 헬스케어 해킹 사고는, 각 기업이 지능화된 공격에 대응하기 어려울 뿐만 아니라 해당 공격으로 인한 피해가 사이버 공간에 머무르지 않고 국가 안보 및 인프라까지 위협할 수 있다는 교훈을 안겨준다. 이처럼 사이버 위협이 일상이 된 지금, 우리는 다시 한번 묻게 된다. “기존 보안 방식으로 이 모든 것을 막을 수는 없는가?”
대부분의 기업과 기관들은 오랫동안 경계형 보안 모델(Perimeter Security)을 채택해 왔다. 이는 기업망과 외부망(인터넷 등)의 접점에서 방화벽, 침입탐지 시스템 등의 보안 솔루션을 이용해 외부로부터의 침입에 대응하는 방식을 의미한다. 이러한 방식은 단순하면서도 매우 효율적인 구조로 인하여 비용이 비교적 적게 들고 관리가 쉽다는 장점이 있다.
그러나 이 방식이 효과적이라면 다음과 같은 전제 조건이 만족되어야 한다. 첫째, 데이터와 이를 접속하는 사용자, 기기가 모두 기업망 내부에 있어야 한다. 그러나 지금은 그렇지 않다. 기업들은 클라우드 인프라를 적극 활용하고 있으며, 직원들은 재택근무를 한다. 본사와 지사가 여러 지역에 흩어져 있으며, 협력사와 데이터를 주고받아야 한다. 다시 말하면, ‘경계’ 자체가 점차 사라지고 있는 시대다.
또 다른 조건은 기업망 내부에는 공격자가 존재하지 않을 것이라는 믿음이다. 하지만 이 역시 실제로 달성하기는 어렵다. 내부 직원 계정 탈취, 피싱 메일 및 스미싱 기반 공격, USB 등을 통한 침투 등은 이미 현실에서 일어나고 있다. 과거 스턱스넷의 사례는 망분리를 통해 외부와 물리적으로 단절된 네트워크라 하더라도 침투에 성공할 수도 있음을 보여준다. 따라서, 기업망 내부도 안전하지 않다(언제든지 공격자가 이미 침투에 성공했을 수도 있음)는 인식하에 새로운 보안 전략을 설계해야 한다.
이러한 문제의식에서 나온 개념이 바로 제로트러스트 보안 전략이다. 핵심은 간단하다. ‘Never Trust, Always Verify(절대 신뢰하지 말고, 항상 검증하라)’. 처음 제로트러스트 개념이 등장한 것은 2010년으로 당시에는 지금처럼 많은 주목을 받지 못했다. 그러나 2014년부터 2015년에 이르기까지 발생했던 미 인사관리처에서 발생한 대량의 개인정보유출 해킹사고 이후 제로트러스트 보안 전략이 미 하원 정부개혁감독위원회의 권고안 중 하나로 제시되면서 본격적으로 관심을 받기 시작했다. 2021년 바이든 대통령의 행정명령을 통해 본격적으로 도입을 선언한 이후, 2022년 관리예산실의 도입 원칙에 따라 기관별로 2024년 9월까지 제로트러스트 도입을 완료했다. 연방정부 CISO 대행인 Mike Duffy는 2024년 10월 인터뷰에서 각 기관들이 제로트러스트 구현에 대해 엄청난 진전을 이루었음을 언급하고 이제부터 방어가능한 아키텍처 활용을 위한 운영에 초점에 맞추겠다고 선언한 바 있다.
한국 역시 제로트러스트를 도입하기 위한 다양한 노력이 있었다. 과학기술정보통신부는 2023년 제로트러스트 가이드라인 1.0 발간에 이어, 2024년 12월 성숙도 모델 및 기업의 도입 전략을 구체화한 가이드라인 2.0을 발표했을 뿐만 아니라, 2023년 실증 지원사업 및 2024년부터 지속적인 도입 시범 사업 및 컨설팅사업을 통해 민간에서의 모범사례를 확보하기 위한 노력을 계속하고 있다. 금융위 역시 금융보안규제 선진화를 위한 핵심 보안모델로 제로트러스트에 입각한 금융보안체계를 강조한 바 있다.
이러한 흐름 속에 제로트러스트는 기업망 내부의 위협을 통제하고 주요 디지털 자산에 대한 정밀한 접근 제어 및 실시간 가시성을 확보하기 위한 기업들의 기본 보안 모델로서 채택될 것임은 자명하다. 그럼에도 불구하고, 제로트러스트에 대해서 여전히 오해와 혼선이 많이 존재한다.
