제로 트러스트(Zero Trust) 보안은 기존의 보안 모델과는 다른 혁신적인 접근 방식을 제시하는 보안 프레임워크이다. 기존의 보안 모델은 내부 네트워크에 접근하는 사용자와 기기를 신뢰하고, 외부 네트워크와 사용자를 불신하는 방식으로 운영된다. 그러나 제로 트러스트 보안은 “신뢰하지 않고는 접근하지 않는다.”라는 철학에 기반하여 동작한다. 즉, 모든 사용자, 기기, 네트워크 트래픽을 더 이상 신뢰하지 않고 기본적인 접근 권한만을 허용하며, 추가적인 인증과 권한 부여 절차를 거쳐야만 안전하게 내부 시스템에 접근할 수 있도록 하는 것이다.
1. 배경
제로 트러스트 보안의 핵심 개념은 다양한 보안 기술과 접근 제어 메커니즘을 활용하여 사용자의 신원을 확인하고 장치의 상태를 평가하는 것이다. 이를 통해 사용자가 자신의 업무에 필요한 최소한의 권한만을 가지게 되며, 불필요한 권한 부여와 접근은 차단된다. 또한, 모든 트래픽은 실시간으로 감시되며 이상 행위를 감지하고 대응할 수 있는 강력한 보안 분석 시스템이 필요하다. 이러한 방식으로 제로 트러스트 보안은 현대적인 보안 위협에 대응하고 기업과 조직의 데이터와 자산을 더욱 효과적으로 보호하는 미래 지향적인 보안 전략으로 인식되고 있다.
공공 부문의 클라우드 전환에 있어 큰 걸림돌 중 하나인 보안 문제를 제로 트러스트 기반 보안 모델을 통해 해결하고자 하는 것도 최근 추세이다. 클라우드 퍼스트에서 스마트 클라우드, 그리고 더 나아가 소프트웨어 현대화를 추진하는 미국 연방 정부 사이버 보안 현대화 전략에서도 제로 트러스트 아키텍처 도입을 통한 안전한 클라우드 활용이 거론되고 있다. 이는 조 바이든 대통령의 행정명령에도 명시되어 있다.
우리나라에서도 최근 제로 트러스트 보안에 관한 관심이 높아짐에 따라, 과기정통부와 한국인터넷진흥원에서 제로트러스트 가이드라인 1.0을 발표하였다. 이 가이드라인에서는 제로 트러스트 보안의 기본 개념, 아키텍처/모델, 도입 절차, 유즈케이스 등을 외국 선진 사례 중심으로 소개하고 있다. 제로 트러스트를 도입하기 위해서는 왜 필요한지, 이러한 필요성을 충족하기 위한 목표를 무엇으로 설정할 것인가를 우선 정의할 필요가 있다.
좀 더 구체적으로는 제로 트러스트를 위한 핵심 요소들은 무엇이고, 이들 각 요소를 통해 달성하고자 하는 보안 수준은 어디까지이며, 그래서 궁극적으로 지향하고자 하는 목적을 제대로 달성하였는지 판단할 수 있는 근거가 필요하다. 이를 위해 만들어진 것이 제로 트러스트 성숙도 모델(ZTMM: Zero Trust Maturity Model)이다.
미국 사이버보안 및 인프라 보안국(CISA: Cybersecurity and Infrastructure Security Agency) 에서는 지난 4월 ZTMM 2.0을 발표하였다. 2021년 1.0 버전을 최초 발표한 지 약 2년 만에 나온 개정판으로 미국뿐 아니라 우리나라를 포함한 많은 국가의 공공기관에서 제로 트러스트 도입 전략 수립을 위한 주요 참고 자료로 활용되고 있다. 앞서 언급한 우리나라 과기정통부에서 발표한 제로트러스트 가이드라인 1.0에서도 이를 참고하고 있다.
이 글에서는 ZTMM의 기본 개념과 이의 필요성, 그리고 제로 트러스트 구축을 위한 향후 과제에 대해 논해보고자 한다. 각 기관에서 필요한 구체적인 제로 트러스트 로드맵을 도출하기 위해서는 CISA의 문서를 직접 참고하는 것이 바람직하다. 한편, 이 글이 CISA 문서를 좀 더 쉽게 이해하고 활용하는 데에 도움이 될 수 있기를 기대한다.
