모든 전략 허용

마지막 업데이트: 2022년 5월 16일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
예산심사 관련 기자간담회하는 윤호중 원내대표 (서울=연합뉴스) 하사헌 기자 = 더불어민주당 윤호중 원내대표가 29일 국회에서 2022년 예산심사 관련 기자간담회를 하고 있다. 2021.11.29 [국회사진기자단] [email protected]
[email protected]
(끝)

다시 주목 받고 있는 기업 보안의 패러다임, 제로 트러스트

모든 기업들이 IT 모든 전략 허용 시스템을 운영하여 기업을 운영하고 있을 정도로 IT 시스템의 중요성은 강조해도 모자람이 없습니다. 대부분의 업무가 IT 시스템을 통해서 이뤄지고 있기 때문에 IT 시스템의 관리 역시 기업 운영에 있어서 무척이나 중요한 요소라고 할 수 있습니다. IT 시스템의 관리는 해당 IT 시스템의 각 구성 요소에 대한 안정적인 유지 및 지속적인 성능 개선을 의미합니다.

특히, IT 시스템의 안정적인 유지의 범주 안에는 해당 IT 시스템의 안정성을 확보하는 보안이라는 부분이 매우 큰 영역을 차지하고 있습니다. 시스템 보안의 경우 제대로 운영하지 않으면 IT 시스템 자체를 무력화하여 해당 기업을 마비시킬 수도 있으며 IT 시스템 안에 저장되어 있는 회사의 기밀 데이터들이 유출되는 사고가 일어나기도 합니다. 이미 수많은 기업들이 IT 시스템의 시스템 보안을 제대로 운영하지 않아서 낭패를 봤다는 것은 수많은 언론의 기사들을 통해서 확인할 수 있습니다.

IT 시스템의 시스템 보안은 한가지로 딱 정의하기는 어렵습니다. 여러 가지 보안 기법 및 방식들을 이용하여 다양한 보안 솔루션 및 보안 정책들이 어우러져서 진행되는 복합적인 일입니다. 본 아티클에서는 그 여러 가지 IT 시스템의 시스템 보안 분야들 중에서 기업의 임직원들이 IT 시스템을 이용하여 업무를 진행할 때 필요로 하는 IT 시스템의 접속 및 사용에 대한 보안에 대해서 언급해보고자 합니다.

다양한 사이버 위협들의 출현

급변하는 근무 형태
시대가 디지털 변혁의 시대로 접어들면서 기존부터 사용되어 왔던 기업의 IT 시스템의 접속 및 사용에 대한 방식이 많이 달라지기 시작했습니다. 먼저 외부에서 많은 작업을 하는 임직원의 경우에는 노트북이나 태블릿, 스마트폰 등의 스마트 디바이스를 이용하여 카페나 혹은 대중교통으로 이동하면서도 업무를 진행하는 경우가 많아졌습니다. 그리고 요 몇 년 전부터 워라벨이 화두가 되면서 회사에서 지정한 사무실에서 업무를 하는 것이 아닌 집에서 가까운 곳에 스마트 오피스를 두고 그곳에 출근하여 업무를 진행하는 등 원격 근무가 늘어나면서 과거와 달리 유연한 근무 형태가 증가하기 시작했습니다. 특히 코로나19 팬더믹 시대로 접어들면서 이제는 사무실이나 스마트 오피스 등이 아닌 집에서 근무하는 자택 근무가 확산되기 시작했습니다.

원격 근무의 경우도 그렇고 자택 근무의 경우도 그렇고 기업에서 제공하는 네트워크가 아닌 일반 인터넷 네트워크를 통해서 기업의 IT 시스템에 접근하는 경우가 많아지고 이 방식이 보편화 되기 시작했습니다. 사용하는 단말기의 경우에도 기업에서 제공하는 PC가 아닌 개인이 보유하고 있는 개인 PC나 스마트폰, 태블릿 등 기존보다 더 다양한 스마트 디바이스들을 활용하기 시작했다는 것도 기존과 다른 점이라고 할 수 있습니다.

그뿐만이 아니라 기존의 IT 시스템은 기업이 제공하는 네트워크 및 컴퓨팅 환경에서만 접속하거나 사용할 수 있었는데 지금은 기존 방식뿐만이 아니라 IaaS(Infrastructure as a Service), SaaS(Software as a Service) 등과 같은 클라우드 시스템을 이용하여 IT 시스템에 접근해서 사용하거나 역으로 IT 시스템이 이들 클라우드 시스템에 연결되어 데이터를 주고받는 경우가 많아졌습니다. 과거 IT 시스템 대비 그 복잡성과 다양성이 증가된 것입니다.

네트워크 사용 부분에도 많은 변화가 생겼습니다. 기존 기업의 IT 시스템을 사용할 때에는 기업에서 모든 전략 허용 제공하는 전용 네트워크를 사용해야만 했습니다. 물리적으로 떨어진 IT 시스템들 사이의 연결 역시 전용 네트워크를 이용해야만 했습니다. 지금도 전용 네트워크를 이용하지만 그 외에도 Private 5G 네트워크를 이용한다든지 보안성을 더한 일반 네트워크를 이용하는 경우도 많아졌습니다.

이렇듯 시대의 변화에 따라 IT 시스템에 접속하는 방식이 기존 방식에 더해 더 다양해지고 있습니다.

다양한 변수들로 인한 보안 취약점 확대
문제는 이렇게 다양한 방식으로 인해 이에 대응해야 하는 보안 방식도 더 다양해져야 하는데 현실은 녹록치 않다는 것입니다. 먼저 코로나19 팬더믹의 여파로 인해 불확실성이 증가한 관계로 IT 투자가 예전 대비 많이 감소되고 있습니다. IT 시스템의 안정적인 유지를 위해서는 꾸준한 투자가 필수적인데 현재 어떻게든 운영되고 있다는 이유로, 그리고 당장에 눈에 띄는 피해가 없다는 이유로 IT 시스템에 대한 투자를 줄이는 경우가 많습니다. 특히 보안에 대한 투자가 상대적으로 줄어드는 경우가 많습니다. 보안의 경우 피해를 보기 전까지는 그 필요성을 느끼기 어렵기 때문에 그렇습니다.

