“디지털 경제에서는 이용자가 내부에만 존재하지 않기 때문에 보안 아키텍처의 변화가 필요합니다. 기업의 경계가 없어지고 있기 때문에 더 이상 네트워크만 생각해서는 안 됩니다.”
아카마이코리아 박영열 부장은 28일 서울 신라호텔에서 열린 '어드밴스드 컴퓨팅 플러스 2018'에서 이같이 말했다. 박 부장은 이날 ‘경계를 허무는 클라우드 보안과 제로 트러스트’를 주제로 발표했다.
박 부장은 초연결 사회에서는 보안에 대한 새로운 마인드셋과 중요도에 대한 전환, 새로운 보안 아키텍처가 필요하다고 강조했다.
그는 “전통적인 보안은 사용자와 애플리케이션이 내부에 있고, 내부와 외부를 분리해 방화벽, 침입방지시스템(IPS) 등 차단 시스템을 구축했다”며 “내부는 신뢰할 수 있는 영역이라 생각하고, 모든 위협은 외부에 존재한다고 생각했다”고 말했다.
하지만 “이제는 공급업체, 협력업체, 파트너사 등 외부 사용자도 클라우드 기반으로 시스템을 연동해 업무를 같이 보고 있다”며 “디지털 경제에서는 사용자들의 이동성이 증가하면서, 더이상 이용자는 내부에만 존재하지 않고 밖으로 모두 돌아다니고 있다”고 설명했다.
사용자뿐만 아니라 애플리케이션도 서버, 스토리지, 네트워크 장비 등 IT 인프라 장비를 빌려주는 IaaS(Infrastructure as a Service), 소프트웨어를 웹에서 쓸 수 있는 SaaS(Software as a Service) 방식 등으로 외부로 이동하고 있다.
반면, 내부 사용자가 밖으로 이동하고, 외부 사용자들이 내부로 들어오면서 외부에 존재하던 위협은 내부로 들어오고 있다. 그는 “다양한 멀웨어, 피싱, 데이터 유출, 보안 아키텍처 취약점과 같은 문제들이 더이상 밖에 존재하지 않고 내부로 이동하고 있다”고 설명했다.
따라 박 부장은 기업의 내·외부 경계가 없어지는 디지털 경제에선 ‘제로 트러스트(Zero Trust)’라는 보안 모델이 필요하다고 소개했다. 제로트러스트는 미국 시장조사 기관인 포레스터 리서치가 제안한 모델이다. 제로트러스트는 내부는 신뢰할 수 있는 영역이라고 생각했던 기존의 보안 접근 방식에서 벗어나, 내부와 외부를 구분 짓지 않고 어떤 영역도 신뢰하지 않는 보안 방식을 말한다.
제로트러스트 모델에 따르면, 인증받고 권한을 부여받은 사용자와 디바이스만 애플리케이션과 데이터에 접근할 수 있도록 하고, 로그와 행위 분석을 항상 검증해야 한다.
박 부장은 “더 이상 네트워크만 생각해서는 안 된다”며 “기업의 가치를 더하기 위해서는 비즈니스 프로세스를 안전하게 하는 데 중점을 둬야 한다”고 설명했다. 이어 “기업이 고객의 비즈니스 프로세스를 이해하지 못한 채 네트워크와 인프라를 구성하는 건 난센스”라고 지적했다.
클라우드 플랫폼 기반 서비스를 제공하는 아카마이는 이에 2가지 모델을 제안했다. 하나는 기업에서 제공하는 데이터는 프록시를 통해 접근하는 것이다. 박 부장은 “SSL 기반 접근은 네트워크를 통한 접근으로 한계가 있다”며 “프록시 접근으로 애플리케이션에 접근해야 명확한 사용자를 구별할 수 있고, 행위기반으로 사용자를 분석할 수 있다”고 설명했다.
관련기사
- "데브섹옵스 구현은 단계별로, 일관되게 해야"2018.08.29
- 공공분야 클라우드 예산 3년 내 10배 키운다2018.08.29
- "기업들이 프라이빗 클라우드 고민하는 5가지 이유"2018.08.29
- "데브옵스 위해 멀티클라우드 전략 중요"2018.08.29
두 번째 모델은 보안 경계 영역을 확장하는 것이다. 그는 “보안 경계 영역이 무너지고 있는데 데이터 센터 안에 방화벽이나 IPS만 놓고 있을 수 없다”며 “클라우드 기반의 다양한 보안 솔루션을 구축해야 한다”고 강조했다. “클라우드 구간으로 보안 경계 영역을 확장하면, 굳이 멀리서 오는 공격을 자신의 데이터 센터로 올 때까지 기다려서 차단할 필요가 없다”고 덧붙였다.
그는 “보안 모델을 새롭게 바꾸는 것은 습관을 바꾸는 것과 같다”며 “시간은 오래 걸리겠지만, 이제는 보안에 대해 깊이 고민해 생각을 전환해야 하는 시점”이라고 조언했다.