2. ZTMM 목적 및 필요성
제로 트러스트 성숙도 모델(ZTMM)은 공공기관(미연방 기관)이 제로 트러스트 아키텍처(ZTA)로 나아가는 데 필요한 전략 및 투자, 평가 등 실행 계획을 수립하는 데 도움을 주기 위해 고안했다. 앞서 언급한 미국 사이버 보안 개선 행정 명령에 따라 연방 기관에서의 활용을 전제로 하고 있지만, 일반 기업이나 공공부문에서 제로 트러스트 도입을 고민하고 있다면 현 상황을 진단하고 앞으로 개선할 구체적인 목표를 설정하는 데 필요한 지침으로 참고할 가치가 있다.
CISA의 ZTMM에 앞서 발표된 NIST의 제로 트러스트 아키텍처 문서에서는 제로 트러스트의 목표를 “데이터 및 서비스에 대한 무단 액세스를 방지하고 액세스 제어를 가능한 한 세분화하는 것”이라고 강조하고 있다. 또한, 제로 트러스트를 사용자나 자산을 암묵적으로 신뢰해서는 안 된다는 생각을 전제로 하는 사이버 보안 전략이라고 설명한다. 즉, 제로 트러스트는 이미 침해가 발생했거나 발생할 것이라는 가정 하에 기업 또는 기관의 경계에서 단 한 번의 인증으로 사용자에게 민감한 정보에 대한 액세스 권한을 부여해서는 안 된다는 것이다.
대신 각 사용자, 디바이스, 애플리케이션, 트랜잭션을 지속적으로 확인해야 한다. 제로 트러스트는 기존의 위치 중심 모델에서 사용자, 시스템, 애플리케이션, 데이터, 자산 간의 세분된 보안 제어를 통해 ID, 컨텍스트, 데이터 중심 접근 방식으로의 전환을 의미한다. 제로 트러스트를 채택하는 것은 기존 경계 중심의 사이버 보안 구축보다 훨씬 복잡하고 어려운 과정을 거쳐야 한다. 나아가 근본적으로 제로 트러스트는 조직의 사이버 보안 철학 및 문화까지의 변화를 수반한다.
제로 트러스트 모델을 구현하는 데 특히 유념해야 할 것은 모든 목표를 한 번에 완벽하게 달성하고자 하는 전략은 절대 성공하기 어렵다는 점이다. 경계 중심의 전통적인 보안 개념보다 훨씬 더 세분된 보안 제어가 필요하다는 것은 그만큼 제어 대상의 규모 및 다양성으로 인한 복잡도가 높아진다는 것을 의미한다. 장기적인 운영관점에서도 기업 또는 기관 전체의 “모든 요건을 충족시키는 일률적인 보안 투자”가 아니라 “우선순위에 기반한 데이터와 서비스 대한 신중하고 점진적인 투자”를 전제로 해야 한다. CISA의 ZTMM에서도 제로 트러스트로 가는 길은 점진적인 구현 과정을 거치며 이는 여러 해가 걸릴 수 있다고 언급한다.
3. ZTMM(Zero Trust Maturity Model) 개요
ZTMM은 제로 트러스트 모델 기반의 보안 개념이 얼마나 잘 적용되어 운영되고 있는가를 객관적으로 표현하기 위한 모델이다. 앞서 언급했지만, 이러한 “성숙도”는 한 번에 갑자기 높은 수준으로 점프할 수는 있는 것이 아니라 점진적인 변화를 통해 점차 최적화 수준에 다가가는 모양으로 발전하게 된다. 일반적으로 제로 트러스트 아키텍처를 설명할 때 5개의 기둥, 그리고 이 각각의 기둥에 공통으로 적용되는 “교차 기능(Cross-Cutting Capabilities)”이 등장한다.(그림 1)
3.1 제로 트러스트 아키텍처의 다섯 개 기둥
ZTMM에서는 5개 각각의 기둥 관점에서의 성숙도를 정의하고 있다.
