제로 트러스트, 보안의 재구성
오랜만에 사무실로 출근한 날, 문을 열고 들어왔더니 네트워크 담당자가 고개를 저었다. 그동안 계속 집에서 작업하던 데이터 파일이 사무실 네트워크로 전환되면서 몇 가지 이상신호가 잡혔다는 것이다. 보안 시스템에 문제가 있는 건 아니지만 뭔가 찝찝하다. 이런 사건이 반복된다면 신뢰할 수 있는 방법이 필요할 것이다. 이럴 때 떠오르는 것이 바로 '제로 트러스트(Zero Trust)'다.
제로 트러스트의 핵심
제로 트러스트는 기본 가정부터 다르다. 기존의 보안 모델이 내부 네트워크를 비교적 신뢰하는 반면, 제로 트러스트는 그 누구도 기본적으로 신뢰하지 않는다는 철학을 가지고 있다. 그렇다면 어떻게 접근하는가? 사용자와 기기에 대한 계속적인 인증과 승인 절차를 통해서다. 예를 들어, 모든 직원이 VPN을 통해야 서버에 접근할 수 있도록 설정하는 것처럼 말이다.
하지만 이건 아주 기초적인 부분에 불과하다. 기업들이 실제로 제로 트러스트를 구현할 때는, 상황에 따라 다르게 적용된다. 클라우드 기반 애플리케이션부터 네트워크 세그멘테이션, 그리고 다단계 인증까지 다양한 방법이 있다. 기업의 규모와 구조에 따라 사용하는 툴과 기술도 제각각이다. 국산 솔루션으로는 AhnLab의 V3Net, 해외 솔루션으로는 Zscaler가 많이 언급된다.
실무에서의 제로 트러스트 적용
현장에서 자주 마주하는 문제는 어디까지 신뢰를 조절할 것인가 하는 것이다. 아무리 제로 트러스트라고 해도 모든 것을 무조건 불신한다면, 이는 효율적인 업무 진행에 지장을 줄 수 있다. 한 금융 기관에서 일했던 경험을 떠올리면, 이 부분이 가장 큰 고민거리였다. PC 한 대로만 이루어지는 작업이 아니다 보니 다양한 접속 접점에서의 인증 체계가 필요했다.
우리는 매번 상황에 맞게 그룹 정책을 수정하면서, 필요할 때는 IP 주소 기반 접근 차단도 도입했다. 그러나 항상 민첩성을 유지하는 것이 관건이다. 사용자 경험도 놓칠 수 없는 요소인데, 예를 들어 필수 업무 툴로의 접근이 과도한 절차로 인해 방해받는다면 직원들에게 불편함을 초래할 수밖에 없다.
도입 시 유의점
제로 트러스트를 지향하는 과정에서의 트레이드오프도 존재한다. 전체 네트워크 보안을 강화하면 할수록, 초기 도입 비용과 시간이 크게 소요될 수 있다. 그리고 때로는 지나치게 엄격한 보안 정책이 오히려 생산성 저하로 연결될 수 있다. 특히 비상 상황에서 빠르게 움직여야 할 때, 제약을 받을 수도 있다. 이런 부분에 대해서도 신중한 고려가 필요하다.
결국 제로 트러스트를 기존 시스템에 통합하는 과정은 단발성이 아니라 지속적인 검토와 조정이 필요한 프로젝트다. 모든 시스템과 프로세스가 모두 서로 다른 방식으로 작동하고 있기 때문이다. 이 과정에서 직원 교육의 중요성도 간과하지 말아야 한다.
최종적으로 모든 사용자를 믿으라고 하지는 않지만, 그렇다고 그들의 효율성을 제한해서는 안 된다. 이는 곧 회사의 성과로 이어지는 문제이지 하나의 보안 기법만으로는 해결될 수 없는 복합적인 문제일 수 있다는 점을 항상 염두에 두어야 한다.