Zero Trust의 미래는 어떻게 될까요?

모든 협박 시도는 네트워크와 민감한 데이터의 보안을 강화하려는 새로운 목적의식을 불러일으킬 수 있지만, 랜섬웨어와 모든 형태의 사이버 공격은 개인에게 오래 지속되는 피해와 심리적 트라우마를 입힐 수 있다는 사실은 아직 제로 트러스트 보안 여정을 시작하지 않은 모든 조직에 큰 경각심을 불러일으켜야 합니다. 민감한 개인 정보를 위탁받은 모든 중요 인프라 부문이나 조직은 제로 트러스트 모델의 핵심 원칙을 통합해야 합니다.

앱 보안에 있어서 우리가 지금 있는 곳보다 몇 단계 앞서 생각하지 않는다면, 사이버 범죄자들과 그들의 새로운 위협 전술에 맞서는 경쟁에서 빠르게 뒤처질 것이라는 것은 말할 필요도 없을 것입니다. 그렇다면, 제로 트러스트와 관련된 미래가 어떻게 될지 스스로에게 물어보기에는 너무 이르다는 법은 없습니다. 변화하는 위협 환경뿐만 아니라 디지털 세계와 앱 자체의 끊임없이 변화하는 특성에 대처하기 위해 어떻게 진화할 것인가?

이러한 질문에 답하기 위해 저는 F5의 보안 전문가 두 명과 함께 앉아 이야기를 나누었습니다. 저명한 엔지니어, 켄 아로라; 제품 개발 부문 수석 이사, 무딧 티아기.

이 LVHN 침해 사건으로 인해 조직들이 ZT 원칙을 어떻게 구현하고 있는지에 대해 생각하게 되었습니다. 침해로 인해 피해를 입은 소비자에게는 1년 동안 무료 신용 모니터링을 제공하더라도 더 이상 효과가 없을 정도로 심판의 시간이 다가온 셈입니다. 오늘날 기업의 위험 요소가 훨씬 더 높다고 생각하시나요?

무디트: 위험이 더 크다는 것은 분명합니다. 특히, 자금과 기술적 자원, 시간을 갖추고 기업과 다른 국가를 대상으로 매우 집중적인 공격을 연구하고 감행할 수 있는 국가 지원 해커들의 경우가 그렇습니다. 사회적 안정의 전반적인 상태를 뒤흔드는 것은 말할 것도 없다. 우리는 2010년에 구글과 다른 미국 기업의 지식재산권이 도난당한 오로라 사건을 기억합니다. 10년 후인 2020년, SolarWinds 공급망 공격은 많은 민감한 네트워크에 침투하는 메커니즘으로 사용되었습니다. '큰 위험'에 노출될 가능성이 있다는 가능성 때문에 백악관은 모든 정부 기관이 제로 트러스트 원칙을 따라야 한다는 대통령 명령을 발표했습니다.

시야: 저는 노출 범위가 시간이 지남에 따라 커질 것이라는 데 동의합니다. 그 이유는 더 많은 데이터가 온라인에서 제공될 뿐만 아니라, AI를 대규모로 도입함에 따라 완전히 새로운 수준의 침해가 노출될 것이기 때문입니다. 새로운 기술에 따른 위험을 관리하는 사회적 거버넌스에는 항상 시간이 걸린다는 점을 기억하세요. 예를 들어, 특히 규제되는 분야의 기업이 법적 책임을 지는 데는 몇 년 전만 해도 시간이 걸렸습니다. Experian과 T-Mobile의 경우 총 10억 달러가 넘는 금액이 손실된 것을 보았습니다. 최근에는 우버의 최고전략책임자(CSO)와 같은 개인이 중대한 과실이 있는 경우 개인적으로 부정행위에 대한 책임을 지는 모습을 볼 수 있습니다. 이 예는 의료에도 적용됩니다. 저는 이러한 발전으로 인해 보안 전문가가 모범 사례를 따르고 법률 시스템에서 안전 항구 지침을 마련하는 것이 더욱 중요해졌다고 생각합니다.

오늘날의 상황을 감안할 때, 제로 트러스트와 관련해 앞으로 어떤 일이 일어날 것으로 생각하십니까?

무디트: 역사적으로, 구글은 오로라 공격 이후 제로 트러스트의 초기 구현 중 하나로 Beyond Corp를 도입했지만 그 아이디어는 훨씬 오래되었습니다. 오늘날에는 사용자 및 장치 액세스에 제로 트러스트 원칙을 적용한 ZTNA 및 SASE와 같은 제품이 등장했습니다. 그러나 비즈니스 프로세스와 사용자 경험을 가능하게 하기 위해 워크로드가 서로 상호작용하는 네트워크 자체 내에서 제로 트러스트 원칙을 적용하기 위해 더 많은 노력이 필요합니다. 우리는 이러한 워크로드 간 상호 작용을 제로 트러스트로 간주합니다. 간단히 말해서, 액세스 관련 접근 방식은 침해가 발생하지 않도록 막는 데 중점을 두는 반면, 워크로드 수준의 제로 트러스트는 진행 중인 침해의 영향을 최소화하는 데 중점을 둡니다.