아이덴티티(사용자)
사용자에 대한 신원 확인 및 접근 권한 제어를 말한다. 일반적인 사용자 로그인과 같은 단순한 기능에서부터 ‘역할에 따른 접근 제어(Role Based Access Control)’, ‘속성 또는 상황(Context)에 따른 접근 제어’도 가능하다. 접근하고자 하는 사용자의 위치, 시간, 접근 대상에 따라, 같은 사용자라고 하더라도 그때그때 접근 승인 여부가 달라질 수 있다. 싱글사인온(SSO)과 같은 편의성도 부가적으로 제공할 수 있으며, 인증 강화를 위해 생체인증, 다중 요소 접근 제어(MFA), 일회용 패스워드 등을 활용한다.
디바이스(엔드포인트)
컴퓨터, 태블릿, 스마트폰과 같은 사용자 기기, 사용자 간섭 없이 상호 접속을 시도하는 서버, 그리고 수많은 사물인터넷 장치 등을 포함한다. 회사가 소유한 기기인지, 혹은 조직 내 구성원 개인이 소유한 기기인지, 또는 제3의 파트너 기기인지도 명확히 구분하여 각각에 대한 적절한 제어 권한을 집행해야 한다. 또한, 각 장치의 운영체제나 펌웨어가 항상 최신 버전을 유지하고 있는지 확인하는 것도 중요하다.
네트워크
네트워크를 여러 작은 조각(segment)으로 나누고 분할된 일부 네트워크는 아예 나머지 네트워크로부터 분리할 수 있도록 하는 기능이 필요하다. 작은 조각으로 나누어진 마이크로 세그먼트(Micro Segment)는 각각 별도의 분리된 네트워크 단위로서 접근 제어를 실행한다. 사용자, 디바이스, 애플리케이션 조합에 따라 이러한 권한을 차등 부여함으로써 (논리적인) 망 분리를 효과적으로 운영할 수 있다.
이러한 제로 트러스트 네트워크 개념은 기존 네트워크 보안 기술을 적용하기에도 효과적이다. 디도스 공격을 탐지하여 우회하는 데에도 적용할 수 있으며, 마이크로 세그먼트 전체에서의 암호화 기능을 활용함으로써 외부와의 미인가 데이터 반출 및 인입도 방지할 수 있다. 물론 기존 방화벽 기능도 적용할 수 있다. 소프트웨어 정의 경계(SDP: Software Defined Perimeter)와 같은 기술을 활용한다.
애플리케이션 & 워크로드
온-프레미스에서 실행하는 로컬 애플리케이션 또는 클라우드에 실행되는 애플리케이션 모두를 포함하며 이를 넓은 의미로 포용하는 “워크로드”라는 표현이 더 적절할 수 있다. 클라우드 또는 기업 네트워크상에서 실행하는 워크로드를 정확히 모니터링하는 것이 핵심이다. 허가하지 않는 자원에 접근을 시도하거나, 워크로드를 위변조하여 배포하거나, 혹은 실행 권한이 없는 사용자가 워크로드를 배포하는 행위를 발견하는 즉시 차단하고, 추후 복구하는 보안 기능이 필요하다. 클라우드 네이티브 환경에서 컨테이너화된 워크로드의 라이프사이클 관리도 애플리케이션에 대한 제로 트러스트 기반 보안에서 중요한 기능이다. 특히 하이브리드 클라우드컴퓨팅에서는 반드시 고려해야 할 요소이다.
데이터
데이터를 접근 권한별로 분류하고 이에 따른 접근 정책을 실행하는 것이 데이터 보안의 출발점이다. 사용자와 디바이스 조합에 따라 차등화된 데이터 접근 권한을 설정하고, 데이터의 유효성, 라이프사이클 운영도 필요하다. 단순 접근 차단뿐만 아니라, 비인가 접근 혹은 비인가 데이터 변조 시도를 탐지하여 이에 대한 즉각적인 대응도 가능하다.
