모든 전략 허용

마지막 업데이트: 2022년 5월 26일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
ⓒ의협신문

다시 주목 받고 있는 기업 보안의 패러다임, 제로 트러스트

모든 기업들이 IT 시스템을 운영하여 기업을 운영하고 있을 정도로 IT 시스템의 중요성은 강조해도 모자람이 없습니다. 대부분의 업무가 IT 시스템을 통해서 이뤄지고 있기 때문에 IT 시스템의 관리 역시 기업 운영에 있어서 무척이나 중요한 요소라고 할 수 있습니다. IT 시스템의 관리는 해당 IT 시스템의 각 구성 요소에 대한 안정적인 유지 및 지속적인 성능 개선을 의미합니다.

특히, IT 시스템의 안정적인 유지의 범주 안에는 해당 IT 시스템의 안정성을 확보하는 보안이라는 부분이 매우 큰 영역을 차지하고 있습니다. 시스템 보안의 경우 제대로 운영하지 않으면 IT 시스템 자체를 무력화하여 해당 기업을 마비시킬 수도 있으며 IT 시스템 안에 저장되어 있는 회사의 기밀 데이터들이 유출되는 사고가 일어나기도 합니다. 이미 수많은 기업들이 IT 시스템의 시스템 보안을 제대로 운영하지 않아서 낭패를 봤다는 것은 수많은 언론의 기사들을 통해서 확인할 수 있습니다.

IT 시스템의 시스템 보안은 한가지로 딱 정의하기는 어렵습니다. 여러 가지 보안 기법 및 방식들을 이용하여 다양한 보안 솔루션 및 보안 정책들이 어우러져서 진행되는 복합적인 일입니다. 본 아티클에서는 그 여러 가지 IT 시스템의 시스템 보안 분야들 중에서 기업의 임직원들이 IT 시스템을 이용하여 업무를 진행할 때 필요로 하는 IT 시스템의 접속 및 사용에 대한 보안에 대해서 언급해보고자 합니다.

다양한 사이버 위협들의 출현

급변하는 근무 형태
시대가 디지털 변혁의 시대로 접어들면서 기존부터 사용되어 왔던 기업의 IT 시스템의 접속 및 사용에 대한 방식이 많이 달라지기 시작했습니다. 먼저 외부에서 많은 작업을 하는 임직원의 경우에는 노트북이나 태블릿, 스마트폰 등의 스마트 디바이스를 이용하여 카페나 혹은 대중교통으로 이동하면서도 업무를 진행하는 경우가 많아졌습니다. 그리고 요 몇 년 전부터 워라벨이 화두가 되면서 회사에서 지정한 사무실에서 업무를 하는 것이 아닌 집에서 가까운 곳에 스마트 오피스를 두고 그곳에 출근하여 업무를 진행하는 등 원격 근무가 늘어나면서 과거와 달리 유연한 근무 형태가 증가하기 시작했습니다. 특히 코로나19 팬더믹 시대로 접어들면서 이제는 사무실이나 스마트 오피스 등이 아닌 집에서 근무하는 자택 근무가 확산되기 시작했습니다.

원격 근무의 경우도 그렇고 자택 근무의 경우도 그렇고 기업에서 제공하는 네트워크가 아닌 일반 인터넷 네트워크를 통해서 기업의 IT 시스템에 접근하는 경우가 많아지고 이 방식이 보편화 되기 시작했습니다. 사용하는 단말기의 경우에도 기업에서 제공하는 PC가 아닌 개인이 보유하고 있는 개인 PC나 스마트폰, 태블릿 등 기존보다 더 다양한 스마트 디바이스들을 활용하기 시작했다는 것도 기존과 다른 점이라고 할 수 있습니다.

그뿐만이 아니라 기존의 IT 시스템은 기업이 제공하는 네트워크 및 컴퓨팅 환경에서만 접속하거나 사용할 수 있었는데 지금은 기존 방식뿐만이 아니라 IaaS(Infrastructure as a Service), SaaS(Software as a Service) 등과 같은 클라우드 시스템을 이용하여 IT 시스템에 접근해서 사용하거나 역으로 IT 시스템이 이들 클라우드 시스템에 연결되어 데이터를 주고받는 경우가 많아졌습니다. 과거 IT 시스템 대비 그 복잡성과 다양성이 증가된 것입니다.

네트워크 사용 부분에도 많은 변화가 생겼습니다. 기존 기업의 IT 시스템을 사용할 때에는 기업에서 제공하는 전용 네트워크를 사용해야만 했습니다. 물리적으로 떨어진 IT 시스템들 사이의 연결 역시 전용 네트워크를 이용해야만 했습니다. 지금도 전용 네트워크를 이용하지만 그 외에도 Private 5G 네트워크를 이용한다든지 보안성을 더한 일반 네트워크를 이용하는 경우도 많아졌습니다.

이렇듯 시대의 변화에 따라 IT 시스템에 접속하는 방식이 기존 방식에 더해 더 다양해지고 있습니다.

다양한 변수들로 인한 보안 취약점 확대
문제는 이렇게 다양한 방식으로 인해 이에 대응해야 하는 보안 방식도 더 다양해져야 하는데 현실은 녹록치 않다는 것입니다. 먼저 코로나19 팬더믹의 여파로 인해 불확실성이 증가한 관계로 IT 투자가 예전 대비 많이 감소되고 있습니다. IT 시스템의 안정적인 유지를 위해서는 꾸준한 투자가 필수적인데 현재 어떻게든 운영되고 있다는 이유로, 그리고 당장에 눈에 띄는 피해가 없다는 이유로 IT 시스템에 대한 투자를 줄이는 경우가 많습니다. 특히 보안에 대한 투자가 상대적으로 줄어드는 경우가 많습니다. 보안의 경우 피해를 보기 전까지는 그 필요성을 느끼기 어렵기 때문에 그렇습니다.