그리고 IT 시스템의 투자, 특히 보안에 대한 투자가 이뤄진다고 할지라도 보안 기능이 탑재된 하드웨어, 혹은 소프트웨어에만 투자하는 경우가 많습니다. 최근 일어나고 있는 수많은 보안 사고의 경우 외부의 공격으로 인한 보안 사고도 많았지만 내부 직원에 의한 보안 사고의 비중이 계속 증가하고 있는 추세입니다. 내부 직원의 실수로 인해 보안 시스템이 무용지물이 되는 경우가 많습니다. 의도적으로 기밀 데이터를 빼돌리는 경우도 존재하기도 합니다.

이런 다양한 위협들을 대비하기 위해서는 보안담당 인력들이 충분해야 하는데 아쉽게도 현재 국내 보안 인력은 4만 명 정도가 부족하다고 합니다. 기업에서는 보안 관련 요구사항들이 증가하고 필요로 하고 있지만 실질적으로 보안 업무에 전념해야 하는 보안 인력은 상대적으로 부족한, 수요와 공급의 격차가 지속적으로 심화되는 상황이 벌어지고 있습니다. 그리고 수많은 기업들이 보안 전문인력보다는 보안을 겸하는 IT 시스템 인력을 운영하고 있는 상황입니다.

앞서 언급했듯 다양한 업무 환경 및 사용 디바이스의 증가로 인해 IT 시스템의 접근 및 사용에 대해서 공격할 수 있는 공격 접점이 증가하고 있습니다. 즉, 보안담당자들이 관리해야 할 관리 접점이 증가하고 있으며 관리 방식이 더 다양해지고 있다는 얘기입니다.

거기에 새로운 기술이 증가하고 있는데 이를 대응해야 하는 대응 보안 기술이 뒤따라오지 못하는 상황이 벌어지고 있습니다. 신기술이 나오게 되면 그 기술에 대한 보안 정책을 수립해야 하는데 보안 정책을 수립하는 시간보다 신기술의 증가 속도가 더 빠르기 때문에 대응이 늦어짐으로 인해 문제점이 생기고 그것이 곧 보안 취약점이 되는 상황입니다.

이렇듯 보안 업무의 범위가 확대되고 있는 상황에서 보안 전문인력 및 조직은 절대적으로 부족한 상황입니다. 앞서 IT 시스템의 투자 부족 및 보안 전문 인력의 부족에 대해서 언급했는데 그로 인해 새로운 보안 인력 확충보다는 기존 인력을 통한 보안 업무 확대가 진행됨으로 인해 부담이 가중되어 확대된 보안 업무에 대응하지 못하는 경우가 지속적으로 발생하고 있습니다.

이렇듯 급변하는 근무 형태 및 다양한 변수들로 인해 기존보다 더 많은, 그리고 다양한 사이버 위협들이 출현함으로 기업의 IT 시스템들이 위협을 받고 있는 것이 현실입니다.

보안 시스템의 현재 모습과 문제점

그렇다면 현재의 보안 시스템의 구조는 어떻게 되어 있을까요? 현재의 문제점에 대해서 파악하고 개선하기 위해서는 현재의 시스템에 대해서 분석할 필요가 있습니다. 앞서 언급했던 것처럼 IT 시스템에 적용되는 보안 시스템은 그 종류들도 많고 방식도 다양하지만 크게 나눈다면 2가지로 언급할 수 있습니다. IT 시스템에 접속하는 접속을 제어하는 것과 IT 시스템 안에 존재하는 데이터를 관리하는 것입니다.

접근 제어
전통적인 IT 시스템의 보안 시스템은 기본적으로 방화벽 컨셉의 방어 시스템입니다. 간단히 말하자면 IT 시스템으로 접근하는 사용자, 디바이스, 혹은 네트워크를 제어하는 방식으로 허용된 사용자, 디바이스, 혹은 네트워크만 IT 시스템에 접근할 수 있도록 하는 방식을 의미합니다. 이런 방화벽 컨셉의 방어 시스템은 관문 방식, 성문 방식이라고 불리기도 하며 예를 들어, 어떤 성이 존재할 때 그 성에 들어가기 위한 관문, 성문을 통과하게 되면 그 성 안의 모든 시스템을 사용할 수 있는 방식입니다. IT 시스템의 경우에도 해당 IT 시스템의 관문, 성문(보통 로그인 시스템 및 해당 시스템에 연결된 방화벽 시스템이 그 역할을 맡습니다)을 통과하면 IT 시스템을 자유롭게 사용할 수 있습니다.

이런 방식을 경계 보안 모델(Perimeter Security Model)이라고 부르며 앞서 언급한 것처럼 중세 시대의 성처럼 성벽으로 내외부가 구분되어 성 밖에 있는 모든 것을 위협이라고 간주하고 관문이나 성문을 통해서 성 안에 들어오면 그 안의 모든 리소스를 사용할 수 있다는 개념입니다. 이런 경계 보안 모델의 경우 모든 임직원이 오직 회사 빌딩에 근무하는 환경에 적합하다고 할 수 있습니다.

데이터 제어
앞서 접근 제어의 경우 사용자나 단말기 등이 IT 시스템에 들어오기까지의 과정을 제어하고 보안하는 것이라고 한다면 데이터 제어는 IT 시스템에서 사용하는 각종 문서들이나 데이터베이스 등의 데이터들을 보안하는 것이라고 할 수 있습니다. 이런 데이터 제어에 있어서 기본적인 방법이면서 가장 많이 사용하는 방법이 데이터 암호화입니다.

