블로그 | CTO 사무실

헐리우드가 제로 트러스트에 대해 가르쳐준 것

켄 아로라 썸네일
켄 아로라
2022년 5월 5일 게시


만약 내가—어떤 대체 현실이나 판타지 미래에서—스타플릿의 컴퓨터 시스템을 설계할 기회가 생긴다면, 내가 가장 확실히 보장할 한 가지는 무기 시스템이 생명 유지 서브루틴에 연결되지 않도록 하는 것입니다. 아니면, 내가 지구를 점령하라는 임무를 맡은 외계인 침략군의 사령관이었다면(물론 완전히 다른 종족이 사는 행성이죠) 암호나 토큰이 아닌 생체 인증을 고집할 겁니다. 그리고 마지막으로, 만약 내 장교나 우주선이 모든 역경을 이겨내고 기적적으로 포로를 "탈출"한다면, 나는 그들이 트로이 목마를 가지고 있지 않은지 먼저 확인할 것입니다.

그러면 이것이 제로 트러스트와 무슨 관련이 있을까요? 아마 여러분도 이미 짐작하셨겠지만, 할리우드는 건강에 좋은 편집증을 조금 포기한 결과로 나타나는 서사시적 결과를 펼쳐내는 스토리라인을 좋아합니다. 사이버 보안 실무자로서 제 관점에서 보면, 건강한 편집증을 유지하는 것과 동일한 사고방식이 제로 트러스트의 핵심입니다.

그렇다면, 제가 특히 제로 트러스트에 초점을 맞추는 이유는 무엇일까요? 제가 동기를 부여받은 것은 오늘날 "제로 트러스트"라는 용어가 사용되는 추세에 따른 것입니다. 80년대 후반의 또 다른 영화 제작 일화로 돌아가면, 이때는 할리우드가 기존 아날로그 기술에서 오디오, 비디오, 후반 편집을 위한 디지털 표준으로 전환하던 시기였습니다. 그 당시 그 장소에서는 영화 제작 커뮤니티의 기술에 덜 정통한 구성원 중 다수가 "디지털"이 실제로 무엇을 의미하는지 이해하지 못했고, 실제로는 신경 쓰지도 않았습니다. 대신 그들에게 "디지털"이라는 용어는 사실상 "최고"와 동의어였습니다. 그 결과 - 그리고 그들과 함께 일했던 기술에 밝은 친구들의 엄청난 분노에도 불구하고 - 프로듀서와 감독들은 조명이나 세트 구성이 "디지털"인지 묻기 시작했는데, 그들이 실제로 의미하는 것은 다음과 같았습니다. "이게 최고의 조명 디자인인가, 아니면 최고의 세트 구성인가?" 이제 오늘로 돌아와서 저는 CSO 커뮤니티에서 "제로 트러스트"라는 용어가 1990년에 영화 제작자들이 "디지털"이라는 용어를 사용했던 것과 거의 같은 방식으로 사용되는 것을 너무 자주 듣습니다.  

최근에 저는 Simon Sinek의 "Starts with Why" 프레임워크를 접하게 되었습니다. 그 프레임워크는 할리우드가 "디지털"의 초기 시절을 어떻게 생각했는지, 그리고 영화가 보안 (잘못된) 관행을 기반으로 이야기를 어떻게 만들어냈는지에 대한 기억과 함께 형성되었으며, 제로 트러스트에 대한 저의 여러 생각을 정리하는 데 도움이 되었습니다. 제로 트러스트의 핵심은 제가 서두에 언급한 할리우드 스토리라인의 교훈입니다. 즉, 중요한 시스템을 보호하기 위해 설계하고 운영할 때 사려 깊은 사이버 예방 조치를 몇 온스 포기하면 나중에 엄청난 손상과 고통을 초래한다는 것입니다. 유사하게 프레임워크의 중심적인 "왜" 수준에서 제로 트러스트는 다음과 같은 신념 집합으로 표현될 수 있습니다.

에이.     항상 ' who'를 명확하게 확인하세요. 저것 즉, 시스템과 상호 작용을 시도하는 행위자입니다.

나.     필요한 최소 권한으로 기본 설정: 신원이 확인되면 해당 행위자에게 설계에 나열된 필수 권한을 사용하여 해당 비즈니스 거래를 수행하는 시스템과 상호작용하는 데 필요한 만큼의 권한만 허용합니다.