그리고 IT 시스템의 투자, 특히 보안에 대한 투자가 이뤄진다고 할지라도 보안 기능이 탑재된 하드웨어, 혹은 소프트웨어에만 투자하는 경우가 많습니다. 최근 일어나고 있는 수많은 보안 사고의 경우 외부의 공격으로 인한 보안 사고도 많았지만 내부 직원에 의한 보안 사고의 비중이 계속 증가하고 있는 추세입니다. 내부 직원의 실수로 인해 보안 시스템이 무용지물이 되는 경우가 많습니다. 의도적으로 기밀 데이터를 빼돌리는 경우도 존재하기도 합니다.

이런 다양한 위협들을 대비하기 위해서는 보안담당 인력들이 충분해야 하는데 아쉽게도 현재 국내 보안 인력은 4만 명 정도가 부족하다고 합니다. 기업에서는 보안 관련 요구사항들이 증가하고 필요로 하고 있지만 실질적으로 보안 업무에 전념해야 하는 보안 인력은 상대적으로 부족한, 수요와 공급의 격차가 지속적으로 심화되는 상황이 벌어지고 있습니다. 그리고 수많은 기업들이 보안 전문인력보다는 보안을 겸하는 IT 시스템 인력을 운영하고 있는 상황입니다.

앞서 언급했듯 다양한 업무 환경 및 사용 디바이스의 증가로 인해 IT 모든 전략 허용 시스템의 접근 및 사용에 대해서 공격할 수 있는 공격 접점이 증가하고 있습니다. 즉, 보안담당자들이 관리해야 할 관리 접점이 증가하고 있으며 관리 방식이 더 다양해지고 있다는 얘기입니다.

거기에 새로운 기술이 증가하고 있는데 이를 대응해야 하는 대응 보안 기술이 뒤따라오지 못하는 상황이 벌어지고 있습니다. 신기술이 나오게 되면 그 기술에 대한 보안 정책을 수립해야 하는데 보안 정책을 수립하는 시간보다 신기술의 증가 속도가 더 빠르기 때문에 대응이 늦어짐으로 인해 문제점이 생기고 그것이 곧 보안 취약점이 되는 상황입니다.

이렇듯 보안 업무의 범위가 확대되고 있는 상황에서 보안 전문인력 및 조직은 절대적으로 부족한 상황입니다. 앞서 IT 시스템의 투자 부족 및 보안 전문 인력의 부족에 대해서 언급했는데 그로 인해 새로운 보안 인력 확충보다는 기존 인력을 통한 보안 업무 확대가 진행됨으로 인해 부담이 가중되어 확대된 보안 업무에 대응하지 못하는 경우가 지속적으로 발생하고 있습니다.

이렇듯 급변하는 근무 형태 및 다양한 변수들로 인해 기존보다 더 많은, 그리고 다양한 사이버 위협들이 출현함으로 기업의 IT 시스템들이 위협을 받고 있는 것이 현실입니다.

보안 시스템의 현재 모습과 문제점

그렇다면 현재의 보안 시스템의 구조는 어떻게 되어 있을까요? 현재의 문제점에 대해서 파악하고 개선하기 위해서는 현재의 시스템에 대해서 분석할 필요가 있습니다. 앞서 언급했던 것처럼 IT 시스템에 적용되는 보안 시스템은 그 종류들도 많고 방식도 다양하지만 크게 나눈다면 2가지로 언급할 수 있습니다. IT 시스템에 접속하는 접속을 제어하는 것과 IT 시스템 안에 존재하는 데이터를 관리하는 것입니다.

접근 제어
전통적인 IT 시스템의 보안 시스템은 기본적으로 방화벽 컨셉의 방어 시스템입니다. 간단히 말하자면 IT 시스템으로 접근하는 사용자, 디바이스, 혹은 네트워크를 제어하는 방식으로 허용된 사용자, 디바이스, 혹은 네트워크만 IT 시스템에 접근할 수 있도록 하는 방식을 의미합니다. 이런 방화벽 컨셉의 방어 시스템은 관문 방식, 성문 방식이라고 불리기도 하며 예를 들어, 어떤 성이 존재할 때 그 성에 들어가기 위한 관문, 성문을 통과하게 되면 그 성 안의 모든 시스템을 사용할 수 있는 방식입니다. IT 시스템의 경우에도 해당 IT 시스템의 관문, 성문(보통 로그인 시스템 및 해당 시스템에 연결된 방화벽 시스템이 그 역할을 맡습니다)을 통과하면 IT 시스템을 자유롭게 사용할 수 있습니다.

이런 방식을 경계 보안 모델(Perimeter Security Model)이라고 부르며 앞서 언급한 것처럼 중세 시대의 성처럼 성벽으로 내외부가 구분되어 성 밖에 있는 모든 것을 위협이라고 간주하고 관문이나 성문을 통해서 성 안에 들어오면 그 안의 모든 리소스를 사용할 수 있다는 개념입니다. 이런 경계 보안 모델의 경우 모든 임직원이 오직 회사 빌딩에 근무하는 환경에 적합하다고 할 수 있습니다.모든 전략 허용

데이터 제어
앞서 접근 제어의 경우 사용자나 단말기 등이 IT 시스템에 들어오기까지의 과정을 제어하고 보안하는 것이라고 한다면 데이터 제어는 IT 시스템에서 사용하는 각종 문서들이나 데이터베이스 등의 데이터들을 보안하는 것이라고 할 수 있습니다. 이런 데이터 제어에 있어서 기본적인 방법이면서 가장 많이 사용하는 방법이 데이터 암호화입니다.

데이터 모든 전략 허용 암호화의 경우 IT 시스템 안의 모든 데이터, 혹은 중요도가 높은 기밀 데이터를 암호화하여 보관 및 관리하는 것으로 허용된 사용자, 시스템, 혹은 네트워크에만 암호화된 데이터를 해석할 수 있는 방법을 제공합니다. 암호화의 경우 암호화할 때 사용한 암호화 키가 존재하며 이를 복호화하기 위한 복호화 키가 존재합니다. 허용된 사용자나 시스템 등에만 복호화 키를 제공함으로 암호화된 데이터를 원래의 목적대로 사용할 수 있게 해줍니다.

