인터넷 시대는 그 엄청난 정교함에도 불구하고 보안 침입이라는 디지털 역병을 불러왔습니다. 꾸준히 발생하는 데이터와 신원 도용 문제는 현대 사이버 보안의 좌우명과도 같은 새로운 흐름을 낳았는데요. 미국 대통령의 행정 명령에도 등장한 이 전략은 ‘제로 트러스트(zero trust)’입니다.
제로 트러스트란?
제로 트러스트는 일체의 사용자와 프로세스를 신뢰하지 않는다는 원칙 하에 모든 사용자와 디바이스, 애플리케이션과 트랜잭션에 확인을 요구하는 사이버 보안 전략입니다.
이 정의는 AT&T의 전 CEO와 보안 전문가 수십 명이 포함된 미국 국가안보통신자문위원회(NSTAC)가 2021년에 발표한 56페이지짜리 문서인 NSTAC 보고서에서 비롯됐습니다.
이 용어를 만든 존 킨더바그(John Kindervag) 포레스트 리서치(Forrester Research) 전 분석관은 한 인터뷰에서 자신이 고안한 ‘제로 트러스트 사전(Zero Trust Dictionary)’상의 정의를 설명하기도 했습니다. 그에 따르면, 제로 트러스트란 기존의 테크놀로지들로 구성되고 시간의 경과와 함께 개선되는 시스템을 통해 디지털 트러스트를 제거하고 데이터 침해를 방지하는 전략적 이니셔티브입니다.
제로 트러스트의 기본 원칙은?
2010년의 보고서에서 이 용어를 소개한 킨더바그는 제로 트러스트의 기본 원칙을 세 가지로 정리했습니다. 네트워크 트래픽 일체를 신뢰하지 않아야 하므로 사용자는 다음의 내용을 견지해야 합니다.
- 모든 리소스의 확인과 보안
- 액세스 제어의 제한과 엄격한 시행
- 네트워크 트래픽 일체의 검사와 기록
이 원칙을 반영해 만들어진 제로 트러스트의 모토가 바로 “아무도 믿지 말고 언제나 확인하라(Never Trust, Always Verify)”입니다.
제로 트러스트 아키텍처를 구현하는 방법
기본 정의에서도 알 수 있듯 제로 트러스트는 단일 기법이나 제품이 아니라 현대의 보안 정책에 사용되는 원칙들의 집합입니다.
미국 국립표준기술연구소(NIST)는 2020년의 연례보고서에서 제로 트러스트 구현의 상세한 지침을 소개한 바 있습니다.
위 도표는 제로 트러스트의 일반적인 접근법을 보여줍니다. 이 방식은 보안 정보와 이벤트 관리(SIEM) 시스템으로 데이터를 수집하고, 상시적 진단과 완화(continuous diagnostics and mitigation)로 데이터를 분석한 뒤, 도출된 인사이트와 이벤트에 대응합니다.
이는 제로 트러스트 환경이라는 네트워크를 구성하며 제로 트러스트 아키텍처(ZTA)라 불리는 보안 플랜의 일례이기도 합니다.
그러나 제로 트러스트의 형태는 무척 다양합니다. NIST 보고서는 “기업별 활용 사례와 데이터 에셋이 고유하므로 단일한 ZTA 구축 플랜은 존재할 수 없다”고 설명합니다.
제로 트러스트 구현의 5단계
제로 트러스트 아키텍처의 구현은 크게 다섯 단계로 정리할 수 있습니다.
먼저 사용자가 보호하고자 하는 것, 일명 보호 표면(protect surface)을 정의합니다. 공격 표면(attack surface)의 구체적인 취약성에 초점을 맞추던 기존의 액세스 관리와는 차이가 있죠. 보호 표면은 기업의 사무실과 클라우드, 엣지에 있는 시스템 모두를 포괄합니다.
이를 바탕으로 사용자는 네트워크를 일상적으로 오가는 트랜잭션의 맵과 함께 이들을 보호할 제로 트러스트 아키텍처를 만듭니다.
다음으로 네트워크의 보안 정책을 수립합니다.
마지막으로 네트워크 트래픽을 모니터링해 워크로드 전반에서 해당 트랜잭션이 보안 정책 내에 위치하는지 확인합니다.
NSTAC 보고서(위)와 킨더바그 모두 위와 동일한 단계를 거쳐 제로 트러스트 환경을 구축할 것을 제안합니다.
중요한 건 제로 트러스트가 결론이 아니라 과정을 뜻한다는 점입니다. 컨설턴트와 정부 기관들은 제로 트러스트 성숙도 모델(maturity model)을 채택해 시간의 경과와 함께 개선되는 보안 사항을 문서화할 것을 권장합니다.