데이터 암호화의 경우 IT 시스템 안의 모든 데이터, 혹은 중요도가 높은 기밀 데이터를 암호화하여 보관 및 관리하는 것으로 허용된 사용자, 시스템, 혹은 네트워크에만 암호화된 데이터를 해석할 수 있는 방법을 제공합니다. 암호화의 경우 암호화할 때 사용한 암호화 키가 존재하며 이를 복호화하기 위한 복호화 키가 존재합니다. 허용된 사용자나 시스템 등에만 복호화 모든 전략 허용 키를 제공함으로 암호화된 데이터를 원래의 목적대로 사용할 수 있게 해줍니다.

데이터가 암호화가 되어 있기 때문에 어떤 상황으로 인해 데이터 유출이 일어나더라도 암호화가 되어 있어 해석할 수 있는 방법을 모른다면 해당 유출 데이터들을 사용할 수 없기 때문에 유출 방지 방식으로 많이 사용하고 있습니다.

이렇듯 현재의 어떤 의미에서의 전통적인 보안 시스템의 구조는 경계 보안 모델을 적용한 시스템 안에서 데이터 암호화를 통해서 IT 시스템을 보안하고 있다고 보면 됩니다.

급증하는 보안 시스템의 문제점
앞서 언급한 것처럼 기존의 전통적인 보안 시스템의 경우 방화벽 컨셉의 경계 보안 모델을 채택하고 있기 때문에 대부분 외부로부터의 접근에 대해서 모든 전략 허용 막는 것에만 집중하고 있습니다. 지식 기반의 ID 및 패스워드 방식의 로그인 시스템 및 등록된 단말기만 접속을 가능하게 해주는 접속 허용 시스템 등 대부분의 보안 시스템이 외부로부터 IT 시스템에 접근할 때 보안을 적용하는 방식입니다.

일단 IT 시스템 접근 시 해당 보안 방식을 통과하게 되면 IT 시스템에 들어오게 되고 IT 시스템 안에 있는 모든 IT 시스템의 자원들을 자유롭게 사용할 수 있습니다. 앞서 언급한 데이터 암호화 역시 IT 시스템에 들어올 때 복호화 키를 함께 발급받기 때문에 자유롭게 암호화된 데이터도 사용할 수 있게 됩니다. 이 과정에서 IT 시스템에 접근한 사용자, 단말기가 사용할 필요가 모든 전략 허용 없는 IT 시스템의 데이터들까지도 자유롭게 접근해서 사용할 수 있게 되는 경우가 많습니다.

앞서 IT 시스템에 접근할 수 있는 방법들이 다양해지고 많아짐으로 인해 IT 시스템의 보안 시스템이 더 많아진 방법들에 대해 제대로 대응하지 못하고 일부 불필요한 접근을 허용했을 경우 IT 시스템 전체가 위험해지는 상황이 생기게 됩니다. 새로운 기술 및 접근 방법이 계속 생기고 있지만 보안 시스템이 그 부분에 대해서 대응을 하지 못하게 되면 그 부분은 보안 취약점이 됩니다. 해당 보안 취약점이 해결될 때까지는 이른바 제로데이 어택이라는 보안 취약점이 되며 그 보안 취약점으로 허용하지 않는 사용자나 단말기가 IT 시스템에 침입할 수 있을 가능성이 매우 커집니다. 즉, 제한된 보안 인력 및 시스템으로 인해 모든 사용자 및 단말기, 혹은 네트워크의 제어가 현실적으로 불가능하게 여겨지면서 이런 제로데이 어택이라는 보안 취약점이 지속적으로 발생하게 되는 것입니다.

이런 상황으로 인해 제로 트러스트가 다시 주목을 받고 있습니다.

다시 주목을 받고 있는 제로 트러스트

제로 트러스트 모델의 개념
제로 트러스트(Zero Trust)는 말 그대로 신뢰가 없다, 즉 '아무도 믿지 마라'라는 뜻입니다. 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략입니다. 앞서 전통적인 보안 시스템에서는 성문, 관문이라 불리는 보안 시스템을 통과해서 IT 시스템에 들어오게 되면 해당 사용자나 단말기는 보안 시스템을 통과했기 때문에 신뢰하는 사용자, 단말기로 인식을 하게 됩니다. 하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제입니다.

제로 트러스트 개념에서는 IT 시스템에 접근을 하기 위해서, 즉 접근 모든 전략 허용 모든 전략 허용 허가를 받기 위해서 먼저 사용자가 누구인지, 혹은 단말기가 안전한 허가를 받은 단말기인지, 그리고 어떤 접근 권한을 갖고 있는지 등 모든 유효성을 다 입증한 다음에 권한을 받아서 접근 허가를 수락하게 됩니다. IT 시스템에 접근하기 위해서만도 아니고 IT 시스템에 접속한 이후에 IT 시스템 안에서도 여러 시스템들이 존재하는데 각 시스템에 접근할 때마다 앞서 언급한 모든 유효성을 다 입증해야 합니다. IT 시스템 안에 존재하는 데이터를 사용할 때도 마찬가지입니다. 즉, IT 시스템에 들어왔다고 하더라도 그것으로 끝나는 것이 아니라는 얘기입니다.

이런 제로 트러스트 모델은 2010년 포레스터 리서치(Forrester Research) 보안위협팀의 존 킨더백(John Kindervag) 수석 애널리스트가 제안한 모델입니다. 이미 10년 전에 제안한 모델이 10년이 지난 지금에 다시 주목을 받고 있는 상황입니다. 그리고 현재 구글, 코카콜라, 웨스트젯 항공 등 다양한 기업에서 제로 트러스트 모델을 도입하여 보안 시스템을 구축하여 적용하고 있으며 미국 하원은 2013년 12월부터 2014년 5월까지 있었던 인사관리국(OPM) 시스템의 침해사고 이후 모든 정부 기관에 제로 트러스트 모델을 채택할 것을 권장하고 있습니다.