데이터가 암호화가 되어 있기 때문에 어떤 상황으로 인해 데이터 유출이 일어나더라도 암호화가 되어 있어 해석할 수 있는 방법을 모른다면 해당 유출 데이터들을 사용할 수 없기 때문에 유출 방지 방식으로 많이 사용하고 있습니다.

이렇듯 현재의 어떤 의미에서의 전통적인 보안 시스템의 구조는 경계 보안 모델을 적용한 시스템 안에서 데이터 암호화를 통해서 IT 시스템을 보안하고 있다고 보면 됩니다.

급증하는 보안 시스템의 문제점
앞서 언급한 것처럼 기존의 전통적인 보안 시스템의 경우 방화벽 컨셉의 경계 보안 모델을 채택하고 있기 때문에 대부분 외부로부터의 접근에 대해서 막는 것에만 집중하고 있습니다. 지식 기반의 ID 및 패스워드 방식의 로그인 시스템 및 등록된 단말기만 접속을 가능하게 해주는 접속 허용 시스템 등 대부분의 보안 시스템이 외부로부터 IT 시스템에 접근할 때 보안을 적용하는 방식입니다.

일단 IT 시스템 접근 시 해당 보안 방식을 통과하게 되면 IT 시스템에 들어오게 되고 IT 시스템 안에 있는 모든 IT 시스템의 자원들을 자유롭게 사용할 수 있습니다. 앞서 언급한 데이터 암호화 역시 IT 시스템에 들어올 때 복호화 키를 함께 발급받기 때문에 자유롭게 암호화된 데이터도 사용할 수 있게 됩니다. 이 과정에서 IT 시스템에 접근한 사용자, 단말기가 사용할 필요가 없는 IT 시스템의 데이터들까지도 자유롭게 접근해서 사용할 수 있게 되는 경우가 많습니다.

앞서 IT 시스템에 접근할 수 있는 방법들이 다양해지고 많아짐으로 인해 IT 시스템의 보안 시스템이 더 많아진 방법들에 대해 제대로 대응하지 못하고 일부 불필요한 접근을 허용했을 경우 IT 시스템 전체가 위험해지는 상황이 생기게 됩니다. 새로운 기술 및 접근 방법이 계속 생기고 있지만 보안 시스템이 그 부분에 대해서 대응을 하지 못하게 되면 그 부분은 보안 취약점이 됩니다. 해당 보안 취약점이 해결될 때까지는 이른바 제로데이 어택이라는 보안 취약점이 되며 그 보안 취약점으로 허용하지 않는 사용자나 단말기가 IT 시스템에 침입할 수 있을 가능성이 매우 커집니다. 즉, 제한된 보안 인력 및 시스템으로 인해 모든 사용자 및 단말기, 혹은 네트워크의 제어가 현실적으로 불가능하게 여겨지면서 이런 제로데이 어택이라는 보안 취약점이 지속적으로 발생하게 되는 것입니다.

이런 상황으로 인해 제로 트러스트가 다시 주목을 받고 있습니다.

다시 주목을 받고 있는 제로 트러스트

제로 트러스트 모델의 개념
제로 트러스트(Zero Trust)는 말 그대로 신뢰가 없다, 즉 '아무도 믿지 마라'라는 뜻입니다. 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략입니다. 앞서 전통적인 보안 시스템에서는 성문, 관문이라 불리는 보안 시스템을 통과해서 IT 시스템에 들어오게 되면 해당 사용자나 단말기는 보안 시스템을 통과했기 때문에 신뢰하는 사용자, 단말기로 인식을 하게 됩니다. 하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제입니다.

제로 트러스트 개념에서는 IT 시스템에 접근을 하기 위해서, 즉 접근 허가를 받기 위해서 먼저 사용자가 누구인지, 혹은 단말기가 안전한 허가를 받은 단말기인지, 그리고 어떤 접근 권한을 갖고 있는지 등 모든 유효성을 다 입증한 다음에 권한을 받아서 접근 허가를 수락하게 됩니다. IT 시스템에 접근하기 위해서만도 아니고 IT 시스템에 접속한 이후에 IT 시스템 안에서도 여러 시스템들이 존재하는데 각 시스템에 접근할 때마다 앞서 언급한 모든 유효성을 다 입증해야 합니다. IT 시스템 안에 존재하는 데이터를 사용할 때도 마찬가지입니다. 즉, IT 시스템에 들어왔다고 하더라도 그것으로 끝나는 것이 아니라는 얘기입니다.

이런 제로 트러스트 모델은 2010년 포레스터 리서치(Forrester Research) 보안위협팀의 존 킨더백(John Kindervag) 수석 애널리스트가 제안한 모델입니다. 이미 10년 전에 제안한 모델이 10년이 지난 지금에 다시 주목을 받고 있는 상황입니다. 그리고 현재 구글, 코카콜라, 웨스트젯 항공 등 다양한 기업에서 제로 트러스트 모델을 도입하여 보안 시스템을 구축하여 적용하고 있으며 미국 하원은 2013년 12월부터 2014년 5월까지 있었던 인사관리국(OPM) 시스템의 침해사고 이후 모든 정부 기관에 제로 트러스트 모델을 채택할 것을 권장하고 있습니다.

기존 시스템의 문제점
앞서 급변하는 근무 형태로 인해 기업의 IT 시스템 보안 환경이 네트워크, 기업용 애플리케이션, 클라우드 시스템 등 외부와 접속할 수 있는 접속 지점이 증가하고 있다고 언급했습니다. 거기에 IT 시스템에 접속할 수 있는 방식 역시 기존 기업에서 제공하던 PC 외에도 개인용 PC, 스마트폰, 태블릿 등 더 다양해지고 있습니다. 그리고 전통적인 기존 보안 시스템은 방화벽 컨셉의 경계 보안 모델로 성벽, 관문, 울타리와 같은 시스템이어서 큰 울타리나 성벽, 관문을 하나만 세우고 해당 울타리나 성벽, 관문을 통과한 이후 안쪽으로 들어오면 어떠한 작업이라도 다 허용하는 방식이었습니다.

