[디지털데일리 김보민기자] "조직적으로 움직이는 해커를 정말 보안팀 몇 명으로 막을 수 있을까요?" (정현석 베스핀글로벌 옵스나우 상무)

클라우드 시대가 도래하면서 기업들에게 새로운 고민이 생겼다. 한정된 보안 인력으로 클라우드 환경에서 가동되는 조직 시스템을 보호해야 하기 때문이다. '보안 전문인력난'이라는 말까지 나온 상황 속 클라우드 보안은 시간이 갈수록 까다로워지고 있다.

해결책으로 떠오른 키워드는 '제로 트러스트(Zero Trust)'다. 제로 트러스트는 외부뿐만 아니라 내부에서 발생할 수 있는 위협까지 세밀하게 관리한다는 보안 방법론으로, 미국 등 주요국을 중심으로 화두가 되고 있다. 한국 또한 관심이 뜨거운 상황이다.

제로 트러스트 분야에서 활약하고 있는 베스핀글로벌 옵스나우와 옥타 또한 "제로 트러스트는 거스를 수 없는 흐름"이라고 입을 모은다. 이들은 아이덴티티 기반 보안을 중심으로 보안 울타리를 촘촘히 강화해야 한다고 보고 있다.

◆ "잘 만든 IT 자산, 보안 위협으로 한 번에 무너질 수 있어"

정현석 베스핀글로벌 옵스나우 상무는 13일 서울 서초구 엘타워에서 열린 <디지털데일리> 주최 '클라우드 드리븐 인프라 & 솔루션 2024 컨퍼런스'에서 '제로 트러스트의 효과적인 구현 방안 및 베스트 프랙티스'를 주제로 발표했다.

정 상무는"많은 업체들이 보안 사고를 당하고, 랜섬웨어에 걸려 해커들과 어렵게 협상하는 모습을 보이고 있다"라고 말했다. 이어 라스베가스 MGM리조트가 해킹으로 1억달러 규모 피해를 입었던 사례를 언급하며 "거대 규모 회사도 작은 실수 한번에 근간이 무너질 수 있다"라고 강조했다. 디지털 전환을 꾀하는 기업이 많아진 만큼 보안에 대한 중요성 또한 커질 것으로도 내다봤다.

정 상무는 "이제 엔드포인트 보안은 제로 트러스트 방식으로 완전히 바뀌고 있고, 클라우드 보안에 대한 관련 서비스도 봇물처럼 쏟아지는 중"이라며 "이전 보안 방법이 통하지 않게 됐다는 의미"라고 밝혔다. 최근 서비스형보안(SECaaS)라는 개념이 주목을 받는 이유도 그 일환으로 볼 수 있다.

특히 클라우드 환경에서 업무를 운용하고 있는 기업들에게 제로 트러스트는 선택이 아닌 필수로 자리 잡았다고 진단했다. 베스핀은 '옵스나우 시큐리티(OpsNow Security)'를 통해 고객 기업이 클라우드 보안 정책을 운용하고 가시성을 확보할 수 있도록 지원하고 있다. 아마존웹서비스(AWS), 애저(Azure), 구글클라우드플랫폼(GCP) 클라우드 취약점은 물론, 자동화된 클라우드 보안 구성 진단과 컴플라이언스 관리를 한곳에서 살펴볼 수 있도록 지원하는 것이 핵심이다. 이상행위 탐지와 클라우드 보안 감사, 정책 커스터마이징도 가능하다.

정 상무는 "클라우드 보안을 위해 필요한 것은 가시화 및 설정관리와 제로 트러스트 구현"이라며 "재택근무를 하고 있거나 클라우드를 쓰고 있을 경우 100% 제로 트러스트로 가야 할 필요가 있다"라고 말했다.

◆ "제로 트러스트 핵심은 아이덴티티, 첫째는 인증 체계 강화"

이날 현장에는 베스핀의 오랜 보안 파트너사인 옥타도 발표자로 무대에 올랐다. 장희재 옥타 아이덴티티 코리아 상무는 "제로 트러스트를 구현하냐 말아야 하냐는 이제 논의 거리가 아니다"라며 "제로 트러스트 구현을 위해 원칙적으로 필요한 요소는 아이덴티티"라고 설명했다.

현재 미국을 비롯해 주요 국가에서도 아이덴티티 기반 제로 트러스트를 실현하는 데 집중하고 있다. 한국 또한 마찬가지다. 한국인터넷진흥원(KISA)가 정의한 제로 트러스트 기본 철학을 살펴보면 ▲모든 종류의 접근에 대해 신뢰하지 않을 것(명시적인 신뢰 확인 후 리소스 접근 허용) ▲일관되고 중앙집중적인 정책 관리 및 접근제어 결정과 실행 필요 ▲사용자 및 기기에 대한 관리 및 인증 강화 ▲자원 분류 및 관리를 통한 세밀한 접근제어(최소 권한 부여) 등의 내용이 담겨 있다. 외부뿐만 아니라 내부에서 활동하고 있는 이들의 아이덴티티에 권한 요소를 세밀하게 적용하는 작업이 수반돼야 진정한 제로 트러스트 환경을 구축할 수 있다는 것이다.

장 상무는 "미국 제로 트러스트 원칙에서도 첫 번째로 최소 권한을 언급하고 있고, KISA 가이드라인에서도 첫 기본 원칙으로 인증 체계 강화를 강조하고 있다"라며 "가장 기본 중심이 아이덴티티이기 때문"이라고 말했다.

현재 옥타는 클라우드 환경 속 디지털 전환 흐름에 발맞춰 아이덴티티 환경을 제공하고 있다. 일례로 이전에는 SOC 운영자가 사용자 권한을 하나하나 부여했다면, 이제는 사용자가 AWS 어드민을 통해 접근 요청을 할 경우 운영자 승인이 진행된다. 옥타는 승인 요청에 따라 사용자를 권한 그룹에 추가하고 자동으로 특정 역할(롤)을 부여하는 작업을 지원한다. 또한 접근 해지 시점을 설정해 자동으로 권한을 제거할 수 있도록 돕는다. 제로 트러스트 핵심인 최소 권한을 구현할 수 있도록 지원하는 셈이다.

여기에 암묵적 신뢰 없음, 지속 모니터링 등도 지원한다. 끝으로 장 상무는 "제로 트러스트 아키텍처를 구현해야 하는 데 아이덴티티의 역할을 이해하는 것이 핵심"이라고 강조했다.