제로트러스트 피로감
지난 12월, '제로트러스트 가이드라인 2.0' 이 발간되었습니다. 가이드라인 1.0 발간 후 약 1년이 지난 시점입니다. 2.0은 1.0 대비 내용이 구체화되었습니다. 실증사업의 내용이 추가되고 체크리스트를 제공하는 등 제로트러스트를 보다 체감할 수 있게 하려는 필진의 노력이 느껴집니다. 올해 1월 ‘국가망보안체계 가이드라인(N2SF)’ 이 발간되었습니다. 제로트러스트를 활용한 통제항목의 오버레이를 언급하고 있습니다. 제로트러스트의 중요성과 더불어 도입 및 확산의 의지가 엿보입니다. 그러나 시장의 반응은 여전히 싸늘해 보입니다. 이론은 더 복잡해졌고 실증사업의 내용은 우리 기관/기업에 적용하기에 뭔가 충분하지 않습니다. 체감할 수 있는 구체적인 전환 방법이나 성공사례가 없다는 지적이 이어집니다. 제로트러스트가 채 정착되기도 전에 우리는 피로감을 느끼기 시작했습니다.
오버레이(Overlay)
이런 가운데 최근 정보보호 업계에서 ‘제로트러스트 오버레이’ 에 대해서 언급하기 시작했습니다. 오버레이의 사전적 의미는 ‘무엇의 표면을 (완전히)덮어씌우다’ 라는 뜻입니다. IT 분야에서 대표적인 사용 예로 ‘오버레이 네트워크(Overlay Network)’ 가 있습니다. 오버레이 네트워크란 물리적인 네트워크 위에 만들어지는 가상의(Virtual) 네트워크를 의미합니다. 스위치나 라우터 등으로 구성된 물리적인 네트워크 환경(Underlay)은 효율이 낮고 유연하지 않으며 보안에 취약한 부분이 존재합니다. 이를 개선하기 위해 물리적 환경 위에 가상의 환경을 구성하여(덮어서) 보완하게 됩니다. SD-WAN(Software Defined-WAN), VxLAN(Virtual eXtensible LAN), GRE(Generic Routing Encapsulation), IPSec(Internet Protocol Security) 등이 대표적인 오버레이 네트워크입니다.
정보보안의 관점에서 오버레이란 일반적인 사이버보안 위험관리 프레임워크(RMF, Risk Management Framework) 보안 요구 사항을 특정한 운영환경, 예를 들어 클라우드 또는 국가안보시스템(NSS, National Security System) 등에 맞게 적용할 때 사용될 수 있는 추가적인 보안요구 사항의 변형세트라고 할 수 있습니다. 일반적인 RMF는 폭넓게 사용될 수 있으나 모든 환경에 일괄적으로 적용하기는 어려울 수 있습니다. 따라서 특정 산업(국방, 금융 등)에 맞춤형 보안 조치가 요구되거나 새로운 기술(클라우드 및 IoT 등)에 대한 보안요구 사항을 반영해야 할 때 오버레이를 적용할 수 있습니다.
이러한 이유로 NIST(National Institute of Standard and Technology, 미국 국립 표준 기술연구소)와 미국 연방 기관들은 특정 환경을 위한 다양한 오버레이를 개발해 왔습니다. 예를 들어 국방산업 오버레이(DoD Manufacturing Overlay), 국가안보 시스템 오버레이(NSS Overlay), 클라우드 보안 오버레이(FedRAMP 와 연계) 등이 존재합니다.
DoD(미국 국방부)의 제로트러스트 도입
그럼 제로트러스트와 오버레이는 어떻게 관련이 있을까요? 이 주제와 동시에 언급되는 것이 DoD의 사례입니다. DoD는 제로트러스트로 전환을 준비해야 하는 정부기관 입니다. 국가 사이버 보안 개선을 위한 행정명령(EO-14028) 이후 DoD가 발간한 주요 문서를 살펴보면 어떠한 절차와 순서로 제로트러스트 전환을 준비하는지를 유추할 수 있습니다.