하지만 현재는 외부에 존재하는 단말기와 사용자 각각에 이런 울타리, 성벽, 관문 등을 만들어야 하는 상황입니다. 물론 각각의 울타리의 크기는 작습니다만 울타리 전체의 면적은 과거와는 비교할 수 없을 정도로 넓어졌기 때문에 지금의 보안 시스템 환경에서 개별 사용자와 단말기에 대한 모든 보안을 적용하고 관제(감시 및 관리)하는 것은 매우 많은 비용 및 노력이 들어가는 일이라고 할 수 있습니다.

제로 트러스트 모델이 다시 주목받는 이유
기업 내 보안 관리자가 IT 시스템이 존재하는 네트워크에 접속하는 모든 사용자 및 단말기들을 감시하고 관리하는 것은 현실적으로 매우 어렵다고 볼 수 있습니다. 그리고 당연하게도 사용자 역시 자신의 단말기에 보안 관리자가 개입하고 제어하는 것을 선호하지 않습니다.

제로 트러스트 모델을 도입하게 되면 기업의 보안 관리자는 모든 사용자와 단말기에 보안 정책을 적용하는 대신, 보안 정책을 위반할 것이라고 가정한 상태로 취급을 합니다. 그리고 사용자나 단말기가 IT 시스템 안의 데이터나 애플리케이션, 내부 인프라(IT 시스템 내 데이터베이스 등), 네트워크 등에 접속하려고 할 때 철저한 신원 확인 및 인증을 통해 접근 권한이나 사용 권한을 부여합니다.

그리고 인증 이후에 접근 권한이나 사용 권한을 부여할 때에도 최소한의 영역에서만 접근하거나 사용할 수 있도록 권한을 적용해서 부여함으로 쓸데없는 수평 이동을 줄이도록 합니다. 만약 해당 사용자나 단말기가 다른 데이터나 애플리케이션, 내부 인프라, 네트워크에 접속하거나 사용하려고 한다면 마찬가지로 철저한 신원 확인 및 인증을 통과해야 합니다.

즉, 과거의 보안 시스템이 IT 시스템의 접속을 통해 외부로부터의 유입에 대한 방어에 집중하고 내부의 보안이 상대적으로 허술했던 것에 비해 제로 트러스트 모델은 외부로부터의 유입에 대한 방어와 동등한 레벨로 내부의 보안도 처리한다는 점에서 다양해진 보안 위협으로부터의 안정성 높은 보안 패러다임으로 10년이 지난 지금에 다시 주목을 받고 있는 것입니다.

경계 보안 모델과 제로 트러스트 모델의 차이점
방화벽 컨셉의 경계 보안 모델이 적용된 전통적인 보안 시스템과 제로 트러스트 모델이 적용된 보안 시스템의 차이점은 차단을 중점으로 두는가, 아니면 인증을 중점으로 두는가로 볼 수 있습니다.

경계 보안 모델이 적용된 보안 시스템의 경우 문제가 되는 접근을 차단하는 데 그 목적이 있습니다. IT 시스템의 로그인 시스템에서 ID 및 패스워드의 인증이 실패하면 접속을 차단하거나, IP 등의 기기 정보가 등록되지 않는 단말기가 접속하려고 한다면 접속을 차단하는 등 허가받지 않은 사용자나 단말기에 대한 접근 차단을 그 목적으로 하고 있습니다.

제로 트러스트 모델이 적용된 보안 시스템도 허가 받지 않은 사용자나 단말기에 대해 접근을 차단하는 것도 목적에 포함되어 있습니다만 경계 보안 모델이 차단에 초점을 둔 것에 비해 제로 트러스트 모델은 차단보다는 철저한 신원 인증에 초점을 둔다는 점에서 차이가 있습니다.

이런 신원 인증에는 기존 로그인 시스템에서 사용했던 기본적인 ID 및 패스워드 방식의 지식 기반 인증 외에도 OTP나 보안키 등의 소유 기반 인증, 지문이나 홍채, 얼굴 인식 등 생체 기반의 인증 등을 복합적으로 사용함으로 사용자에 대한 철저한 신원 인증을 진행할 수 있습니다. 이런 복합적인 신원 인증 방법을 멀티팩터 인증(Multi-Factor Authentication, MFA)이라고 부릅니다. 단말기에 대한 인증 역시 기존에 등록한 단말기인 경우에도 그것으로 끝나는 것이 아니라 해당 단말기에 기업에서 제시한 보안 애플리케이션이나 안티바이러스 솔루션이 설치되어 있는지 여부, 단말기 자체의 보안 레벨 등을 체크해서 허용 가능한 단말기인지 확인하는 단말기 인증을 할 수 있습니다. MFA와 더불어 단말기 인증도 동시에 진행함으로 철저한 신원 인증을 진행합니다.

그리고 앞서 언급한 것처럼 경계 보안 모델의 경우 해당 경계를 통과한 이후에는 자유롭게 내부의 IT 시스템을 사용할 수 있기 때문에 원래 해당 사용자나 단말기가 IT 시스템에서 하고자 하던 작업 외의 다른 불필요한 작업들에 대한 감시가 거의 없는 것에 비해 제로 트러스트 모델의 경우 처음에 부여된 권한이 정확히 해당 사용자나 단말기가 꼭 사용하게 될 최소한의 영역으로 제한되기 때문에 다른 작업을 하기 위해서는 그 작업에 걸맞은 인증 절차가 필요하게 되고 그 과정에서 불필요한 작업들이 이뤄지지 않는 즉, 수평 이동이 없는 작업이 가능하게 됩니다. 사용자나 단말기가 다른 의도로 자신의 영역 외에 다른 IT 시스템의 자원들에 접근할 수 없기 때문에 보안성이 상대적으로 훨씬 높아진다는 장점이 있습니다.

