Post

제로 트러스트 보안 모델

Posted
By Park "ShapeLayer" Jonghyeon
11 min read
제로 트러스트 보안 모델

사가대학, 「네트워크시스템」 과목 강의노트

배경

과거 오랜 기간 정보보안의 기본 원칙은 성을 방어하는 것과 유사했다. 조직은 외부의 공격으로부터 내부의 자산을 보호하기 위해, 네트워크 경계에 방화벽이라는 높은 성벽을 쌓았다. 이를 경계형 보안 모델(Boundary Security Model)이라고 한다. 이 모델의 핵심 전제는 성벽 밖, 외부 인터넷은 위험하지만 성벽 안의 조직 네트워크는 안전하다는 것이었다. 따라서 외부에서 들어오는 통신을 분류하여 제어하고, 일단 성벽 경계 내부로 들어온 통신이나 사용자는 신뢰되었다. 내부자는 내부 시스템을 자유롭게 오갈 수 있었다.

VPN, 온프레미스와 클라우드

왜 2010년 경 제창된 개념이 지금에 와서 주목받게 되었나?

클라우드 컴퓨팅의 확산, 모바일 기기의 보편화, 지난 2021년 전후의 코로나19 팬데믹 기간 중의 원격 근무 급증이 이러한 물리적 경계를 무너뜨렸다.

기본적으로 네트워크를 외부와 내부로 나누어버리면 원격 근무 상황에서는 시스템을 사용하기 매우 어렵게 된다. 직원들은 여전히 자택에서라도 회사의 시스템에 접근해야 했고 그 대책으로서 VPN 터널을 생헝하는 것으로 대응했지만, 그것이 오히려 보안 구멍이 되어 공격 표면으로 이용되는 일이 많았다. 우선 공격자가 시스템에 침입하면 그것을 막기 어려웠다.

이전에는 온프레미스(On-premises) 환경으로 시스템을 운영하는 것이 표준이었다. 그래서 조직에서는 자체적으로 소프트웨어 시스템을 구축하고 운영 가능한 서버를 조직 내에 두고, 외부에서 서버에 접근하는 것을 엄격하게 제한하는 방식으로 운용하였다.

하지만 최근의 클라우드 서비스를 이용하게 되면, 클라우드 서비스 측면에서 보면, 조직 네트워크 내부든 각자의 자택이든 전부 외부에서 통신하는 것이 된다. AWS Site-to-Site VPN과 같이 조직 네트워크와 클라우드 서비스를 동일한 내부망으로 구성하도록 할 수도 있지만, 이것 역시 서버와 인터넷을 통해 통신하는 것이고, 인터넷 위에 VPN 레이어를 올리는 것이므로 온프레미스와 동일하다고 볼 수 없다.

내부로부터의 공격

고객 정보, 사업에 관한 중요한 데이터 등은 사내 시스템에 보관하는 것이 신뢰 가능한 최고의 보안 대책으로 고려되었다. 실제로 사내 시스템을 보호하기 위해 취해지는 경계형 보안 모델 방법론은 매우 강력한 수준으로 적용되는 경우가 많았다.

하지만 의외로 데이터 유출 사건은 외부에서의 접근이 아니라 내부자의 범행인 경우가 많았다. 또한 악성코드를 감염시켜 내부로부터 공격하는 사례도 늘어나고 있었으므로, 내부로부터의 접근으로부터도 제대로 지켜야 할 부분이 있었다.

제로 트러스트 모델

제로 트러스트는 신뢰한다거나 신뢰하지 않는다거나 하는 영역을 나누지 않고, 기본적으로 아무것도 신뢰하지 않는다는 것을 전제로 동작한다.

사내 네트워크에 접근하기 위해, 사용자의 신원을 정확하게 확인하거나, 단말기의 바이러스 감염 여부, 사내 시스템에 등록된 단말기를 사용하는지 여부 등 다양한 체크를 거친 후에야 접근을 허용한다. 사내 네트워크는 안전하고, 사외는 위험하다는 전제에 얽매이지 않고, 모든 접근에 보안상의 위험이 있다고 생각하여, 데이터 접근마다 인증을 요구하고 사용자마다 최소한의 권한만을 부여하는 최소 권한의 원칙과 같은 것들을 적용한다.

2020년 8월 NIST가 발행한 보고서 NIST SP 800-207 〈제로 트러스트 아키텍처(ZTA)〉에 명시된 7가지 기본 원칙

  • 원칙 1: 데이터 소스와 컴퓨터 서비스는 모두 리소스로 간주한다.
  • 원칙 2: “네트워크 위치”에 관계없이 모든 통신은 보호된다.
  • 원칙 3: 조직 리소스에 대한 모든 접근은 개별 세션마다 허가된다.
  • 원칙 4: 리소스에 대한 접근은 동적 정책에 의해 결정된다.
  • 원칙 5: 조직이 보유한 모든 기기는 올바르게 보안이 유지되도록 지속적으로 감시한다.
  • 원칙 6: 모든 리소스의 인증과 인가는 접근이 허가되기 전에 동적이며 엄격하게 실시된다.
  • 원칙 7: 자산, 네트워크, 통신 상태에 대한 가능한 한 많은 정보를 수집하고 보안 강화를 위해 활용한다.

이상적인 제로 트러스트 사고방식으로는 단순히 제한을 거는 것도 중요하지만, 뭔가 발생했을 때는 조사해야 하므로, 모니터링 측면에서의 요소도 포함해 고려하는 것이나, 엔드포인트의 보안도 포함해 대책을 강구한다. 조직에 따라서는 단말기에 특정한 보안 소프트웨어를 설치하여 운영체제나 각종 소프트웨어의 버전이 제대로 최신 버전인지 등을 체크하기도 한다.

사례

일본 내에서는 코로나19 팬데믹을 계기로 재택근무가 확산되는 것이 계기가 되어 제로 트러스트 정책을 적용하는 사례가 증가하고 있다. 기존의 보안 정책을 유지하고 VPN에 의존하는 것이 경계형 보안 모델을 사실상 무력화시키게 되었고, VPN 사용 과정에서 크고 작은 보안 사고와 취약점 문제가 부각되었기 때문이다.

최근에는 일본의 중앙 정부와 지방 자치 단체 등에서 이러한 제로 트러스트 원칙에 기반한 보안 대책을 도입하고 있다. 하지만 현실적으로 비용 등의 문제로 점진적으로 적용해 가능한 부분부터 보안 수준을 높여가는 방식으로 구현되고 있어, 전면적인 도입이 완료되기 전에는 효과가 제한적이라는 우려가 제기되고 있다.

사가 대학

이전에는 사가 대학의 LMS 시스템인 라이브 캠퍼스를 캠퍼스 바깥에서 사용하려면, 시스템이 메일 주소로 발송한 원 타임 패스워드를 입력해 신원을 한 차례 더 확인했다. 그러나 이제는 학외에서 접근하든, 학내에서 접근하든, 동일한 사고 방식으로 접근을 통제하여, 항상 원 타임 패스워드를 생성하고 요구한다.

lecture-network
network security zero-trust