디지털 전환과 규제 준수의 핵심으로 떠오른 마이크로 세그멘테이션 기반 제로트러스트 아키텍처
세계 주요 국가 및 보안 규제 관리 감독 기관은 디지털 전환의 한 축으로 제로트러스트를 바라봅니다. 유연하고 민첩한 디지털 세상에 맞는 새로운 보안 체계인 제로트러스트 없는 디지털 전환은 혜택보다 위험이 더 크다고 보는 것입니다. 이런 이유로 세계 각국 정부는 제로트러스트 기술의 도입과 확산에 노력을 기울이고 있습니다. 제로트러스트 모델은 "절대 믿지 말고, 계속 검증하라"는 원칙에 기반하여, 기업 및 공공 부문의 네트워크 보안을 강화하는 데 중요한 역할을 합니다. 이 모델은 네트워크 내부와 외부 모두에서 자원에 대한 접근을 엄격하게 제어하며, 이를 통해 사이버 위협으로부터 조직을 보호합니다.
제로 트러스트 확산에 뛰어든 각국 정부와 규제 기관
제로 트러스트 아키텍처 도입에 있어 선도적인 역할을 하는 국가로 미국을 꼽습니다. 미국 정부는 특히 사이버 보안 강화를 위해 제로트러스트 모델을 적극적으로 도입하고 있으며, 연방 정부 기관의 제로트러스트 아키텍처 구현을 안내하는 다양한 지침과 정책을 발표했습니다.
예를 들어 미국 사이버 보안 및 인프라 보안국(CISA)은 정부 기관의 제로 트러스트 아키텍처 구현 계획 설계를 지원하는 제로 트러스트 성숙도 평가 모델인 ZTMM을 공개했으며, NIST는 제로 트러스트 아키텍처와 제로 트러스트 아키텍처 구현을 발표하였고, NSA도 국방정보시스템국(DISA)과 함께 국방부 제로 트러스트 참조 아키텍처를 제공합니다.
미국과 함께 적극적인 행보를 보이는 국가로 한국을 빼놓을 수 없습니다. 한국은 2022년 10월 국내 산・학・연・관 전문가로 구성된 제로트러스트포럼을 구성하여 국내 환경에 적합한 제로트러스트 가이드라인 1.0을 마련하였고, 정부는 이를 참조해 디지털플랫폼정부 실현 계획에 제로트러스트 구현 방안을 담았습니다.
한편, 제로 트러스트는 각종 보안 규제 준수 활동에도 영향을 끼칠 전망입니다. 세계 각국의 개인정보보호 규제부터 PCI-DSS 같은 업계 규제 가이드라인에 제로 트러스트 권장 내용이 추가되는 추세입니다. 일례로 PCI-DSS 4.0은 마이크로 세그멘테이션 기반 제로 트러스트 보안 모델 채택을 권장합니다. 유럽 연합(EU)의 GDPR(일반 데이터 보호 규정), 캘리포니아 소비자 개인 정보 보호법(CCPA) 같은 규제도 제로 트러스트 채택을 중요 지침으로 안내합니다.
마이크로 세그멘테이션 기반 제로트러스트 아키텍처에 주목하는 이유
주요 국가 및 보안 규제 기관이 제시하는 제로트러스트 원칙은 내용을 보면 크게 다르지 않습니다. 모두가 마이크로 세그멘테이션을 강조합니다. 예를 들어 보겠습니다. 과학기술정보통신부 제로트러스트 가이드라인 1.0은 핵심 원칙을 다음과 같이 정리합니다. 제로트러스트를 실현하는 수단이자 근간중 하나가 바로 마이크로 세그멘테이션입니다.
마이크로 세그멘테이션이 필요한 이유
마이크로 세그멘테이션을 모두가 강조하는 이유는 크게 세 가지로 요약할 수 있습니다. 첫 번째는 공격 표면의 확산과 위협의 증가입니다. 디지털 전환과 클라우드 기반 서비스의 증가로 인해 기업의 IT 환경이 복잡해지고, 공격 표면이 확장되고 있습니다. 더불어 공격자들이 악용할 수 있는 제로데이 취약점도 증가하고 있어, 초기 침투에 성공한 후 측면 이동을 통해 원하는 시스템에 접근해 중요 자산이나 데이터를 탈취하려는 시도를 탐지하고 차단하는 보안 운영 부담도 커지고 있습니다.