제로 트러스트 모델 구현의 예
제로 트러스트 모델을 이용하여 보안 시스템을 만들어서 서비스로 제공하는 경우도 있습니다. 먼저 마이크로소프트는 애저 액티브 디렉토리(Azure Active Directory, Azure AD) 기업용 ID 서비스를 기반으로 사용자 인증을 지원합니다. 계정 하나로 IT 시스템 안의 여러 애플리케이션, 인프라, 데이터에 접속할 수 있는 SSO(Single Sign On)를 제공함으로 매번 사용자가 복잡한 ID 및 패스워드를 외워야 하는 불편함을 줄임과 동시에 지문, 얼굴, 보안키 등을 통한 MFA를 더해 보안성을 높인 보안 시스템을 제공합니다. 아카마이 역시 SSO와 MFA 기반 제로 트러스트 모델 기반 보안 솔루션을 제공하고 있습니다.

제로 트러스트 모델 구현을 위한 조언
제로 트러스트 모델을 이용한 효과적인 보안 시스템 구축을 위해서는 반드시 선행되어야 할 과정들이 존재합니다. 제로 트러스트 모델을 제안한 존 킨더백은 효과적인 제로 트러스트 모델 적용을 위해 몇 가지 권고사항을 소개한 바가 있습니다.

먼저 민감한 데이터 접근에 대한 가시성을 높여야 합니다. 그렇게 하기 위해서는 IT 시스템 안에서 데이터들의 위치들을 모두 파악하고 해당 데이터에 누가(사용자, 단말기, 혹은 애플리케이션 등) 얼마나 자주 접근하는지 파악해야 합니다. 또한 각 데이터들을 어떤 수준으로 보호해야 하는지 파악을 하고 분석을 해야 제대로 된 보호가 가능합니다.

앞서 모든 데이터에 접근할 때 신원 인증을 필수적으로 해야 하는데 해당 데이터에 접근이 가능한 사용자, 단말기가 어떤 것인지 파악을 해야 신원 인증이 가능하기 때문입니다. 또한 사용자나 단말기에 따라서 해당 데이터를 보기만 할 수 있게 할 것인지, 수정이나 삭제 등의 별도의 작업이 가능하게 할 것인지 등도 결정을 해야 합니다.

민감한 데이터의 경우 데이터의 위치를 파악한 이후에 이 데이터가 어떤 방식으로, 어떤 경로를 통해, 어느 위치까지 움직였는지도 파악을 해야 합니다. 이 과정이 필요한 이유는 해당 민감 데이터가 있어서는 안 될 위치로 이동되어 있는 경우에 왜 그랬는지를 추적하여 원인을 찾아서 제거를 해야 하기 때문입니다. 특정 사용자나 단말기가 데이터의 접근 권한을 받았지만 이 데이터가 있어서는 안 될 위치로 이동시켰을 경우 해당 사용자나 단말기의 접근 권한을 제고해야 하는 등의 후속 조치를 위함이라고 보면 됩니다.

그리고 각 데이터 앞에 게이트웨이를 두고 자동화한 컴플라이언스(보안 정책)를 해당 게이트웨이에 적용하고 필요한 만큼만 접근 및 사용을 허용해야 합니다. 여기서 말하는 게이트웨이는 제로 트러스트에서 신원 인증을 위한 장치라고 보면 됩니다. 즉, 정말 해당 데이터를 필요만큼만 사용할 수 있도록 권한을 최소화하여 허용을 해야 합니다.

트래픽에 대한 가시성 확보도 필요합니다. IT 시스템 안에 들어온 사용자 및 단말기의 모든 트래픽을 모니터링하는 과정 안에서 악성 행위를 찾는 것은 물론, 보안을 강화해야 하는 부분까지도 능동적으로 찾을 수 있기 때문입니다. 특히, 내부에서 시작되는 공격의 경우에는 기존처럼 외부의 접근만을 파악해서는 탐지가 어렵습니다. 제로 트러스트 모델에서는 IT 시스템 안에서도 내부의 네트워크를 세분화하고 각 네트워크에 대한 가시성을 확보해야 합니다. 실질적으로 각 데이터 앞에 존재하는 게이트웨이로 인해 어떤 사용자가, 혹은 어떤 단말기가 해당 데이터를 사용했는지, 또 해당 데이터를 어느 네트워크로 이동시켰는지 확인 및 추적이 가능합니다. 그렇게 하기 위해서는 데이터의 세분화 및 네트워크의 세분화가 선행되어야 합니다.

지금까지 급변하는 근무 형태로 인해 날로 늘어가고 있는 사이버 위협에 대해서 살펴보고 현재의 보안 시스템의 구조 및 문제점을 살펴봤습니다. 그리고 제시된 지 10년이 지났지만 지금 다시 주목을 받고 있는 제로 트러스트 모델에 대해서 살펴봤습니다.

시대가 급변함으로 인해 과거 대비 업무 형태가 많이 바뀌었고 기술 역시 발전하고 있습니다. 그로 인해 기업의 IT 시스템은 기존과 달리 다양한 사용자 및 단말기로부터 다양한 방법으로 접근해서 사용될 수 있는 상황이 되었습니다. 편의성은 예전에 비해 확실히 올라갔음은 분명하지만 그만큼 보안 시스템의 비중이 커지고 있는 것도 사실입니다. 하지만 현재의 보안 시스템이 다양화된 IT 시스템의 접근 방식에 100% 다 대응할 수 없는 문제점이 계속 노출되고 있는 것이 사실입니다.

모든 기업의 IT 시스템에 제로 트러스트 모델이 100% 완벽히 들어맞는다고 할 수는 없습니다. 어떤 시스템에 대해서는 기존과 같은 경계 보안 모델이 더 어울릴 수 있을지도 모릅니다. 하지만 앞서 언급한 것처럼 다양화된 접근만큼 보안 취약점이 늘어나고 있는 상황에서 모든 보안 취약점을 실시간으로 대응할 수 없는 현실이라면 제로 트러스트의 개념처럼 모든 것을 믿지 않고 매번 인증을 통해서 보안 취약점을 최소화하는 방법을 고려하는 것은 필요한 일이라고 보여집니다.