업계는 "침해 가정"이라는 제로 트러스트 원칙을 따르는 통제를 구현하는 데 어려움을 겪고 있습니다. 침해 후 시나리오를 처리하려면 사용자와 장치와 마찬가지로 워크로드에도 "ID"가 필요합니다. 그리고 이러한 작업 부하를 지속적으로 모니터링하여 네트워크 내부에 이미 있는 맬웨어가 해를 끼치지 않도록 방지해야 합니다. 이는 앱이 프라이빗 및 퍼블릭 클라우드와 레거시 시스템에 분산되어 있는 오늘날의 모바일 인력과 인프라 환경을 감안할 때 특히 중요합니다.

제로 트러스트는 "침해 가정" 사고방식을 요구하기 때문에 단순한 액세스 제어를 넘어선 보안 조치가 필요합니다.

시야: 정확히. 또한 위협 인텔리전스, 보안 정보 및 이벤트 관리, 지속적인 진단 및 완화 등도 포함해야 합니다. 앱의 변화하는 특성과 끊임없이 증가하는 AI 기반 트래픽으로 인해 우리는 제로 트러스트에 대한 전체적인 접근 방식을 가져야 할 뿐 아니라 이러한 원칙을 워크로드 자체와 같은 인프라의 새로운 영역에 적용해야 합니다.

무딧이 지적했듯이, 제로 트러스트의 핵심 원칙은 보안 전문가들 사이에서 오랫동안 알려져 있고 내면화되어 왔습니다. 여기서 제가 말하는 보안이란 사이버 보안뿐만 아니라 광범위한 보안을 의미합니다. 가장 최근의 구현인 ZTNA는 기본적으로 네트워크에 액세스하려는 사용자 및 장치의 신원에 "항상 확인" 및 "지속적으로 모니터링 및 평가"의 원칙을 적용하는 것입니다.

저는 사이버 보안에 적용되는 제로 트러스트의 진화에서 다음 논리적 단계는 다음과 같을 것이라고 생각합니다. 1) 네트워크 액세스에서 애플리케이션 액세스로의 업레벨링, 즉 네트워크 계층이 아닌 애플리케이션 계층 추상화 및 보호 기능을 사용하는 것, 2) 제로 트러스트 원칙을 사용자 및 장치를 넘어 워크로드로 확장 적용하는 것.

왜 업무량이 그토록 중요한가요? 그리고 그렇게 깊이 파고든다면, 개발 관행 자체에도 제로 트러스트 원칙을 적용해야 할까요(코드 저장소 등을 생각해 보세요)?

시야: 간단히 말해서 워크로드는 새로운 내부 위협이기 때문에 중요합니다.

클라우드 기반 애플리케이션의 대부분 코드는 애플리케이션 소유자 조직의 통제 밖에서 오픈 소스 환경에서 개발된다는 점을 고려하세요. 해당 코드를 개발하는 데 사용된 소프트웨어 관행의 성숙도는 일반적으로 느슨하게 관리되고 문서화도 잘 되어 있지 않습니다. 해당 코드를 가져온 후에 수행되는 테스트는 대부분 기능적, 성능 관련 테스트이며 보안 평가에는 별로 관심을 두지 않습니다. 결과적으로 대부분의 애플리케이션 코드는 "암묵적으로 신뢰"되는데, 이는 바로 Zero Trust가 저지하려고 하는 동작입니다. 그리고 이는 선의의 코드 공급자가 있다는 것을 전제로 합니다. 오픈소스 코드를 백도어로 사용하려는 적극적인 적대 세력이 있다는 점을 고려한다면 이는 1급 위협 요소로 부각됩니다. 그런데 최근 언론의 헤드라인을 장식한 공격인 log4j, SolarWinds, 3CX 등은 모두 공급망 공격의 예이며, ZTNA와 사용자 신원 기반 보안 솔루션의 범위를 벗어납니다.

잠시 마지막 요점에 집중해 보겠습니다. 오픈 소스 코드가 백도어로 어떻게 사용될 수 있는지 말입니다. 이는 위협 인텔리전스, 보안 정보 및 이벤트 관리, 지속적인 진단 등과 같은 조치가 필요한 제로 트러스트에 대한 이전 관점으로 돌아갑니다.

무디트: 예. "침해를 가정"하는 것으로 시작하면 보안에 대해 어떻게 생각할지 고려하는 것이 중요합니다. 네트워크 중심 제어 장치는 어느 정도 역할을 하며, 명령과 제어를 위한 통신을 찾을 수 있습니다. 하지만 목표는 침입한 맬웨어가 해를 끼치는 것을 막는 것입니다. 악성 소프트웨어가 작동하려면 그 자체를 드러내야 합니다. 모든 작업 부하를 관찰하고 그 특성을 이해하면 맬웨어 활동과 관련된 악의적인 작업 부하를 감지할 가능성이 훨씬 높아집니다.

