세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
네트워크 보안의 가장 현대화된 답, 제로트러스트
  |  입력 : 2017-01-12 16:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
제로트러스트, 트래픽 중심 보안에서 데이터 중심 보안으로
기존 네트워크 외곽 방어체제를 데이터 단위로 축소하고 숫자를 늘려


[보안뉴스 문가용 기자] 정보 유출 사고가 연일 터지고 있다. 야후는 작년 최소 5억 개의 사용자 계정이 해커의 손에 넘어갔다는 소식에 망신을 당했고, 2016년 미국 대선 역시 정치인들의 이메일 폭로 스캔들로 얼룩졌다. 미국 사법부, 해군, 스냅챗(Snapchat) 등도 정보 유출 사고의 희생양이 되었다.

▲ 통째 보호 -> 알갱이 하나하나 보호


논란의 여지가 있긴 하지만, 최근 들어 정부 기관들과 기술 산업은 역사상 유례없는 규모의 정보 유출 사고를 겪고 있다. 다른 산업들이라고 안전하다고 할 수 없다. 한 설문에 의하면 지난 1년 동안 전 세계 기업들 중 15%가 심각한 유출 사고를 겪었다고 한다. 15%라면 그리 높지 않은 수라고 볼 수도 있겠지만, 사건사고에 대해 정직하게 알리지 않는 기업들의 성향을 생각하면 15%가 낮다고 할 수만도 없다.

이렇게 수면 위와 아래에서 정보 유출 공격이 기업들의 빈틈을 노리고 쉴 새 없이 파고드는 중인데, 우린 어떻게 방어할 수 있을까? 사건이 터진 후 얼른 최대한 빨리 수습하는 방어의 주류 방식이, 정확한 예상을 통한 ‘사전 방어’로 변해야 한다. 그리고 또 하나 ‘제로 트러스트 모델(Zero Trust Model)’이라는 개념이 떠오르고 있다.

아무 것도 신뢰하지 않는다는 제로 트러스트 모델은 2015년 미국 인사관리처에서 발생한 대규모 개인정보 유출 사건 이후 등장한 용어로, 미국 하원위원회에서 연방 정부 기관을 위한 제안 및 보고서에 처음 사용되었다. 제로 트러스트 모델의 핵심은 내부 네트워크와 외부 네트워크 모두 믿을 수 없다고 전제하고 방어 체제를 구축하는 것이다.

제로 트러스트라는 말 자체는 원래 리서치 업체인 포레스터(Forrester)가 만든 것으로 ‘데이터를 중심으로 한 네트워크 설계’를 그 골자로 하며, 모든 데이터 혹은 특정 데이터 하나하나의 보안을 강화하는 것이다. 즉 기존에 네트워크를 통째로 방어하던 기술과 개념을 데이터 하나하나에 적용시키는 것으로, 기존 네트워크의 바깥 경계선(perimeter)에 도입했던 보안 개념을 데이터 하나하나의 바깥 경계선(microperimeter)에 적용하는 것이다.

이러니 데이터의 차이에 따라 독자적인 규칙을 설정하는 게 가능해진다. 일률적인 보호 방식을 가진 전통의 네트워크 보안 방식으로는 불가능했던 유연함을 더하게 된다는 것이다. 제로 트러스트를 도입해 데이터 하나하나에 대한 보안을 강화하면, 해커들이 악용하는 ‘평평한 네트워크(flat network) 문제’를 해결해주며, 공격자들이 네트워크 내에서 탐지되지 않고 돌아다니는 걸 막아준다. 이 개념은 정부 기관과 일반 도소매 산업, 건강의료 산업 등 모든 산업에서 활용할 수 있다. 제로 트러스트 개념을 적용하고자 하는 기업들을 위해 다음 다섯 가지 단계들을 소개한다.

1. 민감한 데이터의 현황을 파악하라 : 현황 파악이라는 건 항상 간단해보이지만 실제 해보면 그렇지 않다. 세상에 없는 데이터 혹은 어디 있는 줄도 모르는 데이터를 보호해주는 보안 시스템은 없다. 보안은 파악이 가능한 데이터에만 효과를 발휘한다. 데이터가 어디에 저장되어 있는지, 특히 누가 자주 접근하고 사용하는지, 얼마나 민감한 건지, 외부 인력들 중 누가 자주 접근하는지 다 알아내야 한다. 보안을 제대로 적용하려면 아는 것부터가 먼저다. 적을 아는 것도 중요하지만 나를 잘 아는 것도 중요하다. 또한 파악을 마친 후 항목화해서 정리해놓는 것까지도 이 단계에 포함된다.