기존 시스템의 문제점
앞서 급변하는 근무 형태로 인해 기업의 IT 시스템 보안 환경이 네트워크, 기업용 애플리케이션, 클라우드 시스템 등 외부와 접속할 수 있는 접속 지점이 증가하고 있다고 언급했습니다. 거기에 IT 시스템에 접속할 수 있는 방식 역시 기존 기업에서 제공하던 PC 외에도 개인용 PC, 스마트폰, 태블릿 등 더 다양해지고 있습니다. 그리고 전통적인 기존 보안 시스템은 방화벽 컨셉의 경계 보안 모델로 성벽, 관문, 울타리와 같은 시스템이어서 큰 울타리나 성벽, 관문을 하나만 세우고 해당 울타리나 성벽, 관문을 통과한 이후 안쪽으로 들어오면 어떠한 작업이라도 다 허용하는 방식이었습니다.

하지만 현재는 외부에 존재하는 단말기와 사용자 각각에 이런 울타리, 성벽, 관문 등을 만들어야 하는 상황입니다. 물론 각각의 울타리의 크기는 작습니다만 울타리 전체의 면적은 과거와는 비교할 수 없을 정도로 넓어졌기 때문에 지금의 보안 시스템 환경에서 개별 사용자와 단말기에 대한 모든 보안을 적용하고 관제(감시 및 관리)하는 것은 매우 많은 비용 및 노력이 들어가는 일이라고 할 수 있습니다.

제로 트러스트 모델이 다시 주목받는 이유
기업 내 보안 관리자가 IT 시스템이 존재하는 네트워크에 접속하는 모든 사용자 및 단말기들을 감시하고 관리하는 것은 현실적으로 매우 어렵다고 볼 수 있습니다. 그리고 당연하게도 사용자 역시 자신의 단말기에 보안 관리자가 개입하고 제어하는 것을 선호하지 않습니다.

제로 트러스트 모델을 도입하게 되면 기업의 보안 관리자는 모든 사용자와 단말기에 보안 정책을 적용하는 대신, 보안 정책을 위반할 것이라고 가정한 상태로 취급을 합니다. 그리고 사용자나 단말기가 IT 시스템 안의 모든 전략 허용 데이터나 애플리케이션, 내부 인프라(IT 시스템 내 데이터베이스 등), 네트워크 등에 접속하려고 할 때 철저한 신원 확인 및 인증을 통해 접근 권한이나 사용 권한을 부여합니다.

그리고 인증 이후에 접근 권한이나 사용 권한을 부여할 때에도 최소한의 영역에서만 접근하거나 사용할 수 있도록 권한을 적용해서 부여함으로 쓸데없는 수평 이동을 줄이도록 합니다. 만약 해당 사용자나 단말기가 다른 데이터나 애플리케이션, 내부 인프라, 네트워크에 접속하거나 사용하려고 한다면 마찬가지로 철저한 신원 확인 및 인증을 통과해야 합니다.

즉, 과거의 보안 시스템이 IT 시스템의 접속을 통해 외부로부터의 유입에 대한 방어에 집중하고 내부의 보안이 상대적으로 허술했던 것에 비해 제로 트러스트 모델은 외부로부터의 유입에 대한 방어와 동등한 레벨로 내부의 보안도 처리한다는 점에서 다양해진 보안 위협으로부터의 안정성 높은 보안 패러다임으로 10년이 지난 지금에 다시 주목을 받고 있는 것입니다.

경계 보안 모델과 제로 트러스트 모델의 차이점
방화벽 컨셉의 경계 보안 모델이 적용된 전통적인 보안 시스템과 제로 트러스트 모델이 적용된 보안 시스템의 차이점은 차단을 중점으로 두는가, 아니면 인증을 중점으로 두는가로 볼 수 있습니다.

경계 보안 모델이 적용된 보안 시스템의 경우 문제가 되는 접근을 차단하는 데 그 목적이 있습니다. IT 시스템의 로그인 시스템에서 ID 및 패스워드의 인증이 실패하면 접속을 차단하거나, IP 등의 기기 정보가 등록되지 않는 단말기가 접속하려고 한다면 접속을 차단하는 등 허가받지 않은 사용자나 단말기에 대한 접근 차단을 그 목적으로 하고 있습니다.

제로 트러스트 모델이 적용된 보안 시스템도 허가 받지 않은 사용자나 단말기에 대해 접근을 차단하는 것도 목적에 포함되어 있습니다만 경계 보안 모델이 차단에 초점을 둔 것에 비해 제로 트러스트 모델은 차단보다는 철저한 신원 인증에 초점을 둔다는 점에서 차이가 있습니다.

이런 신원 인증에는 기존 로그인 시스템에서 사용했던 기본적인 ID 및 패스워드 방식의 지식 기반 인증 외에도 OTP나 보안키 등의 소유 기반 인증, 지문이나 홍채, 얼굴 인식 등 생체 기반의 인증 등을 복합적으로 사용함으로 사용자에 대한 철저한 신원 인증을 진행할 수 있습니다. 이런 복합적인 신원 인증 방법을 멀티팩터 인증(Multi-Factor Authentication, MFA)이라고 부릅니다. 단말기에 대한 인증 역시 기존에 등록한 단말기인 경우에도 그것으로 끝나는 것이 아니라 해당 단말기에 기업에서 제시한 보안 애플리케이션이나 안티바이러스 솔루션이 설치되어 있는지 여부, 단말기 자체의 보안 레벨 등을 체크해서 허용 가능한 단말기인지 확인하는 단말기 인증을 할 수 있습니다. MFA와 더불어 단말기 인증도 동시에 진행함으로 철저한 신원 인증을 진행합니다.

