기업의 새로운 보안 위협이자 대응 수단으로 인공지능(AI)이 대두되고 있다. AI 기술이 부각되면서 보안 패러다임의 변화도 요구되고 있다. 여기에 ‘그 무엇도 믿지 말라’는 제로 트러스트(Zero Trust) 보안 방법론이 사이버보안의 기본지침이 됐다. <디지털데일리>가 4월19일 개최하는 차세대 기업보안 세미나 [NES 2023]에 앞서 업계 트렌드와 동향, 기업들의 전략에 대해 살펴본다. <편집자 주>
[디지털데일리 이종현기자] 사이버보안을 위해서는 일일이 열거하기 어려운, 다양한 기술들이 활용된다. 대중에게 가장 친숙한 안티 바이러스(AV)나 방화벽부터 침임탐지·방지시스템(IDS/IPS), 가상사설망(VPN), 데이터유출방지(DLP), 통합보안관제(SIEM), 엔드포인트 탐지 및 대응(EDR), 모바일디바이스관리(MDM) 등의 제품들이 있다. 기업·기관들은 이런 제품들을 활용해 내부 자산을 지켜왔다.
이처럼 각양각색의 기술들이 난립하는 상황에서 최근에는 그 방향성이 한 곳으로 모아지는 추세다. 그 무엇도, 누구도 믿지 말라는 원칙의 ‘제로 트러스트(Zero Trust)’다.
제로 트러스트는 최근 등장한 개념이 아니다. 2010년 미국 정보기술(IT) 연구기관 포레스터 리서치의 보안 분석가 존 킨드바그(John Kindervag)가 보고서에서 제시하며 널리 알려졌는데, 사이버보안 업계에서는 그전부터 제로 트러스트 혹은 그와 유사한 개념들이 언급돼 왔다.
킨드바그는 사이버공격이 지속해서 발전하는 가운데 내부 네트워크에 대한 대비는 잘 이뤄지지 않고 있다는 점을 지적했다. 네트워크 바깥은 바삭(Crunchy)하지만 내부는 부드럽고 쫄깃(Soft Chewy)하다며 경계뿐만 아니라 시스템 전반에 대한 대응력을 키워야 한다고 주장했다.
정보기술(IT) 업계에서 본격적으로 제로 트러스트가 주목받기 시작한 것은 클라우드의 확산부터다. 내·외부 네트워크를 구분할 수 있었던 전통적인 데이터센터 환경과 달리 인터넷을 통해 끊임없이 연결되는 클라우드 환경에서는 내·외부의 경계를 구분짓기가 어려워졌다.
최근 한국을 찾은 글로벌 SW 기업 하시코프의 공동 창립자인 아몬 데드가(Armon Dadgar) 최고기술책임자(CTO)는 지난 12일 기자간담회에서 “전통적인 보안은 성이 있고 성을 사방으로 둘러싸는 경계를 형성해 안전한 정문을 통해서만 접근 가능하도록 하는 방식이었다. 그러나 클라우드 환경에서는 내부 네트워크도 신뢰할 수 없다, 이것이 제로 트러스트 보안 모델로 변해야 하는 핵심 이유”라고 강조했다.
코로나19 이후 클라우드를 도입하는 움직임이 폭발적으로 상승한 가운데, 제로 트러스트에 대한 주목도도 크게 올랐다. 결정적인 계기가 된 것은 미국 조 바이든 대통령의 행정명령이다. 임기 초부터 큼직한 보안사고를 경험했던 바이든 대통령은 2021년5월 ‘국가 사이버보안 개선을 위한 행정명령’을 발표하면서 연방정부 차원의 제로 트러스트 도입을 주문했다. 이에 미국 연방정부 기관들은 2024년까지 제로 트러스트를 위한 계획을 수립해야 한다.
미국의 전향적인 움직임에 한국도 영향을 받았다. 윤석열 대통령은 국정과제로 사이버보안을 담은 국내 첫 대통령이다. 당선 이후로 큼직한 보안사고가 연이어 터진 것도 바이든 대통령의 상황과 닮았다. 윤 대통령은 한국형 제로 트러스트를 위한 연구를 지시했고, 이에 디지털플랫폼정부위원회는 2025년부터 공공 영역에 제로 트러스트 보안모델이 정착되도록 준비하는 중이다.
제로 트러스트를 위해 필요한 기술 중 하나로 주목받는 것은 아이덴티티(ID) 및 액세스 관리(IAM) 솔루션이다. 다만 IAM이 곧 제로 트러스트 그 자체라고 할 수는 없다. 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)과 같은 기술을 비롯해 개발에 사용하는 오픈소스 등에 대한 공급망 보안을 책임질 기술도 필요하다. 방화벽과 같은 전통적인 보안 솔루션, 또 최후의 보루로서 기능할 백업 등도 배제할 수 없다.
<디지털데일리>는 4월19일 ‘사라진 경계, ‘한국형 제로 트러스트’ 중심의 보안 혁신전략’을 주제로 [NES 2023]를 개최한다. 이제는 사이버보안 업계뿐만 아니라, 전 분야에서 주목받고 있는 제로 트러스트와 관련 주요 기업들이 어떤 전략을 갖고 있는지 공유한다.
서울 서초구 양재 엘타워에서 열리는 이날 행사에는 마이크로소프트(MS), IBM, 아크로니스, 포티넷 등 외국계 기업들을 비롯해 안랩, LG CNS, 네이버, 이글루코퍼레이션, 센스톤, 시큐센, 엑스퍼넷, 에이블스토어 등의 기업이 각사의 제품 및 전략을 선보일 예정이다. 한국인터넷진흥원(KISA)과 금융보안원이 한국을 타깃으로 하는 최신 사이버보안 동향도 마련됐다.