제로트러스트와 망분리는 잘 구현했을 때 보안 피해를 최소화시킬 수 있는 방어의 방법론이지만, 그 ‘잘 구현’이 어렵다는 치명적인 단점이 있다. 그래서 NSA와 같은 기관들이 가이드라인을 발표하는 등의 노력을 이어가고 있다. 현장에서 참고할 만한 문건이 최근에도 발표됐다.

[보안뉴스= 로버트 레모스 IT 칼럼니스트] 사이버 공격자들은 두더쥐처럼 어디든 자기가 마음먹은 곳은 뚫어낸다. 아무리 방어벽을 두텁게 쳐도 결국 뚫어낸다. 시간만 조금 더 걸릴 뿐 아무튼 뚫어낸다. 그렇기 때문에 아는 사람들은 이미 수년 전부터 외곽 방어 투자를 줄이고 내부 보안을 강화했다. 뚫고 들어오는 것까지는 못 막는다는 걸 인정하고 내부에서 휘젓지 못하게 하는 데 초점을 맞춘 것이다.

[이미지 = gettyimagesbank]

3월 5일 미국의 NSA는 사이버 보안 정보 쉬트(Cybersecurity Information Sheet, CIS)의 최신판을 발표했다. 이번 버전에는 제로트러스트 프레임워크에 대한 내용에 많은 분량이 할애됐다. 네트워크를 기능에 따라 분리해둔 상태에서 제로트러스트 개념을 적용하면 외부에서 누군가 침투해 들어온다고 하더라도 피해를 줄일 수 있기 때문에 강력히 권장한다는 게 NSA의 설명이었다. 이른 바 망분리를 기본으로 하고 있는 제로트러스트가 NSA의 추천 보안 세팅이라는 것.

NSA가 추천한 것이라고 근거를 댄다면 CISO들은 임직원들을 한결 수월하게 설득할 수 있을 것이다. 보안 업체 아카마이(Akamai)의 CISO 스티브 윈터펠트(Steve Winterfeld)는 “이번 문건은 사실 국방과 관련된 정부 기관 혹은 계약 업체들을 주요 대상으로 삼고 있다”고 설명한다. “하지만 다른 성격의 단체들에서도 충분히 검토해볼 만한 내용들을 담고 있습니다. 망분리와 제로트러스트는 산업 불문 어떤 조직이라도 도입하면 좋은 것입니다.”

그 이유는 위에서도 언급했듯 침해를 처음부터 원천 차단한다는 게 불가능하기 때문이다. “이제 보안은 침해 자체를 막느냐 못 막느냐의 문제가 아닙니다. 해킹 공격이라는 것도 어떤 조직의 망이나 컴퓨터에 들어가는 데 성공한 것을 지칭하지 않습니다. 들어가서 뭘 하느냐가 중요하죠. 들어가서 데이터를 훔치거나, 백도어를 심거나, 서비스 거부 상태를 만들거나, 모든 데이터를 지우는 등 악성 행위를 해야 비로소 해킹 공격이 이뤄진 겁니다. 그러니 방어하는 쪽에서도 뚫고 들어온 자들이 공격을 더 이어가지 못하도록 하는 데 주력하면 됩니다. 망분리와 제로트러스트가 이런 측면에서 좋은 효과를 내죠.”

보안 업체 루브릭(Rubrik)의 CISO인 마이크 메스트로비치(Mike Mestrovich)는 “제로트러스트와 망분리의 효과를 부인하는 사람은 아무도 없지만, 문제는 이걸 실제로 구현한다는 게 생각보다 훨씬 어려운 일이라는 것”이라고 말한다. “네트워크라는 게 한 번 설정하면 영원히 그대로 있는 게 아닙니다. 계속해서 확장하고 발전하죠. 그래서 망분리가 아니더라도 원래 주기적으로 구조 자체를 점검하고 바꿔줘야 합니다. 그런데 여기에 분리 개념까지 추가하면 일이 기하급수적으로 꼬입니다. 불가능한 건 아닙니다만 비용이 엄청나게 늘어날 수 있습니다.”

그렇기 때문에 이번 NSA의 가이드라인에 대한 반응도 여러 가지로 갈리는 게 현실인데, 이를 진지하게 한 번 검토해보고 싶은 CISO들을 위해 참고해야 할 점을 6가지로 요약해 보았다.

1. 제로트러스트의 7개 항목들을 확인하라
제로트러스트에는 통상 7개 항목이 있다고들 말한다. NSA가 최신 문건을 통해 집중하고 있는 건 이중 다섯 번째인 ‘네트워크와 환경’이다. 그렇다고 다른 여섯 개가 덜 중요하다는 뜻은 전혀 아니다. 보안 업체 식스센스(Syxsense)의 CEO인 애슐리 레오나드(Ashley Leonard)는 “제로트러스트의 7가지 항목이라는 것을 같이 파악하고 알아두어야 제로트러스트를 보다 넓은 관점에서 이해할 수 있게 되고, 그래야 제로트러스트의 진정한 의미에 다가갈 수 있게 된다”고 설명한다. “제로트러스트라는 게 어떤 한 영역에만 집중한다고 성공할 수 있는 게 아니기 때문이죠.”

레오나드는 제로트러스트를 이번 기회에 진지하게 도입하고자 하는 기업이라면 그 동안 NSA가 발행해 왔던 CIS들을 같이 검토하는 걸 권한다. “특히 사용자와 장비를 다룬 항목의 문건들은 반드시 확인하는 게 좋습니다. 제로트러스트의 1번과 2번 항목이라고 할 수 있습니다. 이제 처음 제로트러스트를 도입하는 조직이 네트워크부터 본다는 건 좀 이른 감이 있습니다.”

