동화에서 엄마로 가장한 늑대를 구분하는 보안 시스템이 바로 제로 트러스트 보안 모델
제로 트러스트 모델, 디지털 전환 전략의 일환으로 반드시 고려돼야

[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] 아무도 믿지 마라(Don’t trust anyone!). 첩보 영화에나 나올 법한 이 말이 최근 디지털 트랜스포메이션과 함께 보안에 필수 용어로 자리 잡았다. 경계 없는 보안이라고도 하는 제로 트러스트 보안 모델(Zero Trust Security Model)은 시스템 외부와 내부를 따로 나누지 않고 모든 곳이 위험하다고 전제한다. 보안에서만큼은 당연한 이 논리가 2010년 처음 나왔지만 왜 지금 와서 보안의 중심이 되어 가는 것일까?


[이미지=utoimage, 텍스트 편집=보안뉴스]

무엇보다 코로나19로 인한 클라우드 확산으로 재택근무가 가능해졌기 때문이다. 과거에는 외부에서 내부로 접근하는 대상이 공격자였다면 이제는 직원 또한 대상에 포함이 된다. 따라서 공격자와 내부 직원을 구분할 수 있는 보안 시스템을 구축하는 것이 제로 트러스트 보안 모델이다.

그림 형제가 쓴 동화 ‘늑대와 일곱 마리 아기 염소’를 떠올리면 제로 트러스트에 대한 개념을 이해하는데 도움이 되지 않을까.

엄마 염소가 시장에 가면서 아기 염소들에게 아무에게도 문을 열어주어서는 안 된다고 당부를 하고 집을 비운 사이 못된 늑대가 나타났다. 늑대가 나타나 문을 두드렸다. “누구세요?” 아기 염소들이 묻자 늑대가 “엄마야”하고 답하자 “우리 엄마 목소리는 그렇게 거칠지 않아.” 그러자 늑대는 달걀을 먹고 다시 문을 두드렸다. 모두가 속을 뻔한 상황에서 막내 염소가 말했다. “문틈으로 발을 내밀어 봐.” 침입에 실패한 늑대는 방앗간으로 가서 밀가루를 묻히고 다시 문을 두드렸다. 그러자 엄마가 맞다고 확신한 아기 염소들은 문을 열자 괘종시계에 숨은 막내 아기 염소를 빼고는 모두 늑대에게 잡아 먹혔다. 동화는 엄마 염소의 지혜로 아기 염소들을 살려내는 해피엔딩으로 끝이 난다.

하지만 보안에서 해피엔딩이 있을 수 있을까? 동화를 통해 우리가 생각해 볼 수 있는 것은 보안에 있어 제로 트러스트 역시 단순 기술이 아니라 프로세스이며 정책이 더 중요하다는 것이다.

만약 엄마 염소가 아기 염소들에게 늑대인지 아닌지 체크할 수 있는 구체적인 몇 가지 프로세스를 줬다면 아기 염소들이 잡아먹히는 비극이 일어났을까? 아주 함축해서 이야기하면 엄마로 가장한 늑대를 구분하는 보안 시스템이 바로 제로 트러스트 보안 모델이다.


▲맥아피 사의 ZTNA인 UCE(Unified Cloud Edge) 아키텍쳐

제로 트러스트 보안 모델은 SaaS Application이나 Private Application에 접근하는 사용자가 누구인지, 시스템은 허가된 디바이스인지를 파악할 수 있어야 한다. 접근이 되더라도 사용자 권한에 대한 구분도 할 수 있어야 한다. 최소 권한 엑세스 제어 모델 또한 같이 고려해야 할 대상이다. 그리고 애플리케이션 접속 후, 사용자의 이상행위(UEBA: User Entity Behavior Analytics)에 대해서도 확인할 수 있어야 한다. 이러한 프로세스가 만들어졌을 때 기업은 경쟁력을 가질 수 있고 사용자가 어디에 있든 디바이스가 무엇이든 상관없이 사용자들은 애플리케이션에 접속할 수 있게 되고 기업은 데이터를 보호할 수 있게 된다.

디지털 트랜스포메이션은 여전히 진행 중이다. 제로 트러스트 모델은 디지털 전환 전략의 일환으로 반드시 고려되어야 할 모델이다. 보안이 잘 구현이 될 때 조직 간의 신뢰는 Zero가 아니라 Hero가 될 것이다.
[글_황민주 맥아피코리아 엔터프라이즈사업부문 대표]

[필자 소개]
황민주_ 20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸고 있다. 시만텍, 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>