MITRE의 연구원들은 MITRE ATT&CK 프레임워크에 설명된 전술, 기술, 절차(TTP)를 조합하여 대부분의 공격을 이해할 수 있는 분류법을 만들어 보안 분야에 큰 도움을 주었습니다. 또한 MITRE D3FEND 프레임워크에서 TTP를 감지하는 데 도움이 되는 일련의 대책을 설명합니다. 이 프레임워크의 중요한 부분은 해당 워크로드 수준에서 제로 트러스트 원칙을 적용하는 데 필요한 프로세스 분석입니다.

개발 주기 동안 정적 애플리케이션 보안 테스트(SAST) 및 동적 애플리케이션 보안 테스트(DAST) 도구를 사용하여 워크로드를 구성하는 코드의 취약점을 검사하는 것이 매우 중요합니다. 개발 주기 동안 '시스템 호출'과 같은 저수준 워크로드 특성의 기준선을 구축하여 워크로드 수준의 제로 트러스트를 구현하도록 준비할 수도 있습니다. 이 기준을 사용하면 워크로드가 프로덕션에서 실행될 때 이상을 더 쉽게 감지하고 분석할 수 있습니다. D3FEND 프레임워크는 개발 주기 동안 이루어져야 하는 강화에 초점을 맞춘 일련의 대책을 제안합니다.

보안 전반에서 AI의 역할과 특히 제로 트러스트의 역할에 대해 살펴보겠습니다. AI는 어떤 보안상의 과제와 기회를 가져올 것인가? 또한 ChatGPT는 뉴스에 자주 등장했습니다. 2026년까지 인터넷 트래픽의 90%가 AI에서 생성될 것이라는 예측을 봤습니다. 이로 인해 보안이 달라질까요? 그렇다면 어떻게?

무디트: 자동화된 공격은 방어하기가 매우 어렵습니다. 공격자는 공격을 계속 변형하고 변경할 수 있으며, 이는 SOC에 많은 소음을 발생시킵니다. 방어자는 이미 자동화를 사용하여 이러한 자동화된 공격에 맞서고 있습니다. 자동화된 공격의 특징을 알아내는 것과 동시에, 거짓 긍정이 큰 문제입니다. AI를 활용하면 오늘날의 자동화된 공격보다 훨씬 더 쉽게 일반 사용자를 모방할 수 있을 것입니다. 이로 인해 이상 징후를 감지하는 것이 더 어려워지고, 거짓 양성 반응을 최소화하기 위해 매우 정교한 상황 분석이 필요하게 됩니다.

켄: 저는 AI가 보안에 앞으로도 큰 영향을 미칠 것이라고 생각합니다. 우선, 이는 악당이 공격을 실행하는 방식과 방어자가 그러한 공격을 탐지하고 해결하는 방식에 큰 영향을 미친다는 것이 분명합니다. 간단히 말해서, 고양이와 쥐 놀이는 앞으로도 계속될 것이며, AI는 인간이 수동으로 할 수 있는 일을 엄청나게 더 빠르고 민첩하게 대체할 것입니다.

ChatGPT와 관련해서 특히, 맹목적으로 신뢰하지 않는다는 제로 트러스트 원칙이 여기서도 적용될 것 같습니다. ZTNA의 전제가 "사용자와 기기를 맹목적으로 믿지 말라"는 것이고, 이는 워크로드로 확장되어야 하며, AI 콘텐츠 생성이 우리가 콘텐츠를 맹목적으로 믿지 않도록 만들 것이라고 생각합니다. 여러 면에서 이는 사회가 돌아가는 방식에서 완전히 벗어나는 것입니다. 즉, 특정 콘텐츠를 얼마나 신뢰하는지는 콘텐츠가 어디서 나오는지에 따라 달라집니다. 예를 들어, 나는 거리에서 우연히 만난 사람이 적은 비슷한 내용의 진술보다 은행에서 발행한 수표의 무결성에 대한 진술을 더 신뢰할 수 있다. 간단히 말해서, 데이터 속성이 중요합니다. 그리고 AI가 더 많은 콘텐츠를 생성함에 따라, 오랫동안 현실 세계에 존재해 온 이 아이디어가 디지털 세계의 핵심 고려 사항으로 떠오르는 것을 보게 될 것입니다.

새로운 위협이 등장하는 속도가 빨라짐에 따라 제로 트러스트의 미래에 대한 논의는 앞으로도 계속 관련성이 있을 것으로 예상됩니다. 특히, 내부 위협의 영향을 최소화하고 워크로드에 제로 트러스트 원칙을 적용하는 것과 관련하여 더욱 그렇습니다. AI가 생성한 자료가 인터넷에 더 많이 유출됨에 따라 업계의 제로 트러스트에 대한 접근 방식도 필연적으로 진화할 것이며, 앞으로 더 많은 관점을 다루겠습니다. 참석해주셔서 감사합니다.
____

"침해 가정"에 대해 더 자세히 알아보고 싶은 분은 Ken의 최신 기사를 여기에서 읽어보세요.