글에서 모든 것을 언급하지는 않았지만 제로 트러스트 모델을 이용한 보안 시스템을 구축할 때 사용자들이 매번 철저한 신원 인증을 진행하는 데 있어서 피로도가 누적될 수도 있습니다. 실질적으로 MFA는 ID 및 패스워드 인증을 기본으로 지문, 얼굴, 보안키 등의 추가 인증을 함께 진행해야 하기 때문입니다. 그리고 패스워드의 경우 쉽게 유추할 수 없는 그런 방식(문자, 숫자, 특수 기호 포함 10자 이상 등)으로 진행하기 때문에 매번 입력하는 것도 문제가 됩니다. 그래서 마이크로소프트나 아카마이에서 제공하는 제로 트러스트 모델 기반 보안 시스템에는 SSO 솔루션을 함께 제공하여 ID와 패스워드를 매번 입력하는 수고를 덜어주고 있습니다. 그 외에도 여러 방법을 더해서 철저한 신원 인증을 하지만 사용자가 좀더 편하게 신원 인증을 할 수 있게 도와줍니다. 그렇기 때문에 제로 트러스트 모델 도입에 있어서 사용자의 피로감을 걱정할 필요는 없다는 생각이 듭니다. 마지막으로 이 글을 읽는 개발자 및 관리자들이 제로 트러스트 모델 도입에 대해서 도움이 되었기를 바랍니다.

▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

대한의사협회(회장 추무진)는 이학재 의원이 대표 발의한 ‘지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안’제정안에 관련하여 국민들의 건강권 보장을 위해서 의료분야에 대한 규제를 완화하는 것에 반대함을 분명히 밝힌다.

동 제정안에 따르면 규제프리존 관련 특별법안을 통해 규제특례를 적용하는 경우, 다른 법령보다 우선 적용하도록 하고, 다른 법령에서 명시적으로 열거된 제한 또는 금지사항을 제외하고는 모든 사업들을 허용하는 것을 원칙으로 하고 있다.

이는 신기술 기반사업이라는 명목 하에 국민의 건강이 아닌 경제적 논리 즉 이윤 추구만을 목적으로 한 것으로, 그 내용을 볼 때 원격의료, 건강관리서비스 등 각종 의료영리화 정책들을 추진하기 위한 도구에 불가하며, 정부의 잘못된 정책 추진을 방조하는 불합리한 결과만을 초래할 것이다.

실제로 동 제정안 제43조에 의하면 기존 의료법에 대한 특례를 규정하면서, 「규제프리존 내 지역전략산업과 모든 전략 허용 관련하여 「의료법」 제3조제2항에 따른 의료기관을 개설한 의료법인은 같은 법 제49조 제1항 각 호의 부대사업 외에 시·도의 조례로 정하는 부대사업을 할 수 있다.」다고 규정하고 있는데, 이는 기존에 의료법령 시행규칙 개정 등을 거쳐야 했던 것을 시도의 조례개정을 통해 손쉽게 여러 가지 부대사업을 제한 없이 시행할 수 있도록 한 것이다.

동 방안대로라면 의료법인이 의료관광객 유치를 위해 병원을 지으면서 의료호텔을 건립하거나, 또 의료법인의 기술력과 데이터를 활용해 의료기기와 건강식품도 제조할 수 있게 할 수 있도록 한 것으로, 이는 의료분야의 영리화를 가속하는 단초가 될 수 있으며,

더 나아가 이를 통해 건강관리서비스가 확대될 경우 기존의 의료영역을 잠식할 우려가 있는바, 이때 의료행위와 건강관리서비스를 명확히 구분하기 어려워 원격의료를 변형한 스마트기기를 활용한 서비스 및 질병 예방, 건강유지를 위한 서비스를 이유로 기존의 의료행위의 범위를 침해할 소지가 크다 할 것이다.

이러한 잘못된 방향의 법안제정은 기존 의료체계의 혼란만을 초래하는 결과를 양산하여 결국 의료영리화를 부추기는 요소로 작용할 것이며, 환자의 진료라는 의료의 본질은 등한시 된 채, 부대사업 확대를 통한 환자유치 수단으로 활용되어 의료 왜곡현상을 초래할 우려가 있다.

또한 동 제정안 제71조제3항에 의하면 「규제프리존 내 지역전략산업과 관련하여 「공중위생관리법」 제8조에 따라 미용업을 개설한 자는 같은 법 제4조제4항에도 불구하고 보건복지부장관이 정하는 바에 따라 「의료기기법」 제2조에 따른 의료기기 중 인체에 미치는 영향이 적은 의료기기를 사용할 수 있다」고 규정하면서, 의료인이 아닌 자가 의료기기법에 따른 의료기기를 사용할 수 있는 길을 열어주고 있는데, 이는 국민의 건강권 보장을 위해 엄격히 규율되고 있는 현행 의료인 자격 체계 자체를 무력화 할 수 있는 위험한 발상이라 할 것이다.

실제로 동 제정안대로라면 의료기기 중 위해도가 낮은 기기를 마음대로 미용사가 사용할 수 있도록 허용한다는 것인데, 이는 무면허자에게 의료기기 사용을 허용하는 것으로 국민의 건강에 심각한 위해를 초래할 우려가 있으며, 아무리 의료기기의 성능이나 스팩을 저감시켜 위해도를 낮추었더라도 의료기기가 유발할 수 있는 인체에 대한 침해성을 감안할 때, 반복적이고 지속적으로 사용할 경우 신체에 해부학적, 생리학적 변화를 초래할 수 있는 바, 의료인이 아닌 일반인이 무분별하게 의료기기를 사용할 수 있도록 규제가 완화될 경우, 이로 인한 국민 건강에 대한 위해성은 규제완화의 실익보다 훨씬 클 것이다.

