보안 산업 동향

공공 부문을 위한 제로 트러스트 아키텍처 구축 가이드 + 위협 인텔리전스 활용 방안

많은 보안 전문가의 주요 관심사 중 하나인 '제로 트러스트(Zero Trust)' 보안 모델을 공공 부문에 적용할 때 어떤 로드맵을 따르는 것이 적합할까요? 관련해 미국 연방 정부 관계자를 대상으로 열린 FCW 웨비나에 나온 내용을 간단히 전해 봅니다. 더불어 공공 부문에서 제로 트러스트 보안 모델을 구현할 때 위협 인텔리전스를 어떻게 활용할 지도 살펴보겠습니다.

아무도 믿지 말라!

제로 트러스트 보안 모델의 원칙은 '아무도 믿지 않는 것'입니다. 누가 되었건 일단 조직 네트워크와 시스템에 접근하는 이의 신원이 확인되기 전에는 믿지 말자는 것이 제로 트러스트입니다. 제로 트러스트를 적용함에 있어 공공 부문에서 참조하기 좋은 예가 하나 있습니다. 바로 NSA의 성숙도 모델입니다. 이 모델은 4개의 단계로 조직의 제로 트러스트 환경의 성숙도를 구분합니다. 이를 토대로 조직은 현재 제로 트러스트 환경의 수준을 평가할 수 있고, 다른 한편으로는 앞으로 개선해야 나아가야 할 거시적 방향을 잡을 수 있습니다.

  • 준비: 초기 발견 및 평가 활동
  • 기초: 기본적인 통합 기능 구현
  • 중급: 통합의 수준을 높이는 가운데 기능을 개선
  • 상급: 강력한 분석 및 오케스트레이션으로 고급 보호와 제어 실현

제로 트러스트 환경의 성숙도를 높이는 것은 단기간에 접근할 과제는 아닙니다. 조직과 IT 환경 모두를 포괄적으로 고려해서 단계를 밟아 가며 수준을 높이는 것이 현실적인 접근법입니다. 기술적 측면에서 보자면 제로 트러스트 모델 구현 및 개선을 위해 4가지 요소를 살펴야 합니다.

  • 사용자: 조직 네트워크와 시스템에 접근하는 이의 권한 확인은 자동화 기반의 정책을 통해 이루어져야 합니다. 이 정책은 다양한 애플리케이션을 포괄해야 하며 온프레미스와 클라우드 모두에 적용할 수 있어야 합니다.
  • 장치: 사용자는 스마트폰, 노트북, 데스크톱 등 다양한 장치를 이용해 네트워크와 시스템에 접근합니다. 따라서 연결을 시도할 때마다 사용자뿐만 아니라 장치도 확인해야 합니다.
  • 접근 권한 제한: 위협 방어 측면에서 볼 때 사이버 킬체인을 효과적으로 끊으려면 침입자의 측면 이동을 제한해야 합니다. 이를 위한 쉽고 빠른 방법은 역할과 책임에 따른 접근 권한 제한입니다.
  • 분석: 사용자에 대한 정보를 끊임없이 수집하고 분석해야 합니다. 자료의 양이 방대하므로 머신 러닝을 적용하는 것도 좋은 방법입니다. 이렇게 수집한 데이터를 바탕으로 분석을 수행하여 비이상적인 행동을 사전에 탐지하는 역량을 키워야 합니다.

수준 높은 제로 트러스트 아키텍처를 다음과 같이 컨트롤과 데이터 플레인을 구분해 정책을 유연하게 적용할 수 있는 구조적 특징을 갖고 있습니다. 이는 소프트웨어 정의 방식으로 인프라와 플랫폼을 구축하는 것과 유사한 접근이라 보면 됩니다.

위협 인텔리전스 기반의 아키텍처 구현이 필요

위 다이어그램을 보면 뭔가 많이 복잡하고 어려워 보입니다. 하지만 이를 위협 인텔리전스가 가미된 엔드포인트 보안 측면에서 보면 생각보다 쉽게 풀립니다. 위협 인텔리전스를 내장한 엔드 포인트 보안 솔루션을 적용하면 다음과 같은 제로 트러스트 실현이 가능합니다.

  • * 손상된 앱 및 파일이 작업 중지
  • * 보안 이벤트 상에서 악의적인 행위자와 활동 식별
  • * 악의적인 사용자의 네트워크 접근 격리

앞서 언급한 사용자, 장치, 접근 권한 제한, 분석 요소가 엔드 포인트 솔루션 내에서 조화롭게 통제되는 것을 알 수 있습니다. 물론, 엔드포인트 보안만으로는 진정한 제로 트러스트 모델을 완성할 수 없습니다. 적절한 네트워크 보안도 필요합니다. 이 역시 위협 인텔리전스가 바탕에 깔려야 합니다. 더불어 SIEM 같은 보안 운영 측면도 고려해야 합니다. 참고로 보안 운영 관련해 제로 트러스트 구현을 하는 데 있어 꼭 챙겨야 할 것은 마이크로서비스입니다. 온프레미스와 클라우드 환경에서 컨테이너 기반으로 운영되는 마이크로서비스에 대한 접근 역시 철저히 제로 트러스트 모델을 적용해야 할 대상입니다. 이를 위해 기술적으로 ​마이크로 세그멘테이션을 고려할 수 있습니다.

이상으로 공공 부문을 위한 제로 트러스트 모델 구현 방안을 간단히 살펴보았습니다. 이 모델은 단순히 다중 인증(MFA)를 적용된다고 구현할 수 있는 것이 아닙니다. 따라서 접근 가능한 모든 대상을 고려한 포괄적인 접근이 필요합니다.