[아이뉴스24 김혜경 기자] '제로 트러스트(Zero-Trust)' 보안 모델이 10년 만에 다시 부상하고 있다. 2010년 포레스터(Forrester) 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 창안했으며 '아무도 신뢰하지 않는다'는 원칙을 전제로 모든 접근을 잠재적 보안 위협으로 판단하는 개념이다.
경계보안 방식에서 벗어나 분산 방화벽을 이용한 '초세분화(마이크로 세그멘테이션)'로 제로 트러스트 아키텍처 구현이 필요하다는 분석이다.
존 킨더백 애널리스트는 제로 트러스트 모델을 오바마 전 미국 대통령의 카퍼레이드에 비유했다. ▲카퍼레이드가 진행되는 도로 외곽에서 차량을 경호하는 인력은 '경계보안' ▲차량과 가까운 거리에서 경호하는 인력은 '근접제어' ▲경호원들이 서로 거리를 유지하면서 이동하는 행위는 '세분화된 경계면' ▲무전을 통해 현장 상황을 주고받는 행위는 '모니터링‧보안정책 업데이트' ▲차량 내부 경호원은 '엔드포인트 보안' 등으로 분류할 수 있다고 설명한 바 있다.
김욱조 VM웨어코리아 상무는 "현재 데이터센터의 방화벽은 경계면에서 수직 방향으로 이동하는 '노스-사우스(North-South)' 트래픽을 처리하고 있다"며 "기업 내부 트래픽이 전체 85%를 차지하고 있는 상황에서 내부에서 오가는 '이스트-웨스트(East-West)' 트래픽 처리에 초첨을 맞춰야 한다"고 말했다.
버라이즌(Verizon) 데이터 유출 조사 보고서에 따르면 공격자가 네트워크에 머무는 평균 기간은 78일로 집계됐다. 네트워크 취약점을 이용해 중요한 내부 자산으로 접근하는 경향이 늘고 있다. 특히 신용정보 탈취 공격 분석 결과 수평 방향 움직임이 증가하는 추세다.
'마이크로 세그멘테이션(Micro Segmentation)'을 통해 내부 트래픽을 이용한 공격을 차단하고 업무 환경을 보호할 수 있다고 김 상무는 강조했다. 기존 방화벽은 내부 보안에 적합하지 않으므로 분산 방화벽을 이용한 네트워크 망분리가 필요하다는 것.
김 상무는 "경계 세분화는 제로 트러스트의 핵심"이라며 "현 시점에서 극소수의 선도기업을 제외하고 마이크로 세그멘테이션이 제대로 구현된 곳은 거의 없다고 보면 된다"고 전했다. 하이퍼바이저(Hypervisor)에 방화벽을 추가하고, 업무별 더 세분화된 세그멘테이션을 구현하는 것이 VM웨어가 제안하는 제로 트러스트 보안의 특징이다.
그는 "기존에는 물리 방화벽이나 가상머신(Virtual Machine‧VM) 기반 방화벽을 v스피어(vSphere) 환경에 추가하는 방식으로 내부 보안을 구축했다"며 "전통적인 방화벽은 운영비 증가와 개발자 생산성 저하에 원인으로 작용하고 있다"고 말했다.
이어 "NSX 분산 방화벽은 공격 표면을 최소화하고 모든 수준의 검증 프로세스를 지원한다"며 "ESXi 호스트 하이퍼바이저에 서비스 정의 방화벽을 추가해 네트워크 구성 변경 없이 바로 적용 가능한 것이 특징"이라고 덧붙였다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기