아울러 의료분야의 경우 현재에도 대형병원 쏠림현상으로 일차의료가 고사 위기에 처해 있는 실정에서, 거대 자본을 보유한 대기업 및 법인 의료기관들에게만 유리한 규제 완화법안의 추진은 결국 의료양극화를 더욱 심화시키고 일차의료기관과 지역의료기관의 고사를 초래하게 될 것으로 우려된다.

이처럼 국민건강과 직결되는 핵심사항인 의료관련 분야에 대해 단순히 규제완화를 통한 수익창출이라는 경제적 목적에 매몰되어 잘못된 정책추진 및 입법을 방조한다면 이로 인한 피해는 고스란히 국민의 몫으로 돌아갈 것인바, 이에 대한의사협회는 ‘규제프리존 관련 특별법안’에서 국민의 건강권과 직결된 의료분야의 제외를 강력히 촉구하니 정책 및 입법 추진 시 이를 반드시 반영해 줄 것을 강조하는 바이다.

전략적 인력 계획

Workday Adaptive Planning 소프트웨어의 전략적 인력 계획 대시보드

조직의 인력 계획을 전략적 목표에 연계하는 것은 시작일 뿐입니다. 변화에 대응하려면, 운영 인력 계획을 인력 전략과 연계해야 합니다. Workday에서 해낼 수 있습니다.

Workday Adaptive Planning 소프트웨어의 전략적 인력 계획 액션 대시보드 요약

어떠한 상황에도 대비할 수 있는 인력 계획

복잡성을 처리하는 강력한 인력 모델 구축

재무 목표와 전략적 이니셔티브에서 비즈니스 운영 방식에 이르기까지 모든 것을 매핑하는 다차원 모델을 사용하여 인력 계획을 수립합니다.

조직 내외부의 변화에 대비하는 계획

조직이 향후 수요를 충족할 수 있도록 대비합니다. 구조 조정, 인수 합병 등 일회성 이벤트에 대한 시나리오를 포함한 전략적 목표를 수립합니다.

운영 인력 계획을 전략과 연계

채용 팀 및 HR 비즈니스 파트너와 협력하여 필요한 인재를 채용하거나 육성합니다. 기업 이니셔티브와 하향식 계획을 기준으로 상향식 비즈니스 운영 입력의 중요성을 평가합니다.

“부서 및 비즈니스 모든 전략 허용 리더로부터 모든 데이터를 수집하여 입력한 다음, 재무 팀과 HR 팀은 Workday Adaptive Planning을 통해 긴밀하게 협력하면서 필요한 모든 승인을 받고 채용 예산을 확보합니다.”

전략과 인력 계획의 결합

강력한 모델링

전사적 차원의 단일 통합 인력 모델을 유지 관리하고, 업무 수행 방식을 반영하여 개별 팀에 맞게 조정합니다.

무제한 모든 전략 허용 시나리오

현재 직원 역량으로 인재 요구사항을 관리하는 시나리오를 모델링합니다. 근무지 및 업무 적응 시간을 기준으로 삼아 인재 가용성 및 관련 비용을 고려하면서 채용, 리스킬링, 또는 업스킬링에 관한 의사결정을 내립니다.

대시보드 및 보고

역할에 따라 대시보드 및 특별 리포트에 공유 액세스하면서 모든 이해 관계자가 계획에서 더 나은 결과를 얻는데 필요한 인사이트를 확보합니다.

데스크톱 컴퓨터에 표시된 Workday PEX(People Experience) 홈페이지

필요한 모든 인재 인사이트 제공

Workday HCM(Human Capital Management)과 Workday 보고 및 분석의 실시간 인재 데이터를 사용하여 인력 계획을 작성합니다. Workday는 추가 컨텍스트 수집을 위해 Workday 이외의 데이터를 통합하고 증강 분석을 통해 누락된 인력 동향을 파악하여 거시적 관점을 제공합니다. 따라서 더 나은 계획을 수립하고, 현명한 의사결정을 할 수 있습니다.

모든 전략 허용

잠깐! 현재 Internet Explorer 8이하 버전을 이용중이십니다. 최신 브라우저(Browser) 사용을 권장드립니다!

  • 기사공유하기
  • 프린트
  • 메일보내기
  • 글씨키우기
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 기사공유하기
    • 프린트
    • 메일보내기
    • 글씨키우기
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사

      내달 1일부터 24시간 영업·사적모임 10명·접종자 행사 499명까지 가능
      무증상·경증환자 '재택치료'. 의료체계 붕괴 위험시 일상회복 일시 중단
      방역체계 '확진자 억제'→'위중증 관리'→'일상회복' 순으로 전환

      손영래 중앙사고수습본부 사회전략반장 25일 오후 2시 서울 한국프레스센터에서 열린

      손영래 중앙사고수습본부 사회전략반장 25일 모든 전략 허용 오후 2시 서울 한국프레스센터에서 열린 '코로나19 단계적 일상회복 이행계획 공청회'에서 위드 코로나를 위한 방역·의료분야 로드맵 초안을 공개했다. ⓒ의협신문

      오는 11월 1일부터 '위드 코로나(단계적 일상회복)을 시작된다.

      모든 영업장의 24시간 영업과 사적모임 10명, 접종자(2차 접종 완료) 행사의 499명까지 참석이 허용된다.

      완전한 일상회복을 위해서는 6주 간격으로 3단계에 걸쳐 방역완화 조치를 결정·시행할 예정이다. 위드 코로나 최종안은 오는 29일 확정·발표될 예정이다.

      ⓒ의협신문

      ⓒ의협신문

      중앙사고수습본부(중수본)는 25일 오후 2시 서울 한국프레스센터에서 열린 '코로나19 단계적 일상회복 이행계획 공청회'에서 이런 내용의 방역·의료분야 로드맵 초안을 공개했다.

      정부의 단계적 일상회복 계획은 6주 간격으로 3단계에 걸쳐 시행된다. 확진자 폭증 등 돌발 변수가 없다면 11월 1일 1단계, 12월 13일 2단계, 내년 1월 24일 3단계 개편이 시작된다. 3단계에서는 시설운영·행사·사적모임 관련 모든 제한이 사라진다.