미국 국토안보부 산하의 사이버보안과인프라보안국(Cybersecurity Infrastructure Security Agency)은 2021년의 보고서에서 다음과 같은 성숙도 모델을 소개했습니다(아래 차트 참조).
제로 트러스트 환경의 사용자들은 보호중인 각각의 리소스에 대한 액세스를 별도로 요청하게 됩니다. 이 과정에서 컴퓨터에 암호를 제공하고 스마트폰으로 코드를 보내는 등의 다중 인증(MFA) 방식이 주로 사용되죠.
이는 민감한 데이터와 애플리케이션, 사용자 ID를 보호하고 악성 소프트웨어와 랜섬웨어의 공격을 방지하는 데 적합한 액세스 정책입니다.
NIST 보고서는 사용자의 리소스 액세스 가능 여부를 결정하는 알고리즘(아래)의 구성 요소를 다음과 같이 제안합니다.
이 보고서는 “이상적으로는 트러스트의 알고리즘이 맥락(context)에 기반해야 하지만 리소스 문제로 인해 불가능한 상황이 생길 수 있다”고 설명합니다.
일각에서는 신뢰도 측정 알고리즘의 모색이 제로 트러스트 정책의 철학에 반한다고 보기도 합니다. 또한 액세스 여부의 정확한 결정을 위해 네트워크상의 여러 이벤트에서 맥락을 캡처해야 한다는 점에서 머신 러닝의 잠재력에 집중하는 이들도 있습니다.
제로 트러스트의 급부상
2021년 5월에 바이든 대통령은 정부의 컴퓨팅 시스템에 제로 트러스트를 의무화하는 행정 명령을 발표했습니다.
이 명령에 따라 연방 기관들은 60일 이내에 NIST 권고 사항에 기반해 제로 트러스트 아키텍처를 도입해야 했죠. 또한 보안 침입 대처 시나리오, 주요 사례를 검토하는 안전위원회, 일부 소비자 제품에 사이버 보안 경고 라벨을 부착하기 위한 프로그램 등을 추가로 마련해야 했습니다.
제로 트러스트가 드디어 사이버 보안의 핵심으로 부상하게 된 셈입니다.
NSTAC 보고서는 “이 조치가 기업 이사회와 정보보안팀의 제로 트러스트 논의에 가져올 엄청난 진전은 아무리 강조해도 부족함이 없다”고 평가합니다.
제로 트러스트의 역사
2003년을 전후해 제로 트러스트의 전신에 해당하는 전략이 미 국방부 내에서 활발히 논의되기 시작했고, 이를 정리한 보고서가 2007년에 발표됐습니다. 비슷한 시기에 산업 보안 전문가들의 비공식 그룹인 제리코 포럼(Jericho Forum)이 “탈경계화(de-perimeterisation)”라는 용어를 만들었죠.
킨더바그가 이 개념을 정제해 제로 트러스트라 명명하고 2010년 9월에 발표한 보고서는 가히 충격적이었습니다.
그는 방화벽과 VPN, 침입 탐지 시스템으로 둘러싸는 데만 집중하는 업계의 선택은 잘못된 것이라고 주장했습니다. 악의적인 행위자와 불가해한 데이터 패킷은 조직 내부에 이미 존재하고 있으며, 이 위협에 대응하기 위해 근본적으로 새로운 접근법이 필요하다고 지적한 것입니다.
방화벽을 넘어선 보안
킨더바그는 방화벽을 설치하던 초창기부터 “우리의 트러스트 모델에 문제가 있음을 깨달았다”고 설명합니다. “디지털 세계에 인간의 개념을 적용했는데, 그건 어리석은 선택에 불과했습니다.”
포레스터에서 근무하던 당시 그는 사이버 보안이 효과를 발휘하지 못하는 이유를 추적했습니다. 2008년부터는 그의 연구를 소개하는 대담에 제로 트러스트라는 용어가 등장하기 시작했습니다.
사용자 액세스 정책과 승인에 따라 실행되는 단일 네트워크 경계를 세우는 대신, 그는 최소 권한 액세스 정책에 기반한 네트워크 보안이라는 새로운 방식을 지지했습니다. 이 경우, 각각의 엔드포인트는 초세분화(microsegmentation)로 불리는 일종의 네트워크 세분화를 통해 보다 세세한 액세스 정책을 적용해야 합니다.
초기에는 저항이 있었지만, 사용자들도 이 개념을 수용하기 시작했습니다.