3.2 성숙도 수준 구분
ZTMM에서는 각 기둥별로 “전통(Traditional)”, “초급(Initial)”, “고급(Advanced)”, “최적(Optimal)” 이 4단계로 성숙도를 구분하고 있다. 즉 어떤 한 기둥이 가장 앞선 “최적의” 단계에 있다고 하더라도 다른 기둥은 그보다 낮은 “초기의” 단계나 “발전된” 단계일 수도 있다. 각 기관의 요구사항과 유즈케이스에 따라 다를 수 있다. 모든 기둥에서 가장 높은 수준의 성숙도를 갖는 것이 최종 목표라 하더라도 이렇게 가는 과정은 수요기관의 우선순위에 따라 점진적으로 각 기둥별 수준을 높여가는 실행전략이 필요하다. 각 수준에 대한 정의 역시 기둥별로 다를 수 있다. CISA 문서에서 정의하는 각 성숙도 수준을 키워드 중심으로 살펴보면 다음과 같다.
전통(Traditional): 수동, 기둥 간/조직 간 사일로화, 경직된 권한 관리, 시스템 가시성 미흡
- 수동으로 이루어지는 라이프사이클 관리, 속성 정의, 대응 및 배포
- 각 기둥별 정적으로 운영되는 보안 정책, 솔루션 운영, 외부 시스템과의 연계
- 프로비저닝 시에 결정되는 최소 접근 권한
- 시스템 로그 및 원격 분석 시 상호 연동성 결여
초급(Initial): 일부 자동화, 일부 기둥 간 연계, 내부 시스템 가시성 확대
- 라이프사이클 관리 및 속성 할당 등 일부 자동화 적용 시작
- 기둥 간 상호 연동 솔루션 활용 및 외부 시스템 통합 연계
- 프로비저닝 후 최소 권한에 대한 일부 변경 대응 가능
- 내부 시스템에 대한 통합 가시성
고급(Advanced): 자동화 범위 확대, 중앙 집중 제어 강화, 기둥 간 통합 정책
- 기둥 간 조정을 통한 정책 구성, 라이프사이클 관리 등을 가능한 자동으로 제어
- 중앙 집중식 가시성 및 ID 제어
- 여러 기둥에 통합/연계된 정책 시행
- 위험 및 상태 평가를 기반으로 한 동적 최소 권한 변경
- 외부에서 호스팅하는 리소스를 포함한 전사적 인식 구축
최적(Optimal): 완전 자동화, 상황에 따른 동적 정책 적용, 상호 운영성 및 가시성 증대
- 완전히 자동화된 적시 라이프사이클 관리 및 속성 할당
- 관찰된 이벤트(상태)를 바탕으로 자원별 동적 정책을 자동으로 보고
- 전사적으로 자산 및 해당 종속성에 대한 동적 최소 접근 권한(임곗값 범위 내) 제공
- 지속적인 모니터링을 통한 기둥 간 상호 운용성 확보
- 포괄적인 상황 인식을 통한 중앙 집중식 가시성 제공
요약하면 “자동화”, “권한 세부 제어”, “기둥 간 상호 연계”, “중앙집중 통합 가시성 및 제어” 이들 각각 수준에 대한 평가를 바탕으로 성숙도를 결정한다.
3.3 성숙도 수준을 결정하는 교차 기능
성숙도 수준을 높이기 위해서는 가시성과 분석 기능, 자동화 기능 및 상호 연계 기능을 강화해야 한다. 이와 더불어 이를 전사적으로 운영하면서 정책과 실행 절차, 조직간 통합 연계를 위한 조직적 지원체계가 갖추어져야 한다. 이를 CISA에선 다음과 같은 교차 기능(Cross-cutting Capabilities)으로 정의하고 있다.
가시성 및 분석
제로 트러스트 기반 보안을 구현하기 위해서는 앞서 열거한 5개의 기둥, 그리고 이를 운영하는 사람 등 관련된 전체 구성 요소 간 모든 트랜잭션을 실시간으로 관찰하고 분석할 수 있어야 한다. 이러한 분석을 통해 획득한 통찰력(insights)을 바탕으로 위협 탐지 능력이 향상되며, 끊임없이 진화하는 보안 침해에 대한 대응이 가능하다. 주요 요건은 다음과 같다.
- 커버리지: 내/외부 시스템 모두에 대해 충분히 이벤트 및 상황을 모니터할 수 있는가?
- 실시간성: 실시간 탐지 및 분석을 통한 적기 대응이 가능한가?
- 통합 및 중앙집중: 기둥별 상호연계성 분석을 통해 중앙집중 가시성이 확보되는가?