그리고 앞서 언급한 것처럼 경계 보안 모델의 경우 해당 경계를 통과한 이후에는 자유롭게 내부의 IT 시스템을 사용할 수 있기 때문에 원래 해당 사용자나 단말기가 IT 시스템에서 하고자 하던 작업 외의 다른 불필요한 작업들에 대한 감시가 거의 없는 것에 비해 제로 트러스트 모델의 경우 처음에 부여된 권한이 정확히 해당 사용자나 단말기가 꼭 사용하게 될 최소한의 영역으로 제한되기 때문에 다른 작업을 하기 위해서는 그 작업에 걸맞은 인증 절차가 필요하게 되고 그 과정에서 불필요한 작업들이 이뤄지지 않는 즉, 수평 이동이 없는 작업이 가능하게 됩니다. 사용자나 단말기가 다른 의도로 자신의 영역 외에 다른 IT 시스템의 자원들에 접근할 수 없기 때문에 보안성이 상대적으로 훨씬 높아진다는 장점이 있습니다.

제로 트러스트 모델 구현의 예
제로 트러스트 모델을 이용하여 보안 시스템을 만들어서 서비스로 제공하는 경우도 있습니다. 먼저 마이크로소프트는 애저 액티브 디렉토리(Azure Active Directory, Azure AD) 기업용 ID 서비스를 기반으로 사용자 인증을 지원합니다. 계정 하나로 IT 시스템 안의 여러 애플리케이션, 인프라, 데이터에 접속할 수 있는 SSO(Single Sign On)를 제공함으로 매번 사용자가 복잡한 ID 및 패스워드를 외워야 하는 불편함을 줄임과 동시에 지문, 얼굴, 보안키 등을 통한 MFA를 더해 보안성을 높인 보안 시스템을 제공합니다. 아카마이 역시 SSO와 MFA 기반 제로 트러스트 모델 기반 보안 솔루션을 제공하고 있습니다.

제로 트러스트 모델 구현을 위한 조언
제로 트러스트 모델을 이용한 효과적인 보안 시스템 구축을 위해서는 반드시 선행되어야 할 과정들이 존재합니다. 제로 트러스트 모델을 제안한 존 킨더백은 효과적인 제로 트러스트 모델 적용을 위해 몇 가지 권고사항을 소개한 바가 있습니다.

먼저 민감한 데이터 접근에 대한 가시성을 높여야 합니다. 그렇게 하기 위해서는 IT 시스템 안에서 데이터들의 위치들을 모두 파악하고 해당 데이터에 누가(사용자, 단말기, 혹은 애플리케이션 등) 얼마나 자주 접근하는지 파악해야 합니다. 또한 각 데이터들을 어떤 수준으로 보호해야 하는지 파악을 하고 분석을 해야 제대로 된 보호가 가능합니다.

앞서 모든 데이터에 접근할 때 신원 인증을 필수적으로 해야 하는데 해당 데이터에 접근이 가능한 사용자, 단말기가 어떤 것인지 파악을 해야 신원 인증이 가능하기 때문입니다. 또한 사용자나 단말기에 따라서 해당 데이터를 보기만 할 수 있게 할 것인지, 수정이나 삭제 등의 별도의 작업이 가능하게 할 것인지 등도 결정을 해야 합니다.

민감한 데이터의 경우 데이터의 위치를 파악한 이후에 이 데이터가 어떤 방식으로, 어떤 경로를 통해, 어느 위치까지 움직였는지도 파악을 해야 합니다. 이 과정이 필요한 이유는 해당 민감 데이터가 있어서는 안 될 위치로 이동되어 있는 경우에 왜 그랬는지를 추적하여 원인을 찾아서 제거를 해야 하기 때문입니다. 특정 사용자나 단말기가 데이터의 접근 권한을 받았지만 이 데이터가 있어서는 안 될 위치로 이동시켰을 경우 해당 사용자나 단말기의 접근 권한을 제고해야 하는 등의 후속 조치를 위함이라고 보면 됩니다.

그리고 각 데이터 앞에 게이트웨이를 두고 자동화한 컴플라이언스(보안 정책)를 해당 게이트웨이에 적용하고 필요한 만큼만 접근 및 사용을 허용해야 합니다. 여기서 말하는 게이트웨이는 제로 모든 전략 허용 트러스트에서 신원 인증을 위한 장치라고 보면 됩니다. 즉, 정말 해당 데이터를 필요만큼만 사용할 수 있도록 권한을 최소화하여 허용을 해야 합니다.

트래픽에 대한 가시성 확보도 필요합니다. IT 시스템 안에 들어온 사용자 및 단말기의 모든 트래픽을 모니터링하는 과정 안에서 악성 행위를 찾는 것은 물론, 보안을 강화해야 하는 부분까지도 능동적으로 찾을 수 있기 때문입니다. 특히, 내부에서 시작되는 공격의 경우에는 기존처럼 외부의 접근만을 파악해서는 탐지가 어렵습니다. 제로 트러스트 모델에서는 IT 시스템 안에서도 내부의 네트워크를 세분화하고 각 네트워크에 대한 가시성을 확보해야 합니다. 실질적으로 각 데이터 앞에 존재하는 게이트웨이로 인해 어떤 사용자가, 혹은 어떤 단말기가 해당 데이터를 사용했는지, 또 해당 데이터를 어느 네트워크로 이동시켰는지 확인 및 추적이 가능합니다. 그렇게 하기 위해서는 데이터의 세분화 및 네트워크의 세분화가 선행되어야 합니다.

지금까지 급변하는 근무 형태로 인해 날로 늘어가고 있는 사이버 위협에 대해서 살펴보고 현재의 보안 시스템의 구조 및 문제점을 살펴봤습니다. 그리고 제시된 지 10년이 지났지만 지금 다시 주목을 받고 있는 제로 트러스트 모델에 대해서 살펴봤습니다.