“제로 트러스트가 제 전업이 될 거라는 소리를 들은 적이 있습니다. 그때는 믿지 않았지만, 결국 옳은 말이었습니다.” 킨더바그는 관련 업계에서 다양한 역할을 담당하며 수백 곳의 조직이 제로 트러스트 환경을 구축하도록 지원해 왔습니다.
제로 트러스트 생태계의 확장
리서치 전문 기업 가트너(Gartner)는 2025년까지 신규로 구축되는 원격 액세스 시스템의 70% 이상이 소위 제로 트러스트 네트워크 액세스(ZTNA)를 사용할 것으로 전망합니다. 2021년 말 기준 10%를 밑돌던 수치에서 크게 성장하는 셈입니다. (가트너, ‘신생 테크놀로지: 제로 트러스트 네트워크 액세스의 성장 인사이트 도입하기’, G00764424, 2022년 4월)
이는 COVID-19의 봉쇄 조치에 직면해 원격 근무자들의 보안을 강화하려던 기업들의 계획과도 유관한 변화입니다. 이제는 방화벽 공급자 다수가 자사 제품에 ZTNA 기능을 포함시키고 있습니다.
시장 전문가들의 추측에 따르면, 앱게이트(Appgate)에서 지스케일러(Zscaler)에 이르기까지 50개 이상의 공급사가 제로 트러스트 접근법에 맞춘 보안 제품을 제공 중입니다.
AI의 제로 트러스트 자동화
일부 제로 트러스트 환경의 사용자들은 거듭되는 다중 인증 요청에 답답함을 느끼기도 합니다. 전문가들은 이를 머신 러닝으로 자동화할 방법을 모색하고 있죠.
가트너의 경우 연속적인 적응형 트러스트(continuous adaptive trust, CAT)로 불리는 애널리틱스를 보안 전략에 적용할 것을 제안합니다. CAT(아래 차트 참조)는 디바이스 ID와 네트워크 ID, 지리 위치 등의 맥락 데이터를 디지털 현실의 확인 수단으로 활용해 사용자 인증을 돕습니다.
사실 네트워크를 채우고 있는 데이터들은 AI가 실시간으로 걸러내고 액세스 요청을 자동으로 평가해 보안을 강화하는 작업이 가능합니다.
NVIDIA의 바틀리 리처드슨(Bartley Richardson) AI 인프라와 사이버 보안 엔지니어링 부문 수석 매니저는 “우리가 수집, 보관, 관찰하는 네트워크 데이터는 전체의 절반도 되지 않지만, 그 안에는 네트워크 보안의 전체적인 그림을 그리게 해줄 인텔리전스가 포함돼 있습니다”라고 설명합니다.
인간의 능력상 네트워크가 생성하는 민감한 데이터를 모두 추적하거나, 잠재적인 취약성 일체를 관통하는 정책을 세우는 건 불가능합니다. 하지만 AI를 활용해 데이터를 꼼꼼히 살피고 의심스러운 정황을 파악하면, 신속한 대응이 가능해지죠.
개방형 AI 사이버 보안 프레임워크인 NVIDIA Morpheus의 개발을 주도하며 제로 트러스트 관련 테크니컬 블로그를 공동 운영 중인 리처드슨은 이렇게 설명합니다. “우리는 기업들이 자사 데이터센터 전반에 걸친 방어 체제를 통해 강력한 제로 트러스트 환경을 구축, 자동화할 툴을 제공하고자 합니다.”
NVIDIA는 Morpheus를 위해 사전 훈련된 AI 모델을 제공합니다. 사용자가 서드 파티 모델을 선택하거나 직접 구축할 수도 있습니다.
리처드슨은 “백엔드 엔지니어링과 파이프라인 작업이 까다롭기는 하지만, NVIDIA는 그와 관련한 전문성을 보유하고 있으며, 사용자를 위해 대신 설계하는 서비스도 가능합니다”고 말합니다.
킨더바그와 같은 전문가들은 이러한 기능을 제로 트러스트 전략의 지향으로 손꼽습니다.
그는 2014년에 발표한 보고서에서 “보안 분석가의 수동 대응은 너무 어렵고 비효율적”이라면서 “관련 시스템들의 성숙도는 값지고 신뢰할 만한 수준의 자동화가 가능한 수준에 이르렀다”고 평가한 바 있습니다.
AI와 제로 트러스트 원칙에 대한 추가 정보는 블로그를 확인하거나, 아래의 영상을 시청하세요. NVIDIA DPU가 제로 트러스트를 지원하는 자세한 방법이 테크니컬 블로그에 소개돼 있습니다.
NVIDIA 기술자 블로그에서 사이버 보안에 대해 더 자세히 알아보세요.