해킹 취약한 VPN, ‘제로 트러스트’ 개념의 SDP로 바꿔야
미국, 행정명령으로 ‘제로 트러스트 아키텍처’ 추진…한국, 망분리와 VPN에 집착해 SDP 도입 주저
- 기사공유하기
-
페이스북
-
트위터
-
카카오스토리
-
네이버밴드
-
URL 복사
페이스북
트위터
카카오스토리
네이버밴드
[뉴스투데이=김한경 안보전문기자] 금융보안원은 지난해 11월 2022년 디지털금융 및 사이버보안 분야에서 주목해야 할 10대 이슈를 선정해 발표했다. 이 이슈 선정에는 국내외의 다양한 보안 전문가 및 보안업무 관계자들이 참여한 것으로 알려졌다. 10대 이슈에는 ‘제로 트러스트 전략에 따른 차세대 보안환경 확산’이 4번째 이슈로 포함돼 있다.
여기서 언급된 ‘제로 트러스트(Zero Trust)’란 내·외부를 막론하고 어느 것도 적법한 인증절차 없이는 신뢰하지 않겠다는 의미다. 기존 네트워크 보안 기술은 외부에서 내부로 침투하는 공격자를 막는데 초점이 맞춰져 있었다. 그런데 이와 같은 경계 방어가 효력을 발휘하지 못하고 해킹이 빈발하자 공격자가 내부에 침투한 상황을 전제로 방어하는 보안 개념이 나온 것이다.
우리가 재택근무 또는 해외출장 시 외부에서 조직 내부로 연결할 때 기존에 사용한 보안 방식은 VPN(Virtual Private Network, 가상사설망)이었다. VPN은 인터넷 같은 공중망에서 사설망을 구축하는 서비스로서, 별도의 전용망이 없어도 암호기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 저렴한 비용으로 가상사설망을 만들 수 있다.
하지만 VPN 터널을 개통하려면 공중망인 인터넷에서 먼저 인증을 받아야 돼 보안에 취약한 구조다. 해커는 이때를 노려 내부망으로 침투할 수 있고, 일단 침투에 성공하면 어디든지 접근이 가능하다. 이렇게 인증의 취약점이 있었지만 필요할 때 잠시 이용하던 VPN은 제로 트러스트 개념이 나오기 전까지 외부에서 내부로 안전하게 연결하는 유일한 수단이었다.
하지만 코로나19의 여파로 재택근무가 일상이 되고 초연결 사회의 도래로 외부에서 내부로 연결해야 하는 상황이 너무 많아졌다. 즉 잠시 이용하는 수단이 아니라 항상 안전하게 연결할 수 있는 수단이 필요한 업무 환경으로 변화하고 있다. 이로 인해 그동안 부각되지 않았던 VPN의 보안 취약성이 확연히 드러나면서 대안으로 제로 트러스트 개념이 부상하고 있다.
제로 트러스트는 기술에 대해 조언하는 시장조사 회사인 ‘Forester Research’가 최고 수준의 사이버보안을 구현하기 위해 주창하는 새로운 개념이자 정책이다. 미국 바이든 행정부는 지난해 5월 ‘국가 사이버보안 개선에 관한 행정명령’으로 사이버보안 현대화를 추진하면서 그 기반 기술로 ‘제로 트러스트 아키텍처’를 채택하고 적극 이행을 지시했다.
이와 관련, 미국 국립표준연구소(NIST)는 2020년 8월 ‘제로 트러스트 아키텍처’를 작성했고, 여기서 제로 트러스트 원칙 7가지를 제시했다. 이를 요약하면 ① ‘先 인증 後 접속’ 방식을 적용하고, ② 최소한의 권한만 부여하며, ③ 동일 네트워크 내에 횡적 이동을 금지하고, ④ 내·외부 동일한 보안 요구사항을 충족하며, ⑤ 동적 위험관리 및 지속적 신뢰 재평가 등이다.
또 미 CSA(Cloud Security Alliance)는 제로 트러스트 아키텍처 구현을 위한 최상의 기술이 ‘소프트웨어 정의 경계’(SDP, Software Defined Perimeter)라고 밝혔다. SDP는 중요 정보자원을 Gateway로 은폐하여 보호하는 방식으로서 Gateway, Control, Agent로 구성되는 소프트웨어 모듈이다. 구축이 간단하고 운용이 편리하며 가격도 저렴해 범용화가 가능하다.
보안 전문가들은 “先 접속 後 인증 방식의 VPN에서 先 인증 後 접속 방식의 SDP로 전환하여 해킹을 근원적으로 차단해야 한다”고 주장한다. SDP 설계는 단순패킷 인증, 상호 전송계층 보안, 장비 인증, 동적 방화벽, 응용프로그램 연동 등 5계층의 보안제어로 구성돼 있어 해커들이 공격하기 매우 어려운 구조라고 한다.
이에 비해 우리는 아직도 망분리와 VPN에 집착하면서 제로 트러스트 개념의 기술인 SDP 사용을 주저하고 있는 실정이다. 실제 보안 현장에서 SDP 사용을 막는 것은 CC인증이다. 보안제품의 경우 CC인증을 받아야 정부 및 공공기관 등에서 사용할 수 있다. 그런데 SDP 같은 신기술은 아직 정부가 CC인증을 할 수 있는 준비가 되지 않은 상태다.
이제 정부는 비대면·재택근무를 현실로 받아들이고 이를 위한 방안을 찾아야 한다. 여기에 가장 적합한 보안기술이 미국 같은 선진국이 강조하는 제로 트러스트 개념의 SDP이다. 보안 전문가들은 “정부가 망분리와 VPN이란 기존 보안방식에서 벗어나 SDP 도입을 서둘러야 한다”면서 관련 규정 보완과 인증 문제 해결 등을 주문했다. 정부의 발 빠른 검토와 대응을 기대한다.
