IT보안. 제로 트러스트, 아무도 믿지 마라.
- 전 여친 "자니?" 카톡처럼 — 일단 의심부터가 맞다 -
보안 업계에서 최근 가장 핫한 단어를 하나 꼽으라면 단연 제로 트러스트(Zero Trust)다.
직역하면 '신뢰 제로'. 말 그대로 아무도 믿지 말라는 소리다.
처음 이 단어를 들었을 때 내 반응은 이랬다. "아니, 같이 일하는 동료도 못 믿으면 세상 어떻게 사냐?" 근데 보안에서는 그게 맞다. 아니, 그래야만 한다.
성벽은 무너졌다 — 경계 보안(Perimeter Security)의 종말
예전 내가 쓴 방화벽 관련 글에서 방화벽을 우리 집 대문을 지키는 문지기라고 비유했었는데, 예전에는 대문만 잘 잠그면 집 안은 안전하다고 생각했다. 소위 '경계 보안' 모델이다.
근데 문제는 뭐냐. APT 편에서 말했듯이, 도둑이 이미 집 안에 들어와 있다면? 혹은 우리 집 식구가 밖에서 피싱 메일에 낚여서 도둑에게 현관 비밀번호를 알려줬다면?
이때부터는 성벽이 의미가 없어진다. 성 안으로 들어온 놈은 "나 성문 통과했으니까 착한 애야"라며 성 안의 모든 창고를 다 털고 다닐 수 있기 때문이다.
클라우드가 보편화되고 재택근무가 일상이 된 지금은 이 문제가 더 심각하다. 예전엔 '사내망 = 안전한 구역'이라는 등식이 어느 정도 성립했지만, 이제는 직원들이 카페에서도 일하고 집에서도 일한다. 경계 자체가 사라진 거다.
진짜 무서운 건 '성벽 안의 배신자'
솔직히 말하면 외부 해커보다 더 무서운 건 내부자 위협이다.
밖에서 문 부수고 들어오는 놈은 방화벽이든 IPS든 어떻게든 흔적이라도 남기지만, 안에서 마음먹고 들고나가는 놈은 답이 없다.
특히 필드에서 보면, 직급이 높을수록 사고를 크게 친다.
① 돈 되는 데이터는 윗분들 손에 — 신입 사원이 볼 수 있는 데이터랑 임원급이 다루는 데이터는 급이 다르다. 털리면 회사 휘청거리는 핵심 기술이나 대외비는 다 높은 자리에 계신 분들 폴더에 있다.
② 보안은 아랫사람이나 하는 것? — 직급이 높을수록 "나 누군지 알지? 바쁜데 그냥 좀 열어줘"라는 식의 특권 의식이 강하다. 보안 규정을 귀찮은 절차로 여기는 순간, 그분 자체가 걸어 다니는 취약점이 된다.
우리 대표랑 같은 동네 살아도, 사우나를 같이 갔어도 보안에서는 일단 의심해야 한다 이건 내가 이 바닥에서 구르면서 한 번도 예외를 본 적 없는 패턴이다.
제로 트러스트: "본부장님이라도 신분증 내놓으세요"
제로 트러스트는 바로 이 지점을 파고든다.
"모든 네트워크는 이미 털렸고, 내부자도 언제든 배신할 수 있다"라고 가정하는 거다. 삐딱하게 들릴 수 있는데, 보안에서는 이게 가장 현실적인 출발점이다.
① 내부라고 봐주는 거 없다 — 예전엔 사내 망에만 접속하면 프리패스였지만, 제로 트러스트에선 상무든, 전무든, 대표든 접속할 때마다 "진짜 본인 맞으세요?"라고 묻는다. 실제 구현 방식으로는 MFA(다중 인증)나 IAM(계정 접근 관리) 같은 솔루션들이 쓰인다. 최근에는 FIDO 기반의 생체 인증이나 SNS 인증을 연동해서 편의성을 높이는 추세이긴 하지만, 그래도 귀찮은 건 매한가지다
② 최소 권한의 원칙 — APT 편에서 망 분리가 중요하다고 했는데, 제로 트러스트는 이걸 극단적으로 밀어붙인다. 아무리 직급이 높아도 업무에 꼭 필요한 데이터가 아니면 접근 권한을 안 준다. 마이크로 세그멘테이션이라고 해서 내부 네트워크도 잘게 쪼개서 각 구역마다 별도 인증을 요구하는 방식이다.
③ 지속적인 검증 — 한 번 로그인했다고 끝이 아니다. 다른 폴더를 열 때마다, 다른 시스템에 접근할 때마다 계속 확인한다. 귀찮긴 하지만, 그래야 높으신 분의 계정이 털렸을 때나 혹은 그분이 딴마음을 먹었을 때 피해를 최소화할 수 있다.
잊을만 하면 한번씩 뉴스에 나오는 -중국에 기밀 자료 유출 등- 기사 보면 신입사원이 털었다고 합니다. 라고 하는거 본적 있는가? 대부분 임원급이다. 얼마전에 S사도 기사 또 떴던데...웁웁
제로 트러스트, 말은 쉽다
제로 트러스트는 특정 솔루션 하나 산다고 끝나는 게 아니라 철학을 바꾸는 문제다. 그래서 도입이 어렵다.
보안 벤더들은 "저희 제품 하나면 제로 트러스트 완성입니다"라고 말하는데, 단언하건대 그런 제품은 없다. 제로 트러스트는 제품이 아니라 설계 방식이기 때문이다.
그리고 현실에서 제일 큰 벽은 기술이 아니다. 사람이다.
"내가 누군데! 왜 매번 인증을 해야 해?"라고 불만을 가진 높으신 분을 설득하는 게, 솔직히 기술 구현보다 훨씬 어렵다. 이 바닥에서 보안 담당자가 많은 스트레스받는 부분이기도 하다.
요약하자면, 대문 문지기만 믿지 말고 안방 문, 화장실 문에도 자물쇠를 다 채워라. 그리고 가족이라도 문 열어달라고 하면, 일단 인터폰으로 얼굴 보고, 신분증까지 대조해라. 그게 제로 트러스트의 본질이다.
사족.
이렇게 일하면 동료도 불편해하고, 이상한 상사 만나면 찍힐 수도 있다. 하지만 원래 보안은 회사 내에서도 공공의 적 아니었던가? 그래도 그만큼 보안은 확실해진다.