C. 지속적으로 모니터링하고 (재 ) 평가합니다. 신원 확인과 특권 권한은 정적이고 일회성 사항이 아니어야 합니다. 이러한 결정은 지속적으로 평가하고 재평가해야 합니다.

D. 그리고 여전히 당신이 침해당했다고 가정해 보세요: 마지막으로, 위의 세 가지 사항을 실행했음에도 불구하고, 정교한 적이 방어선을 돌파했다고 가정합니다. 따라서 시스템은 손상된 요소나 신원을 식별하고 격리하는 방법과 시스템에 미치는 영향을 봉쇄하고/또는 해결하기 위한 전략도 고려해야 합니다.

간단히 말해서: 무조건적으로 신뢰하지 말고, 항상 확인하세요. 그리고 필요한 만큼만 신뢰하세요. 그리고 지속적으로 평가하세요. 그리고, 모든 것을 다 잡을 수 있다고 생각하지 마세요. 이것이 바로 제로 트러스트의 이유입니다.

제로 트러스트

물론, '왜'는 이야기의 일부일 뿐입니다. '어떻게', 즉 '왜'가 낳는 사고방식을 구현하는 데 사용되는 기술과 도구는 실무자에게 관련된 또 다른 렌즈입니다. 이는 앞서 언급한 신념의 결과로 나타납니다. 여기서도 다시 한 번 구체적으로, 오늘날 사이버 보안 실무자들이 사용할 수 있는 현재 도구 세트의 맥락 내에서 표현하겠습니다.

  1. 인증 : 보호된 시스템과 상호 작용하는 모든 행위자는 어떤 종류의 신원, 또는 어떤 경우에는 신원 튜플(예: 인간이나 자동화 시스템의 신원, 인간/시스템이 있는 장치나 플랫폼의 신원, 심지어 액세스를 용이하게 하는 데 사용된 브라우저나 도구의 신원)을 가지고 있음을 증명해야 합니다. 제로 트러스트 사고방식은 이러한 모든 증명이 하나 이상의 수단, 즉 공유 비밀, 토큰 또는 인증서를 통해 확인되거나 "인증"되어야 하며, 보다 현대적인 시스템에서는 해당 행위자의 행동 패턴을 관찰하고 확인하는 것도 필요합니다.
     
  2. 접근 제어 : 신원이 확립되면 해당 신원에는 액세스 제어 권한을 통해 구현된 신뢰 수준이 할당되어야 합니다. 접근 제어 정책은 최소 권한의 원칙을 따라야 합니다. 즉, 시스템 내에서 역할을 수행하는 데 필요한 최소한의 권한만 부여됩니다. 이상적인 액세스 제어 구현에서는 다음과 같이 부여된 권한에 대한 세부적인 사양을 허용해야 합니다. 역할 는 API <1>, <3>, <4>에 대한 액세스와 및 클래스 객체에 대한 읽기 권한을 허용합니다. 주의해야 할 모범 사례는 애플리케이션 리소스를 타겟으로 하는 복잡한 액세스 제어 시나리오는 개체, 파일 및 네트워크 리소스에 대한 직접 액세스 권한을 부여하는 대신 API 뒤에 추상화해야 한다는 것입니다.
     
  3. 가시성 : "지속적인 재평가"의 전제 조건인 사고방식의 "모니터링" 부분으로 넘어가면, 시스템은 각 행위자의 시스템 동작에 대한 지속적이고 실시간 가시성을 확보할 수 있어야 합니다. 이런 맥락에서 "당신이 보지 못했다면, 그 일은 일어나지 않았다"는 진술은 자명합니다. 또한 수집된 "원격 측정"은 가시적이어야 할 뿐만 아니라 소비 가능해야 합니다. 즉, 보고된 내용을 공유하고 맥락화할 수 있는 프레임워크 내에 존재해야 합니다. 이를 통해 다양한 출처의 데이터를 의미 있게 결합하고 상관관계를 분석하여 더욱 견고하고 효능이 높은 위험 평가가 가능해졌습니다.
     
  4. 컨텍스트 분석, ML 지원 : 앞서 언급한 가시성의 동기는 "지속적으로 재평가" 원칙에 따라 실행할 수 있게 하는 것입니다. 구현 시 이 원칙은 가시성뿐만 아니라 분석도 요구합니다. 일반적으로 여러 데이터 소스에 걸쳐 거의 실시간으로 분석해야 합니다(앞서 언급한 공유 친화적 프레임워크가 필요함). 그렇게 하기 위해서는 지속적인 평가를 위해 AI 머신 러닝 시스템의 지원이 필요하며, 이를 통해 비정상적으로 행동하는 행위자를 감지하고 시스템 손상 가능성을 파악해야 합니다. 마지막으로, 강력한 분석 엔진은 간단한 이진법적 예/아니요보다 더 섬세한 답변을 제공할 수 있어야 합니다. 이상적으로는 위험 평가와 관련된 신뢰 점수가 필요합니다.
     
