제로 트러스트?

요즘 트렌드 라고?

요즘 보안 업계에서 가장 핫한 키워드는 단연 "제로 트러스트" 인거 같다.

여기저기서 "제로 트러스트 모델을 도입해야한다"라고 목소리 높여서 얘기하시는 분들이 많이 늘어난게 사실이다.

그런데 보안과 관련없는 사람들 입장에서는 그냥 마케팅 용어 중의 하나로 인식된다.

 

요즘 광고나 뉴스에서 보면 제로 트러스트 말들이 많은데,

알맹이 없는 속 빈 강정, 공갈빵 같은 느낌이다.

다들 개념은 차치하고 솔루션 얘기만 주구장창 헤대고 있어서 더욱 그렇게 보인다.

 

이러면 사고 싶은 마음이 생겼다가도 안살거 같다.

 

새로운 보안패러다임의 변화? 글쎄...그냥 확장정도로 보이긴 하는데, 완전 새로운건 아니라서.....

잘 생각해보면 제로 트러스트라는 개념은 어디에서 갑자기 "뙇"하고 생긴것이 아니다.

제로 트러스트의 기본 원칙 : Never trust, Always Verify(절대 신뢰하지 말고 항상 검증해라)

 

난 평생을 저 기본 원칙을 준수하면서 살았다. 

그래서 그런지 사기한번을 안당했다. 

 

물론 사람과의 관계 형성을 위해서는 조금 시간이 걸리는 것이 단점 아닌 단점이다.

 

이걸 우리 회사 시스템에 도입한다고? 이게 요즘 보안 트렌드라고? 새로운 보안패러다임이라고?

글쎄.....마케터들은 좋을 지 모르겠다만 이미 저 마인드가 탑재된 나같은 인간은 그렇게 대단히 큰 변화를 줄 키워드로는 안보인다.

 

왜냐하면, 내가 직접 격어보지는 못했지만 예상할 수 있는 문제점들이 보이기 때문이다. 안봐도 비디오.....

 

제로 트러스트 보안 모델 도입 시 예상 문제점

1. 기존 인프라와의 통합

 

기존의 보안 인프라와 제로 트러스트 보안 모델을 통합하는 과정에서 호환성 문제나 충돌이 발생할 수 있을 것으로 보인다.

ISMS나 ISO27001에 따라 이미 구축된 보안 시스템들은 경계 기반 보안을 중심으로 설계되어 있어서 제로 트러스트 모델의 원칙과 충돌할 수 있다. 예를 들어 기존의 네트워크 방화벽, VPN, 접근 제어 시스템 등을 제로 트러스트 모델과 연계하는 과정에 설계나 대규모 업데이트가 필요할 수 있다. 이는 상당한 시간과 비용을 요구하게 된다.

 

2. 기존 인증 체계와의 충돌

 

ISMS, ISMS-P, ISO27001 같은 인증은 특정한 보안 관리 체계를 기반으로 한다. 제로 트러스트 모델을 도입하는 과정에서 기존 인증 체계와의 정책 및 절차가 상충될 수 있고, 이는 인증의 유지 및 갱신에 문제를 일으킬 수 있다. 예를 들어 인증 요건에서 요구하는 보안 절차와 제로 트러스트 모델에서 요구하는 절차가 다를 경우, 두 가지를 모두 만족시키기 위한 복잡한 절차가 필요하게 될 수 있다. 

 

3. 기술 및 운영의 복잡성 증가

 

제로 트러스트 보안 모델은 지속적인 인증과 접근 제어를 요구한다. 이는 운영의 복잡성을 크게 증가시키고, 기존의 보안 운영팀에 추가적인 부담을 줄 수 있다. 예를 들어 모든 접속 시도에 대해 실시간 검증이 필요하므로 이에 맞춘 기술적 지원(예: 실시간 모니터링, 자동화된 정책 관리)이 필수적이며, 이는 기존 보안 운영 방식과 크게 다를 수 있다.

 

4. 사용자 경험의 저하

 

이게 가장 클거 같긴하다. 제로 트러스트 모델은 기본적으로 모든 사용자와 기기를 신뢰하지 않는 접근 방식을 취하고 있다. 이는 빈번한 인증 요청과 사용자의 활동 제한을 초래할 수 있어서 사용자로 하여금 부정적 경험을 축적하게 되므로 사용자 경험이 저하될 수 있다. 

에를 들어 사용자는 더 자주 로그인하거나 추가 인증 절차를 거쳐야 하므로 이는 업무 효율성 저하와 사용자의 불만으로 이어질 수 있다.

 

5. 비용과 시간 투자

 

제로 트러스트 모델은 도입하는 데 필요한 기술적 투자와 운영 비용이 상당할 수 있다. 기존 ISMS나 ISO27001 인증을 유지하면서 제로 트러스트를 구현하려면 추가적인 리소스가 필요할 수 있다. 예를 들어 추가적인 소프트웨어 도입, 네트워크 구조 변경, 보안 운영 인력의 추가 교육 등이 필요할 수 있다. 

 

6. 보안 정책의 복잡성

 

제로 트러스트 보안 모델은 매우 세밀한 접근 제어 정책을 요구한다. 이는 기존의 보안 정책과의 통합 과정에서 정책 관리의 복잡성을 크게 증가시킬 수 있다. 예를 들어 각 부서, 사용자의 역할, 기기, 애플리케이션에 맞춤형 정책을 설정하고 지속적으로 관리해야 하므로 정책 관리의 부담이 증가할 수 있다.

 

7. 기존 보안 문화와의 충돌

 

마지막으로 제로 트러스트 모델은 기존의 보안 문화와 충돌할 가능성이 있다. 이미 ISMS, ISMS-P, ISO27001을 기반으로 한 보안 문화가 정착된 조직에서는 새로운 모델을 도입하는 데 조직적 저항이 발생할 수 있다. 예를 들어 직원들이 새로운 보안 절차를 이해하고 수용하는 데 시간이 걸릴 수 있으며, 변화 관리가 중요해지게 된다.

 

결론

이보다 더한 문제들도 있겠지만 위 7가지 문제점들은 기본적으로 예상할 수 있는 문제들로 제로 트러스트를 얘기하는 사람들은 적어도 저 문제들에 대한 대응 방안을 가지고 있어야 하지 않을까 싶다.

 

나는 제로 트러스트 보안? "좋은 방향이다"라고 말하고 싶다. 다만, 현실적으로는 아직 무르익지 않았다고 생각한다.

 

작년에 KISA에서 내놓은 제로 트러스트 가이드라인은 솔직히 너무 러프하다.

성숙도 모델도 기업이나 기관이 속한 환경에 따라 모두 다를텐데, 가이드라인에 있는 걸 표준으로 삼기에는 너무 부족해 보인다.

 

가장 중요한건 내가 가진것 중 "가장 중요한것"과 "그렇지 않은 것"을 식별하고 위험도를 설정해 분류하는 작업이 우선시 되어야 한다. 

 

뭐, 차차 좋아지겠지... 천천히 해라.

아직 기술적으로나 사람들의 인식은 물음표????

더 고민해보고 도입해라.

일단 뭔지는 미리 공부해두자.

 

제로트러스트 가이드라인 1.0