​10년 전 등장한 보안 개념, 비대면 시대 보안 강화한다

'신뢰하지 않는 것'을 전제로 하는 제로트러스트 보안 모델은 입국심사에 비유되기도 한다. [사진=게티이미지뱅크]

최근 보안 업계에서는 제로트러스트(Zero Trust)가 다시 주목받고 있다.

과학기술정보통신부는 최근 브리핑을 통해 기업 보안 강화 방안과 정부 정책을 소개하며, 제로트러스트에 기반해 단계별 조치를 강화해야 한다고 강조했다.

제로트러스트는 특정 기술에 대한 명칭이나 솔루션 이름이 아니며, 보안 방법론 중 하나다. 명칭처럼 '아무도 믿지 말라'는 의미로, 사용자나 기기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무도 신뢰하지 않는 전략이다. 이들이 접근하기 위해서는 먼저 누구인지, 어떤 접근권한을 가지고 있는지, 인가된 장비인지 유효성을 입증한 뒤 권한을 받아야 한다.

이러한 개념은 이미 지난 2010년 등장했다. 포레스터 리서치(Forrester Research) 보안위협 팀의 존 킨더백(John Kindervag) 수석 애널리스트가 제안했으며, 미국의 경우 조 바이든 대통령 취임과 함께 모든 정부기관이 제로 트러스트 모델을 채택할 것을 권장했다.

코로나19 확산으로 인해 원격·재택근무를 도입하고 있으며, 업무 공간이나 기기가 사무실을 벗어나 가정이나 카페 등 다양한 공간으로 확장되고 있다.

과거 보안 전략은 외부에서 접근하는 공격자를 차단하고 기업과 사무실을 지키는 데 주력했지만, 업무환경의 변화는 기업 보안 울타리를 기업 밖으로 넓히게 했다. 해커뿐만 아니라 직원도 업무를 위해 원격에서 기업 내부 시스템에 접근하는 상황이다. 제로트러스트가 비록 10년 전에 등장한 개념이지만, 오늘날 상황에 특히 더 어울리는 전략이다.

존 킨더백 애널리스트는 제로트러스트의 가장 큰 특징으로 단순함을 꼽았다. 기업에서 지켜야 할 자산의 우선순위를 정하고, 이에 따라 사용자와 기기가 여기에 접근할 수 있는 권한을 제한하면 결국 기업이 보호해야 할 자산은 명확하고 단순해진다.

제로트러스트 구현은 어려운 일이 아니다. 원격 접속에 사용하는 노트북이나 데스크톱을 IP나 하드웨어(MAC) 주소로 제한하는 것만으로도 충분히 보안을 강화할 수 있다. 또한 시스템에 접속하기 위한 인증 정보는 ID·비밀번호 외에 지문, OTP, 본인 소유의 스마트폰 등을 이용한 추가적인 도입을 해야 한다.