[아이티데일리] 사이버 보안의 패러다임이 변화하고 있다. 기존의 보안이 외부로부터의 공격을 감지하고 차단하는 데 집중한 ‘경계형 보안’이었다면, 이제 ‘아무것도, 그 누구도 신뢰하지 않는다’는 제로 트러스트(Zero Trust) 원칙 아래 내·외부를 가리지 않고 전 단계에서 확인, 인증, 감시, 제어를 강화함으로써 빈틈없는 보안을 구현하는 것이 보안 업계의 새로운 지상과제로 떠올랐다.
12일 본지(컴퓨터월드/아이티데일리)는 서울 양재동 엘타워에서 한국제로트러스트보안협회와 함께 국내에 제로 트러스트 보안의 중요성을 강조하고 시장 확대를 위한 마중물을 붓고자 “보안 패러다임의 대전환, 「제로 트러스트」”를 주제로 ‘2023 정보보호 솔루션 컨퍼런스’를 개최했다.
“보안 패러다임의 대전환, 제로 트러스트”
행사는 ‘보안 패러다임의 대전환, 제로 트러스트’를 주제로 한 아주대학교 사이버보안학과 박춘식 교수의 강연으로 시작했다.
박춘식 교수는 기존 경계형 보안에서 심층 보안으로, 그리고 제로 트러스트 보안으로 패러다임이 변화해왔다고 설명하면서 제로 트러스트에 대한 미국 국가 표준기술 연구소(NIST)의 정의와 제로 트러스트 아키텍처 7원칙, 논리적 구성 요소 등을 소개했다. 또한 제로 트러스트 도입 프로세스, 성숙도 모델, 주요 구성 요소 등 전반적 내용들을 소개하면서 청중이 제로 트러스트가 무엇인지를 개략적으로 이해할 수 있는 강연을 펼쳤다.
박춘식 교수는 “제로 트러스트는 과정이지 목표는 아니다. 이행과 구축이 복잡하고 긴 시간이 소요될 것이다. 제로 트러스트의 개념과 아이디어를 표준으로 만드는 데도 오래 걸릴 것이다. 현재 제로 트러스트를 제대로 구축했는지 평가하는 것도 어렵다. 하지만 시간이 지나면서 하나씩 만들어질 것”이라면서 “제로 트러스트는 어떤 솔루션을 도입해서 되는 것이 아니라, 복수의 기능에 의해 구성되는 보안 개념이다. 특히 기존의 보안 관련 습관이나 문화를 바꿔야 한다. 이를 위해서는 경영자는 물론 조직 전체의 소통과 이해가 필수다. 제로 트러스트는 문화이자, 철학이자, 전략의 문제다”라고 조언했다.
“제로 트러스트 보안 모델과 구현 전략” – 엠엘소프트
이어 엠엘소프트 전략사업팀 이재준 이사가 ‘제로 트러스트 보안 모델과 구현 전략’을 주제로 연단에 올라 첫 세션 발표를 진행했다.
엠엘소프트는 제로 트러스트 구현의 핵심 중 하나로 꼽히는 소프트웨어 정의 경계(Software Defined Periment; SDP) 솔루션을 선보이고 있다. 엠엘소프트는 한국전자통신연구원(ETRI)으로부터 TAPS(Trust Access Protection Solution) 기술을 이전받아 글로벌 수준의 범용 SDP 솔루션인 ‘티게이트SDP(Tgate SDP)’를 개발했다.
SDP는 서버, 애플리케이션, 데이터 등 중요 정보자원을 게이트웨이(Gateway)로 은폐해 보호하는 방식을 사용한다. 특히 SDP는 SPA(Single Packet Authorization)를 핵심 기술로 사용해 인증을 거쳐야만 네트워크에 접속할 수 있도록 하고, 공격자에게 SDP 컨트롤러가 유일한 공격 통로로 보이게 함으로써 보안을 강화한다.
SDP는 △장치 유효성 검사를 통해 단말 복제가 불가능하고 △SPA 키로 ID를 확인해야만 응답하므로 디도스(DDoS) 공격이 방지되며 △화이트리스트 기반으로 항시 공격 차단이 가능한 다이내믹 방화벽을 활용하며 △IP보안을 이용한 강력한 보안 터널 연결을 제공하고 △지정된 애플리케이션만 서비스 연결 가능하며 △대상 네트워크 정보를 외부에 노출하지 않는 서버 스텔스(Server Stealth) 등이 특징이다.
이재준 이사는 “엠엘소프트의 티게이트SDP 솔루션은 NAC(네트워크접근제어) 솔루션과도 통합됐고, 온프레미스와 클라우드 환경에서 모두 사용 가능하며, 사용자 중심적인 제로 트러스트 보안을 통해 안전한 네트워크를 구현할 수 있고, 획기적인 비용 절감까지 가능하다. 전용선이 필요 없어지고, VPN(가상사설망)을 대체할 수 있으며, 암호화 통신을 사용하므로 IPS나 IDS 등도 대체 가능하다. 빠르고 쉽게 네트워크 정책을 사용자 기준으로 만들어낼 수 있어 네트워크 인프라 비용 절감도 가능하다”고 설명하고 “SDP는 실제 코로나19 시기 동안 VPN을 대체하거나 재택근무 환경 구축에 많이 사용되면서 사례도 확보하고 있다”고 덧붙였다.
