완벽한 보안기술은 없다... "제로 트러스트 관점의 보안 필요"
완벽한 보안기술은 없다... "제로 트러스트 관점의 보안 필요"
  • 김하늬 기자
  • 승인 2021.12.16 09:24
  • 댓글 0
이 기사를 공유합니다

[공학저널 김하늬 기자] 최근 아파트 월패드 해킹으로 촬영된 개인의 사생활 영상들이 유포된 사건이 있었다. 경찰은 수사를 통해 일부에서 초급 해킹 단계인 ‘웹쉘’(Web Shell) 방식이 사용된 흔적을 발견했다. 13년 전 인터넷 상거래 업체 옥션에서 1000만명의 고객 정보를 해킹한 것과 동일한 수법이다.

아파트 등 주거지역의 정보보안이 약하다는 점을 노린 공격으로, 초급 수준의 해킹 기술만 있으면 해킹이 가능할 만큼 월패드 구축 시 보안에 대한 대비가 전혀 이뤄지지 않았음을 보여주는 사건이다.

월패드와 연결된 홈IoT의 일정 구간은 무선 네트워크 구간으로 일부 보안성이 매우 취약하다. 이러한 사고를 방지하기 위해 일각에서는 ‘망분리가 적용되면 홈네트워크 보안사고를 막을 수 있다’는 의견을 제시하고 있다.

하지만 펜타시큐리티 심상규 CTO(사진)는 ‘망분리 도입만으로 보안이 완벽해진다’는 식의 접근은 위험하다고 지적한다.

망분리가 적용되어도 외부 네트워크와 연결되는 바늘구멍이라도 네트워크가 뚫린 지점이 있다면, 공격을 피할 수 없기 때문이다.

아파트 내 네트워크를 외부 네트워크와 분리하는 망분리를 적용하더라도 관리의 편의를 위해 아파트 내 중앙 관리서버의 외부 연결을 일부 허용하는 경우가 많이 있다. 이 경우, 아파트 세대별로 감염되는 공격은 막을 수 있겠지만 외부에서 아파트 내 중앙 관리서버를 통해 세대별 월패드로 유입되는 공격을 막기는 어렵다는 주장이다.

때문에 심 CTO는 망분리를 완벽한 해법으로 제안하기보다 다요소 인증을 기반한 ‘제로 트러스트’를 강조한다. 제로 트러스트란 시스템에 접근하는 모든 사용자를 의심하고, 철저한 인증과 검증을 통해 필요한 만큼만 권한을 주는 보안 개념이다.

더욱 지능화되는 사이버공격 유형도 제로 트러스트 보안이 떠오른 이유 중 하나다. 최근 발생하는 대다수 유형의 해킹 피해는 지능형 공격이다. 사용자의 디바이스를 악성코드에 감염시키고, 그 디바이스가 내부 시스템에 연결될 때 악성코드를 전염시키는 방식이다. 이와 같은 공격은 피해가 발생한 이후에 사고를 인지할 수 있다.

심 CTO는 “제로 트러스트는 최소한의 권한만 부여하고, 신뢰가 검증된 주체만 접근을 허용함으로써 공격 발생 가능성을 낮추는 것이 핵심”이라며 “보호가 필요한 모든 자원을 식별하고, 접근을 강화함은 물론 내부 자원에 대한 가시성을 확보함으로써 이를 구현할 수 있다”고 설명했다.

그는 “디지털전환에 따라 주요 데이터들이 클라우드 환경에 적용되고 있는 현재 환경에서 하나만으로 보안을 규정하기는 힘들다”며 “완벽한 해결책을 찾기는 어려운 상황이기 때문에 망분리, 홈네트워크에 대한 보안 가시성 등 각각을 하나의 보안 옵션으로 보고 여러 기술을 복합적으로 적용해 제로 트러스트를 통해 데이터를 식별해나가는 과정이 필요할 것”이라고 덧붙였다.

정부 주도 데이터 거버넌스가 구축되고 있는 상황에서 데이터의 훼손이나 악용, 남용되는 부분 또한 제로 트러스트 거버넌스 정책으로 설계돼야 한다는 것이 그의 의견이다.

기존 보안이 네트워크 단에서 외부의 공격을 차단하던 ‘경계 중심의 보안’이었다면, 제로 트러스트는 내부 자원에 접속하는 모든 것을 단계별로 검증하는 방식이다. 주요 구성요소로는 인증·권한부여, 암호화, 보안분석이 있다.

제로 트러스트 보안의 첫 단계는 계정 관리, 즉 ‘인증’이다. 사용자 또는 장치가 보호된 데이터에 대한 액세스를 요청할 때마다 인증 프로세스를 통해 사용자가 맞는지 확인할 수 있기 때문이다. 인증 후에는 사용자에 따라 접근 ‘권한’을 부여하기 위해 일반적으로 권한 부여 프로세스가 동시에 수행된다.

또한 제로 트러스트 보안 지침에 따라 모든 민감한 데이터는 암호로 보호된 데이터베이스에 저장되고 ‘암호화’ 된다.

‘보안 분석’은 실시간으로 기록되는 데이터를 사용해 위협을 분석하고 탐지하는 제로 트러스트 아키텍처의 중요한 부분이기도 하다. 자체 진단은 물론 지속적인 모니터링, 보고 등 다양한 사용 목적에 따라 활용할 수 있다.

특히 정부가 주도하고 있는 디지털전환 시대 데이터 보안체계를 어떻게 할 것인지 또한 주요한 사안으로 꼽히고 있는 만큼, 이 과정에서 데이터가 흘러 다니는 경로 또는 과정을 어떻게 신뢰할 것인지, 믿을 수 있는 데이터인지에 대한 고민 등 데이터 전략 분야에서 고민해야 할 부분들이 아직 남아 있다.

심 CTO는 “보안은 신뢰를 확보하는 것이다. 제로 트러스트 아키텍처로의 전환은 한 번에 진행될 수 있는 간단한 문제가 아니다. 제로 트러스트 보안 모델을 적용하기 위해서는 네트워크 인프라와 시스템 전환은 물론, 정책과 규제 해결, 유지 관리를 위해 지속적인 모니터링과 업데이트가 필요하다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.