2. 외곽은 언젠가 뚫리기 마련이다
이번 NSA가 집중하고 있는 ‘네트워크와 환경’이라는 항목의 핵심은 ‘침해로 인한 피해를 최소화 한다’는 것이다. 즉, 뚫고 들어오는 것 자체를 처음부터 예방한다는 걸 포기한다는 뜻이고, 그게 가장 중요한 포인트다. 뚫고는 들어오되 마구 돌아다니지는 못하게 하는 것, 그것이 ‘제로트러스트 네트워크’의 주된 개념이라는 건데, 여기서 NSA가 예로 드는 것은 2013년에 발생한 타깃(Target) 정보 침해 사건이다(기업의 이름은 언급되지 않았지만). 타깃 사건은 공격자가 회사 내 HVAC 시스템에 침투해 망으로 거슬러 올라가 결국 PoS 장비들에까지 전부 멀웨어를 심었던 것으로 망이 분리되어 있었다면 HVAC에서만 피해가 조금 발생하고 말았을 가능성이 높다.

외곽은 언젠가 뚫리게 된다는 걸 인정했을 때 방어자들은 ‘원천 차단’이라는 허황된 꿈에 시간과 자원을 투자하지 않게 되고, 그러므로 내실을 다지는 데 집중할 수 있게 된다는 게 NSA의 설명이다. NSA 사이버 보안 부문 국장인 롭 조이스(Rob Joyce)는 “이미 내부 망 안에 위협이 침투해 있다고 가정한 상태에서 보안을 기획하고 적용하는 게 훨씬 좋은 결과를 낳는다”고 강조한다. “그래야 뭐든 찾아내고, 원인을 파악하고, 위협거리를 뿌리 뽑는 데 집중할 수 있게 됩니다.”

3. 데이터의 흐름을 지도로 만들어라
NSA는 망분리와 제로트러스트를 단계별로 서서히 도입할 것을 권고하고 있기도 하다. 한꺼번에 모든 것을 다 도입하려 하다가는 몸살만 앓고 끝날 수 있기 때문이다. 그러면서 제일 먼저 해야 할 일로 추천한 것이 바로 ‘데이터 흐름도 작성’이다. 윈터펠트도 이것이 좋은 1단계 작업임에 동의한다. “물론 전문가들에 따라 의견은 다 달라질 수 있습니다. 기업들의 상황에 따라서도 다른 작업을 먼저 하는 게 좋을 수도 있습니다. 하지만 보편적으로 생각했을 때는 데이터의 흐름을 파악하지 못한 채 데이터를 보호하겠다고 하는 게 논리적으로 이해가 안 되긴 하죠. 뭘 알아야 보호할 수 있는 게 일반적입니다.”

4. 매크로세그멘테이션의 방향으로
‘단계별’로 접근하는 것은 매우 중요하다. 망분리의 경우도 처음부터 세세하게 나누면 역효과가 날 수 있다. 처음에는 ‘듬성듬성’과 ‘굵직굵직’을 기억하는 게 중요하다고 메스트로비치는 강조한다. “처음에는 전체 네트워크를 두세 개 영역으로 나누고, 그 다음에 좀 더 세밀하게 나눠가는 게 좋습니다. B2B 망과 B2C 망, OT 망 등으로 구분하고, 한 발 더 나아가 개발 망이나 실험 망까지도 따로 가져가는 걸 추천합니다.”

5. SDN으로 가는 게 궁극적 목적이다
제로트러스트와 망분리를 구현하는 게 어려운 이유 중 하나는 네트워크에 물리적 요소들이 많기 때문이다. 본질적으로 물리 장비들과 제로트러스트 및 망분리는 잘 어울리지 않는다. 구현했다고 하더라도 업데이트를 하거나 망을 추가로 분리하거나 네트워크를 확장시키는 게 어려워진다. 그러므로 SDN 즉 소프트웨어 정의 네트워크의 방향으로 결국은 나아가야 한다. 네트워크가 소프트웨어로 구성되어 있으면 망을 분리시키는 것이나 업데이트 하는 것이나 관리하는 것이나 모두 쉬워진다.

“하지만 SDN이 무조건 정답인 것도 아니고, 유일한 정답인 것도 아니라는 걸 기억해야 한다”고 윈터펠트는 강조한다. “기업의 상황이나 사업 아이템, 환경에 따라 SDN은 어울리지 않는 해결책이 될 수도 있습니다. 그럴 때는 다른 해결책들을 모색해야 합니다. 다만 무엇을 찾든 SDN과 본질적으로 비슷한, SDN에 준하는 뭔가를 찾아야 할 겁니다.”

6. 중간 평가의 방법을 확립해야 한다
위에서도 살짝 언급했지만 네트워크는 늘 변하는 환경이다. 그러므로 분리해둔 망도, 분리의 기준과 상태도, 제로트러스트의 적용 방법과 범위도 모두 바뀔 수밖에 없다. 제로트러스트나 망분리 모두 한 번의 구축으로 끝나는 게 아니라 계속해서 신경 써주고 관심 가져주고 관리해야 하는 것이다. 그렇기 때문에 뭘 하긴 한 것 같은데 계속해서 문제가 생기는 식의 느낌이 난다. 끝없는 미로 속을 헤매는 것과 비슷하다. 그러면서 번아웃이 찾아온다.

윈터펠트는 “그래서 중간 결산이 중요하다”고 말한다. “중간 중간 결산을 해서 성과를 측정하고, 그것을 바탕으로 보람도 갖고 다음에 나아갈 방향도 제대로 잡는 게 여러 모로 좋습니다. 그렇다고 너무 중간 결산을 자주하는 것도 효율적이지 못합니다만, 계속 정체되어 있는 느낌만 갖는 것도 위험합니다.”

글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자([email protected])]