가장 큰 오해는 ‘망분리를 했느냐 안 했느냐’와 같이 특정 기술의 적용 여부를 바탕으로 제로트러스트 여부를 판단하려는 것이다. 제로트러스트는 특정 보안 기술 하나를 의미하는 것이 아니라, 보안에 관한 철학과 전략적 접근 방식을 의미한다. 망분리 기술의 적용 여부와 관계없이, 중요한 것은 “모든 접근을 검증하고, 최소 권한만 허용하며, 내부에서도 지속적으로 감시하고 있는가”이다. 이처럼 레거시 보안 기술 역시 보안을 강화한다는 면에서 제로트러스트 성숙도의 높고 낮음을 판단할 수는 있으나, 그 기술을 사용했다고 제로트러스트라거나 혹은 제로트러스트가 아니라고 판단할 수 없는 것이다.
이러한 점을 고려하면, 이미 각 기업의 보안 담당자들은 제로트러스트를 위한 노력을 진행하고 있다고 볼 수 있다. 다만 유의해야 할 것은 보다 체계적이어야 하며, 한 번에 제로트러스트 체계를 완성하려고 시도하지 않아야 한다는 것이다. 먼저 기업망 내부에서 보호 대상을 파악한 후 기구축한 보안 구조를 검토하고 NIST SP 800-207, 제로트러스트 가이드라인 등이 제시하는 제로트러스트의 기본 원리를 얼마나 준수하고 있는지 점검하는 것부터 시작할 수 있다. 또한 제로트러스트 성숙도가 높은 기술 중 현재 혹은 미래에 적용할 수 있는 기술에 대해 분석해 계획을 수립한다면 한 걸음 앞으로 나갈 수 있을 것이다.
기업의 이러한 노력과 함께, 정부는 민간의 제로트러스트 보안 모델 도입을 촉진할 수 있는 구체적인 전략을 추가로 수립할 수 있다. 미국은 연방정부의 도입 지침과 사례가 자연스럽게 민간에 확산할 수 있는 정책을 펴고 있으며, 최근 미 국방부에서는 OT 환경에 적용가능한 제로트러스트 도입 전략 발표를 계획하고 있다. 또한 제로트러스트를 문화적으로 받아들이는 것에 어려움을 느끼고 이를 극복할 수 있는 노력도 필요함을 언급한 바 있다.
▲이석준 한국정보보호학회 제로트러스트연구회 위원장[사진=이석준 교수]
우리나라 역시 현재 진행 중인 노력과 함께, 민간의 도입 촉진을 위한 구체적인 산업별 전략, 교육 프로그램, 인센티브 제도, 관련 기술 연구개발 지원 등을 고려할 필요가 있다. OT를 포함해 각 산업군(이동통신, 자동차, 의료 등)을 고려한 구체적인 제로트러스트 전환 지침 및 성숙도 평가 모델을 수립할 수 있으며, 제로트러스트 보안 모델 및 도입 전략에 대한 민간 대상 교육 프로그램 및 실무 가이드의 개발 등도 가능할 것이다. 일정 수준의 성숙도를 만족하는 제로트러스트 보안 모델을 채택한 민간 기업에게 조달이나 국가사업 참여시 가점을 준다거나, ISMS-P, 클라우드 보안인증제 등 인증시 간소화 혜택을 주는 것도 고려할 수 있다. 상황인지 기반 신뢰도 판단 기술, 지속인증 기술, OT 제로트러스트 기술 등 관련 기술 연구개발을 적극 지원할 수도 있을 것이다.
보이지 않는 세상에서, 보안의 기준은 ‘신뢰’가 아니라 ‘검증’이다. 사이버 공간은 현실과 다르기에, 겉으로는 평화로워 보여도 눈에 보이지 않는 네트워크 패킷의 특성상 누가 어디서 침투했는지를 쉽게 알아낼 수 없으며, 무조건적인 신뢰보다 지속적인 검증과 관리가 매우 중요하다. 제로트러스트는 이제 더 이상 선택이 아니다. 기업은 제로트러스트 보안 전략을 받아들이고 실천해야 하며, 정부는 정책적으로 그 길을 함께 설계하고 안내함으로써 우리 사회의 안전성을 더욱 높여 나갈 수 있을 것이다.
[글_ 이석준 한국정보보호학회 제로트러스트연구회 위원장(가천대학교 교수)]
제로트러스트 민간 도입, 구체적인 산업별 전략, 교육, 인센티브, 연구개발 지원 등 고려해야
[보안뉴스= 이석준 한국정보보호학회 제로트러스트연구회 위원장] 우리는 지금 디지털 대전환의 시대에 살고 있다. 인공지능, 클라우드, 사물인터넷 같은 디지털 기술은 더 이상 특정 산업의 전유물이 아니며, 기업의 운영 방식은 물론 우리의 일상까지 빠르게 바꾸고 있다. 예전에는 단지 업무에 도움을 주는 도구였던 IT 기술이 이제는 일을 하는 방식의 본질로 자리 잡고 있으며, 제조, 유통처럼 과거 IT와 거리가 멀었던 전통적인 산업 분야들조차도 디지털 기술 없이는 더 이상 돌아가지 않는다.