시대가 급변함으로 인해 과거 대비 업무 형태가 많이 바뀌었고 기술 역시 발전하고 있습니다. 그로 인해 기업의 IT 시스템은 기존과 달리 다양한 사용자 및 단말기로부터 다양한 방법으로 접근해서 사용될 수 있는 상황이 되었습니다. 편의성은 예전에 비해 확실히 올라갔음은 분명하지만 그만큼 보안 시스템의 비중이 커지고 있는 것도 사실입니다. 하지만 현재의 보안 시스템이 다양화된 IT 시스템의 접근 방식에 100% 다 대응할 수 없는 문제점이 계속 노출되고 있는 것이 사실입니다.

모든 기업의 IT 시스템에 제로 트러스트 모델이 100% 완벽히 들어맞는다고 할 수는 없습니다. 어떤 시스템에 대해서는 기존과 같은 경계 보안 모델이 더 어울릴 수 있을지도 모릅니다. 하지만 앞서 언급한 것처럼 다양화된 접근만큼 보안 취약점이 늘어나고 있는 상황에서 모든 보안 취약점을 실시간으로 대응할 수 없는 현실이라면 제로 트러스트의 개념처럼 모든 것을 믿지 않고 매번 인증을 통해서 보안 취약점을 최소화하는 방법을 고려하는 것은 필요한 일이라고 보여집니다.

글에서 모든 것을 언급하지는 않았지만 제로 트러스트 모델을 이용한 보안 시스템을 구축할 때 사용자들이 매번 철저한 신원 인증을 진행하는 데 있어서 피로도가 누적될 수도 있습니다. 실질적으로 MFA는 ID 및 패스워드 인증을 기본으로 지문, 얼굴, 보안키 등의 추가 인증을 함께 진행해야 하기 때문입니다. 그리고 패스워드의 경우 쉽게 유추할 수 없는 그런 방식(문자, 숫자, 특수 기호 포함 10자 이상 등)으로 진행하기 때문에 매번 입력하는 것도 문제가 됩니다. 그래서 마이크로소프트나 아카마이에서 제공하는 제로 트러스트 모델 기반 보안 시스템에는 SSO 솔루션을 함께 제공하여 ID와 패스워드를 매번 입력하는 수고를 덜어주고 있습니다. 그 외에도 여러 방법을 더해서 철저한 신원 인증을 하지만 사용자가 좀더 편하게 신원 인증을 할 수 있게 도와줍니다. 그렇기 때문에 제로 트러스트 모델 도입에 있어서 사용자의 피로감을 걱정할 필요는 없다는 생각이 듭니다. 마지막으로 이 글을 읽는 개발자 및 관리자들이 제로 트러스트 모델 도입에 대해서 도움이 되었기를 바랍니다.

▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

모든 전략 허용

예산심사 관련 기자간담회하는 윤호중 원내대표 (서울=연합뉴스) 하사헌 기자 = 더불어민주당 윤호중 원내대표가 29일 국회에서 2022년 예산심사 관련 기자간담회를 하고 있다. 2021.11.29 [국회사진기자단] [email protected]
(서울=연합뉴스) 강병철 정수연 기자 = 더불어민주당 윤호중 원내대표는 29일 "민주당은 국민이 바라는 민생개혁 법안에 대해 국회법이 허용하는 모든 절차를 통해 신속하게 입법을 추진하겠다"모든 전략 허용 고 말했다.

윤 원내대표는 이날 국회 기자간담회에서 "청년 일자리, 부동산개혁, 코로나19 등 민생 현안을 해결하기 위해서는 청년고용특별법, 개발이익환수법, 상가건물 임대차보호법, 국가핵심전략산업법 등의 통과가 시급하다"면서 이같이 밝혔다.

그는 "국회법에 안건조정위나 신속처리 법안 지정(패스트트랙) 절차가 있지만, 그 절차로 무조건 가겠다는 게 아니다"라며 "상임위 모든 전략 허용 심사가 제대로 이뤄지면 합의 처리도 가능하고 때에 따라서는 표결 처리도 가능하다"고 말했다.

이어 "모든 전제조건이 충족되지 않는다면 불가피한 선택을 할 수도 있다"고 언급하기도 했다.

박완주 정책위의장도 정기국회 중점법안을 언급한 뒤 "노동자 권익을 보호하기 위해 노동이사제를 도입하는 공공기관 운용법, 공무원과 교원의 타임오프 확대를 위한 노동조합법 통과에도 적극적으로 나선다"고 말했다.

이어 "집권여당은 민생을 챙기고 개혁을 추진할 의무가 있다"면서 "야당과 협의할 법안은 최대한 협의하되, 이해할 수 없는 시간 끌기 반대 등으로 막힌 법안은 집권여당으로서 책임 있게 처리해 나갈 것"이라고 말했다.

예산심사 관련 기자간담회하는 윤호중 원내대표 (서울=연합뉴스) 하사헌 기자 = 더불어민주당 윤호중 원내대표가 29일 국회에서 2022년 예산심사 관련 기자간담회를 하고 있다. 2021.11.29 [국회사진기자단] [email protected]
[email protected]
(끝)

30일 금융권에 따르면 은행연합회는 최근 작성한 대통령직 인수위원회(이하 인수위) 제출용 '은행업계 제언' 보고서 초안에서 정부와 정치권에 대한 은행권의 이런 불만 사항을 조목조목 열거했다.

은행권은 경영 자율성 문제에 대한 '개선 방안' 부분에서 "금융권은 앞으로도 실물경제를 뒷받침하고 소상공인·자영업자를 지원하는 한편 다양한 방식으로 사회적·경제적 책임을 다할 것"이라며 "다만 금융산업이 실물경제와 함께 지속 성장할 수 있는 윈-윈(win-win) 구조가 만들어질 수 있도록, 은행 산업을 독자적 서비스 산업으로 바라보는 사회적 인식 전환이 필요하다"고 강조했다.