자동화 및 오케스트레이션
수동 보안 프로세스를 가능한 한 배제하여 인적오류를 최대한 예방해야 한다. 자동 형상 관리를 위해 IaC(Infra as a Code)를 활용할 수도 있다. 데브옵스 프로세스 전반에 보안 요구사항을 합친 데브섹옵스(DevSecOps)를 얼마나 자연스럽게 잘 지원하는가도 고려사항 중 하나다. 또한, 이렇게 자동화한 성공 사례를 유사한 다른 보안 체계에도 바로 적용할 수 있도록 보안 기능을 자동 배포하고 관리하는 기능이 필요하다. 즉 보안 기능도 클라우드 네이티브 환경에서의 워크로드처럼 오케스트레이션 할 수 있어야 한다.
거버넌스
정책 수립, 솔루션 운영, 기관 간 연계 및 조정, 장기적 투자 및 로드맵 관리 등 제반 기능이 동작하기 위한 조직 운영체계가 갖추어져 있어야 한다.
교차 기능의 성숙도는 각 기능을 운영하는 조직 역량 및 활용 솔루션에 의해 영향을 받는다. 따라서 제로 트러스트 구축을 염두에 두고 있는 기관에서는 목표 수준을 정하기 전 내부 역량과 필요 기술에 대한 로드맵 수립이 필요하다.
3.4 어떻게 시작할 것인가?
제로 트러스트 채택을 위해 해야 할 일들을 단계별로 다음과 같이 나열해 볼 수 있다.
- 제로 트러스트 개념 전파 및 필요성에 대한 공감대 형성
- 유즈케이스 발굴:
모든 유즈케이스가 아니라 당장 공감하는 유즈케이스를 우선 몇 개 발굴하는 것이 중요하다. - 내/외부 시스템 자산에 대한 정확한 파악:
전체 시스템에 대한 자산을 정확하게 파악하는 것 자체가 엄청나게 큰 과제이다. 따라서 위 2.에서 발굴한 유즈케이스와 연계된 자산을 중심으로 현황을 우선 파악하는 것이 좋다. - 유즈케이스를 하나 선정하여 시범사업 혹은 PoC(Proof of Concept) 수행:
두세 개 정도의 기둥에 적용하여 상호 연계 및 일부 자동화 등 초급 단계로 가는 목표를 설정하여 진행하는 것이 바람직할 것이다. - 시범 적용 평가를 바탕으로 한 중장기 로드맵 설정 및 거버넌스 체계 구축
- 점진적으로 시행착오를 거치며 ZTMM 측정 및 관리
위 단계가 모든 필요한 요소를 완전히 포함하고 있지는 않지만 1단계에서 4단계까지가 우선 첫 단추를 끼우는 중요한 시작 단계라 볼 수 있다. 5, 6단계로 넘어가면 이제 본격적인 전략 수립 및 투자단계로 접어든다. 따라서 1부터 4단계까지의 탐색 단계를 가능한 짧은 시간에 최소한의 투자로 할 수 있는 실행전략 수립이 바람직하다. 그 이후부터는 많은 투자와 시간이 소요되므로 장기적으로 지속 가능하며 유연하게 성숙도를 높일 수 있는 로드맵에 바탕을 둔 실행을 염두에 두어야 한다.
CISA의 ZTMM 문서는 5개 기둥과 성숙도에 따른 상세한 설명이 잘 되어 있다. ZTMM을 바탕으로 성숙도 로드맵을 수립하는 데에는 전체를 하나의 표로 잘 정리한 “High-Level Zero Trust Maturity Model Overview”(그림 2)가 좋은 출발점이다. 이 표를 기준으로 가 기관에 적합한 체크리스트를 만드는 것을 추천한다. 일단 가장 아래쪽에 있는 “Traditional”, “Initial”부터 시작하는 것이 좋겠다. 표만 가지고 이해가 어려울 경우 5장의 각 기둥별 상세 설명을 참고하여 각 기관에 해당하는 형태로 표현을 바꿀 필요도 있다. KISA에서 발행한 제로 트러스트 가이드라인도 함께 참고할 수 있을 것이다.