[자료: gettyimagesbank]
하지만 이러한 변화는 해커와 같은 사이버 범죄자들에게 새로운 공격의 통로를 제공할 뿐만 아니라 해킹 기술 역시 지속적으로 정교하고 교묘해지고 있다. 2021년 미국 동부 지역의 연료 공급망을 마비시킨 콜로니얼 파이프라인 랜섬웨어 공격, 2024년 미국 의료 시스템을 멈춰 세운 체인지 헬스케어 해킹 사고는, 각 기업이 지능화된 공격에 대응하기 어려울 뿐만 아니라 해당 공격으로 인한 피해가 사이버 공간에 머무르지 않고 국가 안보 및 인프라까지 위협할 수 있다는 교훈을 안겨준다. 이처럼 사이버 위협이 일상이 된 지금, 우리는 다시 한번 묻게 된다. “기존 보안 방식으로 이 모든 것을 막을 수는 없는가?”
대부분의 기업과 기관들은 오랫동안 경계형 보안 모델(Perimeter Security)을 채택해 왔다. 이는 기업망과 외부망(인터넷 등)의 접점에서 방화벽, 침입탐지 시스템 등의 보안 솔루션을 이용해 외부로부터의 침입에 대응하는 방식을 의미한다. 이러한 방식은 단순하면서도 매우 효율적인 구조로 인하여 비용이 비교적 적게 들고 관리가 쉽다는 장점이 있다.
그러나 이 방식이 효과적이라면 다음과 같은 전제 조건이 만족되어야 한다. 첫째, 데이터와 이를 접속하는 사용자, 기기가 모두 기업망 내부에 있어야 한다. 그러나 지금은 그렇지 않다. 기업들은 클라우드 인프라를 적극 활용하고 있으며, 직원들은 재택근무를 한다. 본사와 지사가 여러 지역에 흩어져 있으며, 협력사와 데이터를 주고받아야 한다. 다시 말하면, ‘경계’ 자체가 점차 사라지고 있는 시대다.
또 다른 조건은 기업망 내부에는 공격자가 존재하지 않을 것이라는 믿음이다. 하지만 이 역시 실제로 달성하기는 어렵다. 내부 직원 계정 탈취, 피싱 메일 및 스미싱 기반 공격, USB 등을 통한 침투 등은 이미 현실에서 일어나고 있다. 과거 스턱스넷의 사례는 망분리를 통해 외부와 물리적으로 단절된 네트워크라 하더라도 침투에 성공할 수도 있음을 보여준다. 따라서, 기업망 내부도 안전하지 않다(언제든지 공격자가 이미 침투에 성공했을 수도 있음)는 인식하에 새로운 보안 전략을 설계해야 한다.
이러한 문제의식에서 나온 개념이 바로 제로트러스트 보안 전략이다. 핵심은 간단하다. ‘Never Trust, Always Verify(절대 신뢰하지 말고, 항상 검증하라)’. 처음 제로트러스트 개념이 등장한 것은 2010년으로 당시에는 지금처럼 많은 주목을 받지 못했다. 그러나 2014년부터 2015년에 이르기까지 발생했던 미 인사관리처에서 발생한 대량의 개인정보유출 해킹사고 이후 제로트러스트 보안 전략이 미 하원 정부개혁감독위원회의 권고안 중 하나로 제시되면서 본격적으로 관심을 받기 시작했다. 2021년 바이든 대통령의 행정명령을 통해 본격적으로 도입을 선언한 이후, 2022년 관리예산실의 도입 원칙에 따라 기관별로 2024년 9월까지 제로트러스트 도입을 완료했다. 연방정부 CISO 대행인 Mike Duffy는 2024년 10월 인터뷰에서 각 기관들이 제로트러스트 구현에 대해 엄청난 진전을 이루었음을 언급하고 이제부터 방어가능한 아키텍처 활용을 위한 운영에 초점에 맞추겠다고 선언한 바 있다.
한국 역시 제로트러스트를 도입하기 위한 다양한 노력이 있었다. 과학기술정보통신부는 2023년 제로트러스트 가이드라인 1.0 발간에 이어, 2024년 12월 성숙도 모델 및 기업의 도입 전략을 구체화한 가이드라인 2.0을 발표했을 뿐만 아니라, 2023년 실증 지원사업 및 2024년부터 지속적인 도입 시범 사업 및 컨설팅사업을 통해 민간에서의 모범사례를 확보하기 위한 노력을 계속하고 있다. 금융위 역시 금융보안규제 선진화를 위한 핵심 보안모델로 제로트러스트에 입각한 금융보안체계를 강조한 바 있다.