  5. 자동화된 위험 인식 수정 : 마지막으로, 믿음 체계의 일부는 일부 정교한 적대 세력이 여전히 시스템에 침투할 수 있다는 것이므로, 시스템은 이러한 행동이나 행위자를 보다 심층적으로 감시하고 필요한 경우 격리 및/또는 차단하기 위해 조치를 취할 수 있어야 합니다. 시스템의 대응 방식은 단순한 로깅에서부터 심층적인 검사, 시도된 행위를 차단하는 것, 심지어 의심되는 악의적 행위자를 속이는 것까지 다양하며, 상위 수준의 비즈니스 맥락에서 고려되어야 합니다. 양성 또는 음성 오류가 발생할 가능성과 그 영향, 해당 조치에 따른 사업적 위험 등이 고려 사항에 포함됩니다. 예를 들어, 제품 카탈로그 탐색을 차단하는 것은 행위자가 악의적인 사이트 스크래퍼일 가능성이 매우 높은 경우에만 적절할 수 있지만, 신뢰도가 낮은 은행 거래의 경우 추가 인증을 요구하는 것이 적절할 수 있습니다. 마지막으로, 현대 사이버 공격은 정교하고 빠른 속도로 인해 운영상의 수정 조치는 자동화 가능해야 하며, 인간이 지정한 정책은 의도 중심의 목표로 설명되어야 합니다.

"왜, 어떻게, 무엇" 프레임워크의 마지막 측면은 "무엇"입니다. 즉, 위의 도구와 기술을 사용하여 목표를 달성하고 공격 유형을 방지하거나 완화할 수 있습니다. 사이버 공격의 전체 세트에 대한 전체 분류는 향후 기사의 주제가 될 것입니다. 그러나 다가올 매력에 대한 미리보기로서, 여기에 설명된 "이유"와 "어떻게"는 정교한 "고급 위협"의 스펙트럼을 다룹니다. 예를 들어, 제로 트러스트 사고방식은 "신뢰할 수 있는" 소프트웨어 구성 요소(일명 "공급망 공격")에서 시작된 랜섬웨어 위협에도 대처할 수 있습니다. 구체적으로, 액세스 제어 정책에 구현된 최소 권한의 원칙을 적용하여 파일 읽기/쓰기 권한을 해당 권한이 필요한 사용자에게만 제한하여 파일 리소스의 암호화를 방지해야 합니다. 또한, 어떤 행위자(아마도 파일 쓰기 권한이 있는 기존 소프트웨어 구성 요소)가 손상(앞서 언급한 공급망 공격 벡터 사용)되면 많은 파일에 대해 고속 데이터 암호화를 시도하게 되며, 액세스된 파일 범위와 액세스 속도를 기록하여 지속적인 재평가 및 분석을 통해 변칙적인 동작을 짧은 시간 내에 감지할 수 있습니다. 이러한 활동을 자동 완화와 결합한 감지 기능을 사용하면 신속하게 차단할 수 있습니다. 

그럼, 제가 처음 시작했던 대체 세계로 돌아가서... 스타플릿의 모든 컴퓨터 하위 시스템이 최소 권한의 원칙에 따라 작동한다면, 광자 어뢰를 발사하는 API는 중력 제어 하위 시스템에서 호출될 수 없어야 합니다. 그리고 외계 모선의 제어 장치는 생체 인식 기반 MFA를 수행할 뿐만 아니라 모선의 보안 제어 장치는 침해가 발생할 수 있다고 가정하고 지속적으로 모니터링하고 재평가하며, 함선을 통과하는 전투기 드론의 이상을 감지하고, 이상 드론이 엔진 코어를 향해 날아갈 경우 위협을 완화합니다. 예방을 위한 몇 가지 핵심 조치만 취해도 그에 따른 엄청난 드라마를 피할 수 있을 것입니다. 할리우드에는 나쁘지만, 사이버 보안 실무자에게는 좋은 일입니다.

제로 트러스트 주변의 광범위한 개념을 포괄하는 프레임워크에 대해 자세히 알아보려면 기존 비즈니스 배경과 애플리케이션 비즈니스 리더가 받아들여야 할 보안 사고방식을 알아보려면 백서 제로 트러스트 보안을 읽어보세요. Zero Trust가 중요한 이유(접근성 그 이상)