아울러 금융당국에는 "금융서비스 요금이나 배당, 점포운영 등 은행 정책 수행의 자율성을 최대한 보장함으로써 창의적이고 차별적 서비스가 금융시장에 출현할 수 있는 경영환경을 조성할 필요가 있다"고 호소했다.

은행권은 최근 사모펀드 환매사태 등으로 불거진 금융사 '내부통제' 문제와 관련해서도 "내부통제제도 미흡에 대한 금융당국의 제재는 금융회사지배구조법과 상충하고, 법상 제재 사유인 '내부통제기준 미(未)마련'을 확대해석해 미흡한 경우까지 제재하는 것은 명확성의 원칙 위반"이라며 "내부통제제도 결함·미준수 등에 대해서는 금융회사 스스로 최적화된 내부통제제도를 수정·보완하도록 유도하는 규제 개선이 필요하다"고 주장했다.

현재 은행연합회는 최근 모든 전략 허용 이사회 검토를 거친 이 초안을 시중은행들에 보내 의견을 수렴하고 있다. 제언 보고서 내용이 확정되면 다음 달 초 인수위에 제출할 예정이다. 아울러 은행권은 새 정부에 '미래 먹거리' 차원에서 더 다양한 사업을 허용하고 서비스 범위도 늘려달라고 요청했다.

무엇보다 자산관리 서비스 혁신 항목에서 '가상자산 서비스 진출 허용'을 가장 먼저 언급한 점이 눈에 띈다.

은행권은 "특정 금융거래정보 보고 및 이용 등에 관한 법률(특금법) 개정안은 주로 자금세탁방지에 초점이 맞춰져 있어 일부 가상자산사업자의 독과점 발생 등 시장 불안에 대한 이용자 보호는 부족하다"며 "공신력 있는 은행이 가상자산 관련 사업에 진출할 수 있도록 은행법상 은행의 부수업무에 가상자산업을 추가해달라"고 제안했다.

은행권 관계자는 이 제언에 대해 "앞으로 제정될 가상자산업법에서 정의되는 가상자산업종을 모두 은행도 할 수 있도록 허용해달라는 것"이라며 "여기에는 코인거래소뿐 아니라 가상자산 보관 전자지갑 서비스, 가상자산 수탁 서비스, 기업 등 대상 가상자산 거래 서비스 등이 모두 포함되며 은행으로서는 새 시장을 개척하고, 이용자는 믿을 수 있는 은행을 통해 가상자산을 관리하자는 취지"라고 설명했다.

은행권은 로보어드바이저(로봇 투자전문가)를 활용한 투자일임업에 걸린 빗장도 풀어달라고 요구했다. 현재 은행의 투자일임업(금융전문가에게 투자 위탁) 겸영은 ISA(개인종합자산관리계좌)에만 허용되기 때문에, 마이데이터 사업자로서 로보어드바이저를 활용한 투자일임업을 수행하는데 제약이 많다는 게 은행권의 주장이다.

은행권은 보고서에서 "마이데이터 라이선스(허가)는 은행·금융투자·전자금융업자 등에 같은 기준으로 부여되는 것"이라며 "따라서 은행에도 차별 없이 투자일임업을 허용하는 것이 바람직하다"고 밝혔다.

은행권은 새 정부에 '신탁제도의 혁신'도 주문했다. 현재 자본시장법이 수탁 가능 재산을 7가지 종류로 제한해 영업, 보험금 청구권 등의 다양한 신탁재산 관련 상품 출시에 한계가 있어 우리나라 국내총생산(GDP) 대비 신탁시장 규모가 2020년 말 기준 53%에 불과하다는 지적이다. 일본은 GDP 대비 신탁시장 비율이 174%에 이르고, 미국도 94% 수준이다.

따라서 자본시장법 개정을 통해 수탁 가능 재산을 법에 명시해 제한하는 현행 '열거주의' 방식 규제를 법에 명시해 금지하지 않는 한 모두 허용하는 '포괄주의'로 전환하고, 소액 금전신탁의 합동 운용도 허용해야 한다는 게 은행권의 주장이다.

방카슈랑스(은행의 보험 판매)에 대해서도 은행권은 현재 종신·자동차보험 판매 불가 등 판매상품 제한과 판매비율 상한 규제 등 탓에 금융소비자의 보험 접근성 개선 등의 효과가 떨어진다며 전면적 규제 완화를 요구했다.

은행권은 이 밖에 "부동산·유통·헬스·자동차 등 다양한 비(非)금융 업종을 겸할 수 있도록 길을 터줘야 한다"는 기존 주장을 이번 제언 보고서에도 실었다.

모든 전략 허용

정부가 신종 코로나바이러스 감염증(코로나19)

[사진=연합뉴스]

정부가 사회적 거리두기에 따른 집합금지 시설 간 형평성 문제가 불거지자 오는 8일부터 돌봄 기능을 제공하는 모든 실내체육시설에 대해선 동시간대 사용 인원을 9명으로 제한하는 조건으로 운영을 허용하겠다고 밝혔다. 다만 이용 대상을 아동·청소년으로 제한하고, 운영 목적도 교습으로만 한정해 또 실효성 논란이 일 것으로 보인다.

손영래 중앙사고수습본부 전략기획반장은 7일 오전 정부세종청사에서 코로나19 백프리핑을 열고 이같은 소식을 전했다. 손 반장은 "아동·학생 교습에 대한 태권도장이나 학원과 같은 동일한 조건으로 모든 실내체육시설에 대한 운영을 허용한다"고 말했다. 그러면서 "이는 돌봄 기능을 위한 것으로 아동·학생에 한정해 시행하는 교습 형태여야 한다. 동시간대 9명 이하 인원 유지 조건은 동일하다"고 덧붙였다.