이러한 흐름 속에 제로트러스트는 기업망 내부의 위협을 통제하고 주요 디지털 자산에 대한 정밀한 접근 제어 및 실시간 가시성을 확보하기 위한 기업들의 기본 보안 모델로서 채택될 것임은 자명하다. 그럼에도 불구하고, 제로트러스트에 대해서 여전히 오해와 혼선이 많이 존재한다.
가장 큰 오해는 ‘망분리를 했느냐 안 했느냐’와 같이 특정 기술의 적용 여부를 바탕으로 제로트러스트 여부를 판단하려는 것이다. 제로트러스트는 특정 보안 기술 하나를 의미하는 것이 아니라, 보안에 관한 철학과 전략적 접근 방식을 의미한다. 망분리 기술의 적용 여부와 관계없이, 중요한 것은 “모든 접근을 검증하고, 최소 권한만 허용하며, 내부에서도 지속적으로 감시하고 있는가”이다. 이처럼 레거시 보안 기술 역시 보안을 강화한다는 면에서 제로트러스트 성숙도의 높고 낮음을 판단할 수는 있으나, 그 기술을 사용했다고 제로트러스트라거나 혹은 제로트러스트가 아니라고 판단할 수 없는 것이다.
이러한 점을 고려하면, 이미 각 기업의 보안 담당자들은 제로트러스트를 위한 노력을 진행하고 있다고 볼 수 있다. 다만 유의해야 할 것은 보다 체계적이어야 하며, 한 번에 제로트러스트 체계를 완성하려고 시도하지 않아야 한다는 것이다. 먼저 기업망 내부에서 보호 대상을 파악한 후 기구축한 보안 구조를 검토하고 NIST SP 800-207, 제로트러스트 가이드라인 등이 제시하는 제로트러스트의 기본 원리를 얼마나 준수하고 있는지 점검하는 것부터 시작할 수 있다. 또한 제로트러스트 성숙도가 높은 기술 중 현재 혹은 미래에 적용할 수 있는 기술에 대해 분석해 계획을 수립한다면 한 걸음 앞으로 나갈 수 있을 것이다.
기업의 이러한 노력과 함께, 정부는 민간의 제로트러스트 보안 모델 도입을 촉진할 수 있는 구체적인 전략을 추가로 수립할 수 있다. 미국은 연방정부의 도입 지침과 사례가 자연스럽게 민간에 확산할 수 있는 정책을 펴고 있으며, 최근 미 국방부에서는 OT 환경에 적용가능한 제로트러스트 도입 전략 발표를 계획하고 있다. 또한 제로트러스트를 문화적으로 받아들이는 것에 어려움을 느끼고 이를 극복할 수 있는 노력도 필요함을 언급한 바 있다.
▲이석준 한국정보보호학회 제로트러스트연구회 위원장[사진=이석준 교수]
우리나라 역시 현재 진행 중인 노력과 함께, 민간의 도입 촉진을 위한 구체적인 산업별 전략, 교육 프로그램, 인센티브 제도, 관련 기술 연구개발 지원 등을 고려할 필요가 있다. OT를 포함해 각 산업군(이동통신, 자동차, 의료 등)을 고려한 구체적인 제로트러스트 전환 지침 및 성숙도 평가 모델을 수립할 수 있으며, 제로트러스트 보안 모델 및 도입 전략에 대한 민간 대상 교육 프로그램 및 실무 가이드의 개발 등도 가능할 것이다. 일정 수준의 성숙도를 만족하는 제로트러스트 보안 모델을 채택한 민간 기업에게 조달이나 국가사업 참여시 가점을 준다거나, ISMS-P, 클라우드 보안인증제 등 인증시 간소화 혜택을 주는 것도 고려할 수 있다. 상황인지 기반 신뢰도 판단 기술, 지속인증 기술, OT 제로트러스트 기술 등 관련 기술 연구개발을 적극 지원할 수도 있을 것이다.
보이지 않는 세상에서, 보안의 기준은 ‘신뢰’가 아니라 ‘검증’이다. 사이버 공간은 현실과 다르기에, 겉으로는 평화로워 보여도 눈에 보이지 않는 네트워크 패킷의 특성상 누가 어디서 침투했는지를 쉽게 알아낼 수 없으며, 무조건적인 신뢰보다 지속적인 검증과 관리가 매우 중요하다. 제로트러스트는 이제 더 이상 선택이 아니다. 기업은 제로트러스트 보안 전략을 받아들이고 실천해야 하며, 정부는 정책적으로 그 길을 함께 설계하고 안내함으로써 우리 사회의 안전성을 더욱 높여 나갈 수 있을 것이다.
[글_ 이석준 한국정보보호학회 제로트러스트연구회 위원장(가천대학교 교수)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