“NIST SP 800-207 ZTA 기반 제로 트러스트 보안 솔루션 전략” - SGA솔루션즈
다음으로는 SGA솔루션즈 박재혁 과장이 ‘NIST SP 800-207 ZTA(Zero Trust Architecture) 기반 제로 트러스트 보안 솔루션 전략’을 주제로 발표했다.
SGA솔루션즈는 NIST의 SP 800-207에서 제시하는 7가지 제로 트러스트 원칙에 가장 부합하는 솔루션을 제공할 수 있음을 자신한다. 회사는 사용자, 디바이스, 정책엔진, 엔터프라이즈 리소스 등 광범위한 분야에 걸쳐 보유하고 있는 솔루션들을 ‘SGA ZTA’라는 이름으로 통합해 풀 스택(Full-Stack) ZTA 솔루션을 제공한다.
즉 SGA ZTA는 ▲통합 엔드포인트 관리(UEM) ▲정책 결정 및 관리(ICAM; Identity, Credential, and Access Management) ▲정책 이행(Previleged Access Management(PAM) 게이트웨이, 제로 트러스트 포털) ▲엔터프라이즈 리소스 보안(PAM/CWPP/CNAPP) ▲정책 지원(위협 인텔리전스, 보안 정보 및 이벤트 관리(SIEM), 보안 시각화) 등 각 영역에 걸쳐 제로 트러스트 구현이 가능한 솔루션들로 구성돼 있다.
박재혁 과장은 “SGA솔루션즈는 지난 2021년 과학기술정보통신부에서 추진한 약 100억 원 규모의 제로 트러스트 국책과제 사업을 수행하고 있다. 또한 최근에는 지니언스, 소프트캠프와 컨소시엄을 이뤄 한국인터넷진흥원(KISA)의 제로 트러스트 보안 실증사업을 수행하게 됐다. 이를 통해 한국형 모범 제로 트러스트 모델을 도출할 예정이다. 향후 네트워크, 애플리케이션, 데이터 영역으로 파트너십을 강화해 더욱 완벽한 제로 트러스트 보안을 구축할 수 있도록 많은 노력을 기울일 것이다”라고 덧붙였다.
“제로 트러스트 시큐리티 업무 환경 구현” – 소프트캠프
마지막 세션으로는 소프트캠프 강대원 본부장이 ‘제로 트러스트 시큐리티(Zero Trust Security) 업무 환경 구현’을 주제로 발표했다.
강대원 본부장은 “최근 원격근무가 확산되고 지사나 대리점, 해외 사업장 등 업무 공간은 물론 업무 관련 도구와 시스템 등까지 확장되면서 보안의 경계가 사라지고 있는 상황”이라고 설명하고, “이처럼 회사가 직면한 보안 이슈를 해결할 수 있는 방안이 제로 트러스트 보안”이라고 덧붙였다.
소프트캠프는 제로 트러스트 구현 방안으로 △침해를 가정한 ‘신원 인식의 세분화(Identity-Aware Micro-Segmentation)’ △상황에 따라 다양한 ‘조건부 접근(Conditional Access)’ 정책의 운영 △정보의 원천적 유출방지를 위한 ‘암호화(Encryption)’ △외부 위협의 ‘격리(Isolation)’ △외부 유입 정보의 ‘필터링과 재구성(Content Disarm & Reconstruction; CDR)’ △외부 단말기에 설치하지 않고 ‘흔적을 남기지 않는 접근(Traceless Access)’ △가시성 확보를 통한 ‘지속적 관리(Continuous Management)’ 등을 제시했다.
그리고 소프트캠프는 이런 방안들을 그동안 개발해 보유하고 있는 여러 솔루션들로 대응할 수 있으며, 이를 ‘시큐리티365(Security 365)’라는 브랜드의 통합 제품군으로 제공하고 있다. 강대원 본부장은 시큐리티365에 포함된 ▲사내 업무시스템에 대한 제로 트러스트 기반 보안 원격접속 서비스인 ‘실드게이트(SHIELDGate)’ ▲문서 암호화 솔루션 ‘실디알엠(SHIELDRM)’ ▲스토리지 암호화 ‘실드라이브(SHIELDrive)’ ▲문서·파일·이메일 무해화 솔루션 ‘실덱스 파일(SHIELDEX File) 및 실덱스 메일(SHIELDEX Mail)’ ▲원격 브라우저 격리(Remote Browser Isolation) 솔루션 ‘실덱스 리모트 브라우저(SHIELDEX Remote Browser)’ 등의 솔루션들을 소개했다.
마지막으로 강대원 본부장은 “소프트캠프는 기존에 문서보안 회사로 알려져 있었지만, 지금은 클라우드 SaaS(서비스형 소프트웨어)에 대한 조건부 접근(Zero Trust Conditional Access) 기술 기반의 다양한 솔루션을 제공하면서 제로 트러스트에 잘 대응할 수 있도록 지원하고 있다”고 강조하며 발표를 마쳤다.