2022년 보안 분야 핫 키워드 ‘제로트러스트’, ABC 원칙이 중요한 이유

그 어떤 것도 믿지 말라는 의미에서 시작...접근통제 강화와 최소 권한 개념의 보안원칙
각국 정부, 미국 바이든 대통령의 행정명령 시작으로 본격화...선진국 중심으로 도입 확산
글로벌 기업, 화웨이의 ABC 원칙 등 제로트러스트 개념을 기업문화로 정착시키기 위해 노력
한국화웨이 이준호 CSO, “Assume Nothing, Believe No one , Check Everything가 제로트러스트의 기본 원칙”

[보안뉴스 원병철 기자] 제로트러스트라는 용어가 등장한 것은 2010년 포레스터 리서치의 존 킨더버그(John Kindervag) 수석 애널리스트가 발표한 ‘No More Chewy Centers : Introducing The Zero Trust Model of Information Security’ 보고서였다. 존 킨더버그는 “정보보안에 대한 오래된 격언 중에 ‘겉은 바삭(Crunchy)하지만 속은 쫀득(Soft Chewy)’하다는 말이 있다”면서, “하지만 이제 사이버 범죄자들은 현재 보안을 뚫어내는 공격 방법을 개발했고, 손쉽게 쫀득한 내부로 들어올 수 있기 때문에 새로운 보안모델, 즉 제로 트러스트 모델이 필요해졌다”고 밝힌 바 있다.

[이미지=utoimage]

하지만 제로트러스트의 의미는 새로운 것은 아니다. 최초로 등장한 것은 1994년 S.P. March의 ‘Formalising Thrust as a Computational Concept’ 보고서였고, 2003년 제리코 포럼(Jericho Forum)의 ‘조직 IT시스템 경제 정의’와 2009년 구글의 제로트러스트 환경 ‘BeyoundCorp’ 등에서 이미 제로트러스트 관련 내용이 언급됐다.

그렇다면 제로트러스트의 정확한 의미는 무엇일까? 존 킨더버그는 최초 ‘아무것도 믿지 말자’는 의미로 제로트러스트를 주장했다. 이는 결국 내부에 공격자가 있을 수 있다는 의미로 애초에 내부에 공격자가 있거나, 다른 구성원이 모르게 내부로 침투해 있을 수 있다는 것을 의미한다. 이 때문에 구글은 ‘BeyondCorp’에서 ①강력한 기기/사용자 식별 ②네트워크의 제로트러스트화 ③기기/사용자 신뢰도 추론 및 접근 제어 등 세 가지를 강조했다.

한국인터넷진흥원 심재홍 단장은 “제로트러스트는 제품이 아닌 접근통제 강화와 최소 권한 부여의 개념에 기반한 보안원칙”이라면서, “기업 내부의 보안체계를 100% 신뢰하지 말고, 항상 검증하며, 최소한의 권한만 부여하고, 보안사고가 이미 진행 중이라는 가정 하에 원칙을 준수해야 한다”고 설명했다.

앞서 나간 미국, 중국은 화웨이 등 글로벌 기업 중심으로 적용
미국에서는 2016년 9월 미연방 인사관리처(OPM)에서 발생한 개인정보 유출사고에 대한 미국 하원 감독개혁위원회 보고서에서 ‘제로트러스트 모델’을 적용하자는 언급이 나온 이후 본격적으로 논의되기 시작했다. 미국표준기술연구소(NIST)는 2020년 8월 SP 800-207 보고서에서 ‘Zero Trust Architecture’를 소개하면서, 내부 사용자가 한 번 뚫리면 연쇄적으로 공격당하는 것을 막을 수 있는 방법을 제안했다.