해당되는 실내체육시설은 검도장, 축구교실, 헬스장, 킥복싱장, 줄넘기교실, 볼링장, 당구장, 수영장, 탁구장, 골프연습장, 무도장, 배드민턴장, 필라테스, 에어로빅장 등이다. 이번 명령으로 아이들이 주로 이용하는 장소는 9인 이하 영업이 가능하지만, 헬스장을 비롯해 성인들이 주로 이용하는 시설은 별다른 변경 사항이 없을 것으로 예상된다.

손 반장은 "실내체육시설뿐 아니라 노래연습장·학원 등의 집합금지 시설에서 생계 곤란으로 집합금지 해제를 요청하는 문제에 대해선 종합적인 개선방안을 마련할 예정"이라며 "방역상황 및 시설별 위험도를 재평가하고 17일 이후에는 방역수칙을 준수해 운영을 허용하는 방안에 대해 준비할 계획"이라고 설명했다. 이어 "방역수칙을 체계적으로 정비하기 위해 업계 의견수렴 등 소통을 강화하고 현장의 의견을 들어 방역수칙을 마련하며 이를 위반할 경우 벌칙도 강화할 계획"이라고 전했다.

최근 2.5단계가 적용 중인 수도권의 경우 헬스장 등 실내체육시설의 운영이 지속적으로 중단되면서도 태권도·발레 등 소규모 체육시설은 동시간 교습 인원 9명 이하를 조건으로 영업하자, 일부 헬스장 업주들은 이에 반발하며 '헬스장 오픈 시위'를 벌이기도 했다. 손 반장은 이에 대해 "헬스장 운영 완화는 기준이 가능할 지 모르겠지만 일부 시설의 경우엔 '4∼8㎡당 1명'과 같은 수칙을 정밀하게 정비할 필요가 있다"고 강조했다.

그는 "문화체육관광부가 오늘 간담회에서 업계 의견을 수렴하고, 중수본 및 중앙방역대책본부와 소통하면서 다음주까지 수칙을 다듬을 예정"이라고 답했다. 끝으로 손 반장은 "수도권 집합금지 장기화로 생계의 어려움을 호소하고 있어 송구스럽고 감사한 마음이다. 방역수칙을 모든 전략 허용 준수하는 가운데 운영을 일부 허용하는 방안을 준비할 계획이다"라고 밝혔다.

모든 전략 허용

250만원, 고반발 금장 아이언세트, '60만원'대 72% 할인 판매!

Photo Image

중국, 인도 등 신흥국에 암호화 기술이 적용된 민수용 소프트웨어(SW) 수출을 위해 사전허가를 받지 않아도 된다. 그간 바세나르 체제(WA, 지난해 말 기준 가입국 41개)에 가입하지 않은 신흥국에 해당 SW를 수출하려면 반드시 받아야 했던 허가절차를 없앴다. 12개 기업에 시범적용한 뒤 대상 기업 확대 여부를 검토할 계획이다.

산업통상자원부는 최근 이 같은 내용을 담은 `전략물자 수출입 고시`를 개정했다.

개정에 따라 그간 전략물자로 통제된 암호화된 민수용 SW(민간기업의 운영효율화 및 판촉 지원 용도, 모바일 단말기 용도인 경우) 수출 허가절차를 바세나르체제에 가입하지 않은 신흥국 수출에도 면제한다. 그간 바세나르체제에 가입하지 않은 국가에 SW 수출 시 계약 건마다 허가를 받아야 했다.

산업부 관계자는 “그간 바세나르 체제에 가입하지 않은 중국, 인도 등 신흥국에 암호화된 일반 SW를 수출하는 것은 개별 허가 대상이었다”면서 “이번에 개정안을 만들면서 바세나르 체제에 가입하지 않은 국가에도 사후보고만 하도록 절차를 간소화했다”고 말했다.

전략물자는 국제평화, 국가안보를 위해 수출허가 등 수출관리가 필요한 품목이다. 2004년 유엔(UN) 안보리 결의 1540호는 전략물자 수출관리를 국제 규범으로 지정했다. 우리나라는 대외무역법에 따라 산업부 장관이 지정·고시한 `전략물자 수출입고시`에 규정된 물품과 기술, SW를 포함한다.

정부의 이 같은 조치는 암호화된 민수용 SW가 전략물자로서 통제 실익이 적다는 판단에 따른 것이다. 이번 고시 개정으로 SW 수출 편의가 향상될 전망이다.

한 업계 관계자는 “우리나라 SW 수출은 미국 같은 SW 강국 시장에 진출할 만한 경쟁력은 아니기 때문에 신흥국 시장 위주로 이뤄진다”면서 “실질적으로 SW 수출 편의가 향상될 것”이라고 밝혔다.

하지만 이번 규정 완화 대상을 `자율준수무역거래자격 획득(CP)기업` 중 트리플(triple)A 등급 기업에만 한정하면서 한계가 있다는 지적이 나온다. 산업부에 따르면 지난해 12월 기준 트리플A 등급을 받은 기업은 12곳뿐이다. SW 수출 수요가 많은 더블(double)A 등급 102개 기업은 이번 대상에 포함하지 않았다.

정부는 더블A 등급 기업까지 섣불리 수출 허가 면제를 하기 어렵다는 입장이다. 전략물자 관리체계가 철저한 트리플A 등급 기업 위주로 적용 후에 확대를 고민한다는 방안이다.

전략물자관리원 관계자는 “더블 A등급 기업에는 기본적으로 전략물자 허가 면제나 자율성을 한꺼번에 주기 어렵다”면서 “우선 전략물자 관리가 잘 된 기업에 적용해보고 확대를 논의할 것”이라고 밝혔다.

이에 따라 수출의존도가 높은 기업 중심으로 트리플A 등급을 받으려는 움직임이 본격화할 것으로 보인다. 트리플A 등급 기업은 전략물자에 대한 전담자를 두는 등 깐깐한 전략물자 관리체계를 갖췄다.


0 개 댓글

답장을 남겨주세요