01 제로 트러스트 기반 보안 실현을 위한6x2 아키텍처 │윤대균 아주대학교 교수전통적인 IT 인프라 운영관점에서의 보안은 네트워크 경계 내부의 사용자 데이터 및 지적 재산, 장비와 같은 자산을 보호하는 것이다. 방화벽 및 보안장비 등을 사용하여 네트워크에 들어오고 나가는 사용자를 감시하고 검증하는 것이 보안의 핵심이다. 그러나 디지털 전환의 가속화, 특히 클라우드로의 급속한 전환으로 인해 네트워크 경계에 의존하는 보안 방식만으로는 충분하지 않게 되었다. 제로 트러스트(zero trust)는 어떤 누구도 신뢰하지 않고 늘 확인해야 한다는 원칙을 기반으로 한 보안 모델이다. 조직 네트워크의 내부에서 접속하든 외부에서 접속하든, 모든 사용자와 장치는 접근 권한을 받기 전에 반드시 승인받아야 한다. 또한, 한 번의 승인으로 끝나는 것이 아니라, 정기적으로 이 승인이 유효한지 점검하고, 접속 시 사용하는 장치가 조직의 정책을 위반하는 작동을 하지는 않는지, 비인가 애플리케이션을 실행하고 있지는 않은지 등, 다양한 관점에서의 모니터링 및 분석이 필요하다. 대부분 기업에서 퍼블릭 클라우드컴퓨팅의 활용이 보편화되며 기업 간 물리적 네트워크 경계가 사실상 사라지게 되었다. 이런 환경에서 제로 트러스트 기반 보안은 특히 중요하다.1) 2020년 코로나19 팬데믹이 전 세계를 강타하며 이젠 너무나 당연하게 여겨지는 재택근무 하에서도 기업의 소중한 자산을 보호하기 위한 새로운 보안 모델이 절실히 필요하게 되었으며 이를 해결할 수 있는 열쇠로 제로 트러스트 기반 보안을 들고 있다. 이에, 미국 조 바이든 대통령도 연방정부 및 클라우드서비스 공급업체는 모두 제로 트러스트 보안 계획을 수립하라는 행정명령에 서명한 바 있다.2) 제로 트러스트에 기반을 둔 보안 구현을 위해서는 여러 요소에서의 보안 검토가 이루어져야 한다. 새롭게 제로 트러스트 모델을 적용하기 위해서는 우선 회사 내 관련 조직에서의 공감대 형성이 필요하며, 조직 내 IT 자산 운영현황, 내/외부 사용자, 그리고 높은 보안 수준 접근이 필요한 외부 파트너 등 모든 접근 가능 사용자에 대한 분석이 우선되어야 한다. 그리고 이들이 작업하는 장비, 서비스, 애플리케이션, 데이터 등 모든 자산에 대한 보안 수준의 재평가를 바탕으로 한 새로운 보안 정책 수립도 필요하다. 어느 정도 정책이 완성되면 올바르게 정책이 반영될 수 있도록 실행 전략 및 계획을 수립하여야 한다.크게 6개의 기둥(pillars)으로 제로 트러스트 적용 환경을 구분해 볼 수 있다. 각각의 기둥에 해당하는 다양한 해법을 전문 보안 서비스회사 또는 클라우드컴퓨팅서비스 사업자가 제공한다. 이와 같은 6개의 기둥에 더하여 구현 시 필수 요구사항 속성 두 가지를 더해 6x2 제로 트러스트 아키텍처를 제시하고자 한다. 참고로, 관련 자료를 조사하다 보면, 6x2가 아니라 이 둘을 합한 8개의 기둥으로 제시하는 경우3), 또는 6개가 아닌 5개 또는 7개로 제시하는 경우4) 등 다양한 사례를 확인할 수 있다. 본 기고문에서는 6x2 아키텍처 기준으로 각각을 간단히 설명한다. 그림 1 제로 트러스트 6개 기둥 및 두 가지 핵심 요구사항 제로 트러스트 6개 기둥 다음은 제로 트러스트 기반 보안의 6개 기둥이다. (1) 사용자(Identity) 기업 내 IT 자산에 접근을 시도하는 모든 사용자에 대한 신원 확인 및 접근 권한 제어를 말한다. 일반적인 사용자 로그인과 같은 단순한 기능에서부터 역할에 따른 접근 제어(Role Based Access Control), 속성 또는 상황(Context)에 따른 접근 제어도 가능하다. 접근하고자 하는 사용자의 위치, 시간, 접근 대상에 따라, 같은 사용자라고 하더라도 그때그때 접근 승인 여부가 달라질 수 있다.