마이크로 세그멘테이션은 확장된 공격 표면을 줄입니다. 각 세그먼트 내에서만 통신이 제한되므로, 공격자가 네트워크 내에서 자유롭게 이동하는 것을 어렵게 만듭니다. 다음으로 랜섬웨어 공격과 같은 사이버 위협은 점점 더 고도화되고 있으며, 이로 인한 파괴력도 커지고 있습니다. 악의적인 공격 그룹들은 쉼없이 새로운 도구, 기술, 절차(TTP)를 개발하며, 조직의 중요 자산에 대한 위협을 가하고 있습니다. 마이크로 세그멘테이션을 통해 중요 시스템을 분리하고, 각 세그먼트에 대한 접근을 엄격하게 제어하여, 랜섬웨어나 악성 코드의 전파를 차단하고 공격자의 활동 범위를 제한할 수 있습니다.
두 번째 이유는 사이버 킬체인과 엔터프라이즈 컴퓨팅 환경의 진화입니다. 사이버 킬 체인 모델은 사이버 공격의 다양한 단계를 설명하며, 공격자가 최종 목표에 도달하기 위해 거쳐야 하는 여러 단계를 보여줍니다. 공격자는 종종 초기 침투 후 네트워크 내에서 측면 이동(lateral movement)을 시도하여 더 많은 시스템에 접근하고자 합니다.
마이크로 세그멘테이션은 이러한 측면 이동을 어렵게 만들어 공격자가 목표를 향해 한발한발 다가가는 것을 방해합니다. 다음으로 클라우드 컴퓨팅, 가상화, 컨테이너화로 대표되는 엔터프라이즈 컴퓨팅 환경의 진화는 기업 IT 인프라의 운영 방식을 근본적으로 변화시켰습니다. 이러한 진화는 기업이 더 유연하고 확장할 수 있는 인프라를 구축할 수 있게 해주지만, 동시에 새로운 보안 도전 과제를 제시합니다. 마이크로 세그멘테이션은 이러한 복잡한 환경에서도 세밀한 보안 정책을 적용할 수 있게 해주어, 각종 워크로드와 애플리케이션을 효과적으로 보호할 수 있습니다.
세 번째 이유로 넘어가 보겠습니다. 마이크로 세그멘테이션 기술은 기존 네트워크 환경 변화 없이 레거시 방화벽 중심의 아키텍처를 제로 트러스트 환경으로 점진적인 전환을 하는 디딤돌입니다. 마이크로 세그멘테이션 기술은 네트워크 내에서 더 작은 보안 영역을 만들어, 각 영역에 대한 접근을 엄격하게 제어하여 보안을 강화합니다. 이는 네트워크 내의 각 부분을 분리하여, 한 부분이 위협에 노출되더라도 다른 부분으로 위협이 확산하는 것을 방지합니다. 조직은 이 기술을 사용하여 네트워크, 애플리케이션, 그리고 네트워크 내부에서 서버 간의 E-W(East-West) 통신 영역 등 점진적으로 보안을 강화할 수 있습니다. 또한, 마이크로 세그멘테이션은 소프트웨어로 구현되므로, 기존의 하드웨어 기반 인프라를 대체하거나 크게 변경하지 않고도 보안 체계를 고도화할 수 있습니다. 간단히 말해, 마이크로 세그멘테이션은 기업이 기존의 네트워크와 방화벽 설정을 크게 바꾸지 않으면서도 보안을 강화할 수 있게 해주는 기술입니다. 이를 통해 기업은 더 세밀하고 효과적인 보안 전략을 실행할 수 있게 됩니다.
최우선 순위 보안 과제
살펴본 바와 같이 마이크로 세그멘테이션 기반 제로스트러스트 체계로 전환하는 것은 공공, 민간 부분 가릴 것 없이 최우선 보안 과제가 되었습니다. 제로스트러스트는 디지털 전환을 가속하는 한편 각종 보안 관련 규제 활동 간소화에도 큰 도움이 됩니다. 매우 포괄적인 영역을 다루다 보니 제로트러스트 원칙을 프로덕션 환경에 적용하는 데 부담을 느끼는 조직이 많았습니다. 다행히 정부 기관 및 아카마이 같은 전문 기업의 노력으로 문턱이 빠르게 낮아지고 있습니다. 가령 과학기술정보통신부 제로트러스트 가이드라인 1.0을 참조하면 도입 계획 수립 및 세부 실행 절차를 정립해 프로젝트를 수행할 수 있습니다. 다음 포스팅에서 과학기술정보통신부 제로트러스트 가이드라인 1.0을 참조해 계획과 세부 절차를 실제 프로젝트 현장에서 수행하는 내용을 아카마이 솔루션을 예로 들어 알아보겠습니다.