제로 트러스트 실현을 위해 풀어야 할 과제
성공적으로 제로 트러스트를 채택하기 위해서는 기존 사이버 보안 구축과는 다른 전략으로 접근해야 한다. 사용자, 기기, 네트워크 등 다양한 구성 요소 각각에 대해 차등화된, 그리고 상황에 따른 각기 다른 보안 정책을 적용하기 위한 전략 및 이를 구현하기 위한 장기적인 기술 투자가 필요하다. 지속 가능한 투자와 투자 대비 효율성 담보를 위해서는 기술 조직뿐만 아니라 전 조직을 아우르는 거버넌스 체계 확립이 선결 조건이다.
기존 레거시 시스템은 형상 관리(configuration management) 과정을 거쳐 요구되는 속성이 일단 고정되면 이를 바탕으로 한 “암묵적 신뢰”에 의존하여 시스템에 대한 접근 권한을 모든 구성원 그리고 이들이 사용하는 기기에 부여한다. 이는 제로 트러스트 기반 보안 모델에서 모든 신뢰 기준은 컨텍스트(Context)에 맞도록 상시 평가하고 필요할 경우 재승인해야 한다는 핵심 원칙과 충돌한다. 제로 트러스트 원칙에 더 잘 부합하기 위해서는 암묵적 신뢰를 기반으로 구축된 기존 인프라 시스템에 대한 변경이 불가피하다. 물론 이에 따른 투자가 당연히 필요하다. 또한, 기술 환경이 계속 진화하는 것에 맞추어 제로 트러스트 목표를 효과적으로 달성하기 위해서는 새로운 솔루션 및 기술 로드맵에 대한 지속적인 논의와 개선이 무엇보다 중요하다.
제로 트러스트를 채택하려면 설계 목표를 효과적으로 달성하고 사이버 보안 태세를 개선하기 위해 고위 경영진, IT 직원, 데이터 및 시스템 소유자, 공공기관 전반 사용자들의 참여와 협력이 필요하다. 특히 공공기관의 사이버 보안을 개선하려면 각 기관이 개별적으로 운영하는 사일로화된 IT서비스 벽을 허물 수 있는 체계가 필요하다. 상호 협력이 가능한 조직적 전환을 통해 제로 트러스트 전략을 조정하면서 공통 아키텍처 및 거버넌스 정책에 대한 기관 전체의 동의를 얻을 수 있는 체계를 먼저 만들어야 한다. 이는 물론 클라우드 전환 및 도입확산 로드맵 계획과 함께 전개되어야 한다. 공공부문 클라우드 전환의 걸림돌인 보안 이슈를 제로 트러스트 채택을 통해 상당 부분 해결할 수 있기 때문이다.
각 공공기관은 서로 다른 출발점에서 제로 트러스트 적용을 검토 또는 시작하고 있다. 일부 기관은 다른 기관보다 좀 더 일찍 고민을 시작하여 더 앞서가는 위치가이드에 있기도 하고, 또는 시작점과 관계없이 각기 다른 요구사항이나 유즈케이스에 따라 차별화된 접근 방식을 택해야 할 수 있다. 어떤 경우든 성공적인 제로 트러스트 구축은 생산성 향상, 최종 사용자 경험 향상, IT 비용 절감, 유연한 액세스, 보안 강화 등 다양한 이점을 제공할 수 있다. 이런 이점을 누리기 위해서는 제로 트러스트 구현을 통해 달성할 수 있는 구체적인 목표 설정과 그 여정으로 가는 과정을 정확하게 진단할 수 있어야 한다. ZTMM은 각 기관의 제로 트러스트 채택 여정을 살필 수 있는 나침반 역할을 할 수 있을 것이다.
참고문헌
– The White House, “Executive Order on Improving the Nation’s Cybersecurity”, May 12, 2021
– 한국인터넷진흥원, “제로트러스트 가이드라인 1.0”, 2023년 6월
– CISA, “Zero Trust Maturity Model Version 2.0”, Apr 2023
– NIST, “SP 800-207: Zero Trust Architectur”, Aug 2020
– 윤대균, “제로 트러스트 기반 보안 실현을 위한 6×2 아키텍처”, NIA 디지털서비스 이슈리포트, 2022년 4월
디지털 이슈 리포트
본 글은 한국지능정보사회진흥원의 지원을 받아 작성되었으며, 디지털서비스 이용지원시스템에 동시 게재합니다.