      1단계 개편이 시작되는 내달 1일부터는 유흥시설을 제외한 모든 시설에서 24시간 영업이 가능해진다.

      유흥시설과 실내체육시설 등 감염위험이 높은 일부 시설은 백신 접종완료자나 PCR(유전자증폭) 진단검사 음성확인자만 드나들 수 있도록 '백신 패스'(접종증명·음성확인제)가 적용된다.

      사적모임은 접종 여부와 관계없이 전국적으로 10명까지 허용된다. 100명 미만의 행사는 조건 없이 허용되고, 100명 이상이면 백신 패스가 적용된다. 단체행사도 접종 완료자 기준으로 499명까지 허용된다.

      무증상·경증환자 '재택치료'. 확진자 폭증 시 일상회복 '중단'

      ⓒ의협신문

      ⓒ의협신문

      ⓒ의협신문

      ⓒ의협신문

      ⓒ의협신문

      ⓒ의협신문

      정부는 중환자실·입원병상 가동률이 80%를 넘는 등 의료체계 붕괴 위험이 감지되면 일상회복 전환을 잠시 중단하고 '비상계획'을 발동할 계획이다.

      의료 대응에서 70세 이상, 노숙인, 정신질환자, 투석환자 등을 제외한 무증상·경증 환자는 기본적으로 '재택치료'를 받고, 생활치료센터는 단계적으로 축소된다.

      일상회복 따른 확진자 급증 예상. 실내 마스크 착용 등 확진자 규모 통제

      일상회복에 따른 확진자 급증에 대한 대비책도 마련했다.

      접종완료율이 80%에 도달해도 국민 중 1100만명은 여전히 미접종 상태로 남게 되고, 접종완료자 역시 백신 효능 저하 문제, 변이 바이러스 계속 출현 등의 우려가 있기 때문.

      손영래 중수본 사회전략반장은 "전문가들은 방역수칙이 완화되면 필연적으로 확진자가 증가할 것으로 보고 정부도 동의한다"며 "아무리 단계적으로 완화해도 4차 유행이 축소에서 증가로 역전되는 것은 피할 수 없을 것"이라고 전망했다.

      실외 마스크 착용 의무는 2단계에서 폐지가 검토된다. 하지만 실내의 경우 마스크 착용은 일상회복 전 과정에서 핵심수칙이다.

      정부는 실내 마스크 착용과 전자출입명부·안심콜 등 핵심수칙을 바탕으로 지방자치단체 등의 방역강화를 통해 확진자 규모를 통제하겠다는 방침이다.

      방역체계 '확진자 억제'→'위중증 관리'→'일상회복'으로 전환

      ⓒ의협신문

      ⓒ의협신문

      정부는 전국민의 70%가 코로나19 접종(2차 접종)을 완료함에 따라 11월 1일부터 방역체계의 중심을 기존 확진자 억제에서 위증증환자 관리, 그리고 완전한 일상회복으로 전환한다.

      방역완화는 3단계로 추친되는데, 매 단계는 4주간의 이행기간과 2주간의 평가기간을 거쳐, ▲접종완료율 ▲중환자실·입원병상 여력 ▲주간 중증환자·사망자 발생 규모 ▲감염재생산지수 등을 종합적으로 평가해 다음 단계 이행 여부를 결정한다.

      유흥시설·요양병원 등에 '백신 패스'…12월엔 마스크 벗고 야외활동?

      일상회복은 1단계 '생업시설 운영제한 완화', 2단계 '대규모 행사허용', 3단계 '사적모임 제한 해제'라는 큰 흐름으로 진행된다.

      자영업자·소상공인의 고통을 고려해 생업시설 영업시간 규제는 다음달 1단계 개편에서 대부분 없어져 24시간 영업이 가능해진다. 유흥시설만 유일하게 1단계에서 밤 12시 영업제한을 받고, 12월 중순 2단계에서 시간제한이 풀린다.

      시설별로 위험이 다른 만큼 차별적인 조치가 적용된다. 우선 모든 다중이용시설에서 사적모임은 1∼2단계에서 접종자 구분 없이 10명까지 가능하고, 3단계에서는 제한이 없어진다. 다만 식당·카페의 경우 사적모임 인원은 역시 10명까지 가능하지만 미접종자 이용은 일부 제한된다.

      식당·카페의 영업시간 제한을 풀고 모임인원도 현행 8명(수도권 기준)에서 10명으로 늘리는 대신 미접종자 제한 인원(현재 수도권의 경우 4명까지 제한)은 1∼2명 축소해 계속 유지하겠다는 것이다.

      노래연습장, 목욕장업, 실내체육시설, 유흥시설, 경마·경륜·카지노 등 일부 다중이용시설과 의료기관·요양시설·중증장애인·치매시설, 경로당·노인복지관·문화센터 등 감염취약 시설에는 접종완료자나 음성확인자만 이용·면회가 가능하도록 한시적으로 백신 패스가 적용된다.

      대규모 행사는 1∼2단계에서 미접종자를 포함할 경우 100명 미만으로만 입장할 수 있다. 접종완료자나 음성확인자만 입장시킬 때에는 1단계에서 500명 미만으로 허용하고, 2단계에서는 인원 제한 없는 대규모 행사까지 허용한다. 3단계에서는 행사 관련 모든 규제가 없어진다.

      스포츠 경기장 좌석의 50% 입장을 허용하고, 접종자 전용구역에 한해서는 취식과 좌석 100% 이용을 허용하는 등 각 영역에서 접종 인센티브를 강화한다.

      한편 코로나19 일상회복지원위원회는 오는 27일 방역·의료를 포함해 경제·민생, 사회·문화, 자치·안전 분야의 일상회복 이행안을 정리하고, 이어 29일 중앙재난안전대책본부(중대본)가 최종적으로 방안을 마련해 대국민 발표할 예정이다.


0 개 댓글

답장을 남겨주세요