SP 800-207 보고서 이후 미국 연방정부와 의회는 제로트러스트 도입에 팔을 걷었다. 2021년 5월 바이든 대통령은 ‘국가 사이버보안 개선을 위한 행정 명령(Executive Order 14028)’을 발표했고, 2021년 6월 미국 사이버보안 전담기관 CISA는 제로트러스트 성숙도 모델(Pre-decisional Draft)을 발간했다. 7월에는 NIST가 ‘행정명령(EO-14028)’ 관련 주요 소프트웨어에 대한 보안성 관련 지침을 발표했고, 미국백악관관리예산처(OMB)는 제로트러스트 사이버 보안 원칙을 향한 미 연방정부 전략에 관한 각서를 발표했다. 다음 해인 2022년 5월 NIST는 제로트러스트 아키텍처 계획 : 연방 관리자를 위한 계획수립 지침 백서 ‘CSWP 20’을 발간했으며, 같은 해 8월 제로트러스트 아키텍처 구현(SP-1800-35A~D, Preliminary Draft)을 발간했다.

가천대학교 이석준 교수는 “미국이 연방정부를 중심으로 제로트러스트 아키텍처의 적극적이면서도 구체적인 도입 계획을 수립했다면 일본과 영국 등 다른 나라는 설계 원칙과 가이드라인 위주로 개발하고 있다”면서, “특히, 미국 정부의 움직임을 관망하며 도입 여부를 검토하는 중이기 때문에 우리나라도 빠르게 제로트러스트를 준비하면 결코 늦은 편이 아니”라고 설명했다.

또한, 국가보안기술연구소 주미리 박사에 따르면 뉴질랜드는 코로나 이후 재택근무 환경 증가에 따라 사이버 공격에 대비하기 위해 제로트러스트 아키텍처를 도입 및 구현해 배포하고 있으며, 싱가포르는 새로운 사이버보안 전략을 발표하면서 제로트러스트 원칙 정부 GTBA(Goverment Trust-Based Architecture) 구현을 통해 애플리케이션 및 시스템 보안을 강화하겠다고 밝힌 상태다.

중국은 통신 분야 대표기업인 화웨이 등 기업을 중심으로 제로트러스트 개념을 보안문화로 정착시키는데 각별한 노력을 기울이고 있다.

화웨이의 ABC 원칙, 제로트러스트 구현 모델로 ‘주목’
그렇다면 민간기업들은 어떨까? 앞서 설명한 것처럼 구글은 2014년 공개한 ‘BeyondCorp’을 통해 제로트러스트 전략을 구사하고 있다. BeyondCorp은 제로트러스트 네트워크를 생성하는 제로트러스트 컴퓨터 보안 개념을 구현한 것으로 구글 클라우드에 적용해 구현하고 있다. MS 역시 애저(Azure), 팔로알토와 시스코 역시 네트워크에 제로트러스트를 구현하고 있다.

▲이준호 한국화웨이 CSO[사진=화웨이]

통신 분야 글로벌 기업 화웨이(HUAWEI) 역시 제로트러스트를 구현하고 있다. 한국화웨이 이준호 CSO는 “화웨이는 소프트웨어 보안과 개인정보보호의 강화를 위해 많은 노력을 기울이고 있는데, 대표적인 것이 바로 ABC 원칙”이라며 이를 소개했다. 화웨이의 ABC 원칙은 △Assume Nothing 아무것도 가정하지 말고 △Believe No one 어느 누구도 믿지 말며 △Check Everything 모든 것을 확인하라를 말한다.

국내에서는 한 게임 개발사가 ‘Work From Anyware’, 글로벌화, 퍼블릭 클라우드, 재택근무 등 새로운 보안모델의 적용 필요성이 대두하면서, 기존 IT 환경을 고려해 제로트러스트 아키텍처를 수립한 후 기기·사용자·서비스로 분리해 단계별로 추진하고 있다.

제로트러스트는 미국을 중심으로 이제 막 시작된 만큼 많은 보안전문가들은 우리도 빠르게 제로트러스트 개념을 도입해야 한다고 강조한다. 다행이 우리 정부도 2022년 6월 ‘디지털플랫폼정부’의 정의 및 관련체계 구축을 위한 TF를 결성했으며, 같은 해 10월 ‘제로트러스트·공급망보안 포럼’을 발족하며 제로트러스트 도입 확대에 나섰다.

국가보안기술연구소 주미리 박사는 “제로트러스트는 단순히 기술이나 솔루션, 제품의 도입으로 단기간 구현할 수 있는 기술이 아니”라면서, “기술 진화에 대응해 유연하게 재검토 할 수 있는 체계와 운영방법이 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)