2. 민감한 데이터의 흐름을 매핑하라 : 데이터의 보안이란, 저장되어 있는 상태를 보호하는 것과 흐르는 상태에서 보호하는 것 모두를 말한다. 그러므로 위에서 민감한 데이터의 상태나 소재를 파악했다면 이제 이 데이터가 어떤 식으로, 어디서부터 어느 시점까지, 어느 경로를 거쳐 움직이는지도 알아내야 한다. 그리고 이를 지도처럼 그려내는 게 좋다. 이때 데이터를 활용하는 사람들과 관계자들을 최대한 많이 참조해야 지도가 꼼꼼해진다. 아예 백지에서 시작할 수도 있지만 기존에 있는 것 혹은 있을 법한 것을 활용해도 된다. 예를 들어 PCI-DSS의 경우 반드시 신용카드 데이터 흐름을 매핑하도록 하고 있다.

3. 네트워크 구조를 설계하라 : 제로트러스트 네트워크의 구조는 전체 네트워크를 관통하는 거래의 흐름과, 사용자와 애플리케이션이 악성 데이터에 어떤 식으로 접근하느냐에 따라 달라진다. 데이터를 하나하나 포장하는 개념이다 보니, 그 데이터가 어떤 식으로 누구와 어떻게 교환되고 사용되느냐에 따라 바뀌어야 하는 것. 우리 회사에 가장 적합한 네트워크 설계도를 마음속에 그리고, 그걸 바탕으로 데이터의 바깥 경계선(microperimeter)을 어디다 설정할지, 어떤 물리적 장치나 가상의 장치와 분리 혹은 연결되어야 하는지 결정해야 한다. 예를 들어 컴퓨팅 환경이 전부 물리적이라면 분리 게이트웨이도 대부분 물리적일 것이고, 가상화된 컴퓨팅 환경을 도입하고 있다면, 가상 분리 게이트웨이를 활용하는 게 나을 것이다.

4. 자동화된 규칙 베이스를 만들라 : 여기까지 왔다면 가장 이상적인 트래픽의 흐름이 무엇인지 파악 완료했을 것이다. 그렇다면 다음으로 접근 제어 및 관리 감독 정책을 분리 게이트웨이에 적용시켜야 한다. 이 단계에서 제로트러스트의 가장 중요한 원칙은 ‘꼭 필요할 때만’ 데이터로의 접근을 허용한다는 것이다. ‘꼭 필요할 때’라는 규칙을 적용하기 위해서는 네트워크 설계팀이 ‘어떤 데이터에 어떤 사용자가 주로 접근하는지’에 대한 세부적인 내용을 다 알고 있어야 한다. 자료 출처의 주소나 종착지 주소, 포트 번호, 프로토콜만 알아서는 충분하지 않다. 보안 팀은 사용자 애플리케이션뿐만 아니라 사용자 인증 아이덴티티에 대해서도 잘 이해하고 있어야 한다.

5. 전체 환경을 지속적으로 관찰하라 : 제로트러스트 모델의 가장 중요한 점 중 하나는 모든 트래픽을 기록하고 감독하는 것이다. 단순히 공공 인터넷으로부터 오는 트래픽만을 본다거나 공공 인터넷으로 나가는 트래픽만을 중요하게 생각해서는 안 된다. 모든 트래픽을 기록하고 감독하는 이유는 악성 행위를 찾기 위함도 있지만 보안을 더 강화할 곳을 능동적으로 찾아 나서기 위해서이기도 하다. 제로트러스트는 ‘지금 상태가 최선이다’는 것 또한 믿지 않는 것이다.

신뢰를 기반으로 한 네트워크 모델에서는 인터넷으로부터 들어와 네트워크 바깥 단에 있는 장비로 가는 트래픽만 로깅이 되었다. 시스로그(syslog) 프로토콜로 정보를 캡처하고 보안 정보 관리 툴로 분석했다. 하지만 이는 네트워크 내부에서 발생하는 트래픽을 무시하고 있다. 그러므로 APT 공격으로 해커들이 내부에서 소리 소문 없이 움직여 각종 사고를 일으키기 시작해도 대처를 할 수가 없게 된다. 제로트러스트는 트래픽의 종류를 차별하지 않고 데이터를 건별로 통제하기 때문에 이 약점을 보완하는 게 가능해진다.

돈도 많고 실력도 좋고 머리도 뛰어난 현대의 사이버 범죄자들은 기존의 방어 시스템을 철저하게 농락하고 있다. 게다가 우리의 새로운 대처법들 또한 아낌없는 노력으로 뚫는 데 성공하고 만다. 이제 트래픽 위주의 보안 시스템 자체를 버려야 한다. 데이터를 위주로 한, 제로트러스트 모델이 가장 이상적인 해결책이다.

글 : 존 킨더박(John Kindervag)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#제로   #트러스트   #데이터   #보안   #위주   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)