시기 | 제목 | 주요 내용 |
‘22년 07월 | DoD Zero Trust Reference Architecture v2.0 | DoD의 Zero Trust 구현을 위한 기본 아키텍처와 원칙을 정의 |
‘22년 11월 | DoD Zero Trust Strategy | ‘27년까지 제로트러스트 목표달성을 위한 실행 전략 및 단계 설정 |
‘22년 11월 | DoD Zero Trust Capability Execution Roadmap (COA 1) | 제로트러스트 전략을 실행하기 위한 단계별 로드맵 및 목표 수준 설정 |
‘24년 06월 | DoD Zero Trust Overlays (v1.1) | 제로트러스트 구현을 위한 보안 통제 및 적용 방법론을 세부적으로 설명 |
[DoD의 제로트러스트 관련 문서]
DoD는 행정명령(EO-14028) 및 국가보안각서(NSM-8) 등의 최상위 정책 및 문서에 근거하여 ‘전략 수립 - 아키텍처 정의 - 실행 로드맵 수립 - 보안통제 적용’ 의 순서로 진행되고 있음을 알 수 있습니다. 이러한 문서를 통해 DoD의 제로트러스트 적용이 이제 설계를 마무리하고 적용을 위한 실제 통제항목의 선정 단계에 도달했음을 알게 해 줍니다.
적용의 단계로 제로트러스트 오버레이를 이해하기 위해서는 두 가지를 이해할 필요가 있습니다. 첫째, 보호되어야 하는 대상, 즉 주요요소(Pillars)와 각 요소에 요구되는 (보안)역량, 즉 Capabilities입니다. DoD는 ‘Zero Trust Strategy’ 문서를 통해 아래와 같이 주요 Pillar 와 Capabilities를 정의하고 있습니다.
[DoD Zero Trust Capabilities, DoD Zero Trust Strategy]
둘째, Capability(역량) 확보를 위한 목표(Target)입니다. 여기서 DoD는 목표의 실행 수준(activity level)을 제시합니다. 기본 목표(target)와 향상된 목표(advanced)*가 그것 입니다. 예를 들어 User 항목의 제로트러스트 역량을 확보하기 위해서 ‘1.1사용자 인벤토리 와 1.7최소권한’ 을 기본 목표로 하며 향상된 목표로 ‘1.2조건부 사용자 접근과 1.3 다중사용자 인증’ 등을 정의합니다. 기타 나머지 대상에 대한 목표와 향상된 목표를 확인할 수 있습니다.
(* 정확히 Target은 ZT 도입의 Phase I 또는 II 단계에서 적용되어야 하며 그 시한은 2027년을 의미 합니다. Advanced 는 Phase III 또는 IV 단계 또는 더 높은 보안 수준의 적용의 필요를 의미 합니다.)
[DoD Zero Trust Capabilities (Target and Advanced Level)]
이제 항목별 목표를 달성하기 위해서 구체적인 통제항목(Control) 또는 기술 등이 필요하다고 예상할 수 있습니다. 이를 위해 DoD는 ‘NIST SP 800-53’ 표준을 참조하게 됩니다.
이건 또 뭐람, NIST Special Publication 800-53 Rev. 5
이 문서의 제목은 ‘Security and Privacy Controls for Information Systems and Organizations’ 입니다. 번역하자면 ‘정보시스템 및 조직을 위한 보안 및 개인정보보호 통제’ 정도로 해석할 수 있을 것 같습니다. 제목에서 유추할 수 있듯이 (정보)보안과 개인정보보호를 위한 통제(Controls) 항목이 나열된 카탈로그(Catalogue) 입니다. 약 500 페이지 분량으로 언제 다 읽어보나 싶지만 첫 20여 페이지를 제외한 나머지는 다양한 통제에 대한 나열입니다. 즉 필요한 부분을 찾아서 참고하면 되는 식으로 구성되어 있습니다.
문서는 총 1,512개의 통제항목으로 나열되어 있으며 계층적으로 아래와 같이 구성되어 있습니다.
- 20개의 통제 그룹 (Control Families, 아래 통제 항목의 조합)
- 323개의 기본 통제 항목 (Base Controls)
- 1,189개의 향상된 통제 항목 (Control Enhancements, 기본 통제 항목의 파생)
통제그룹은 기본 통제항목과 향상된 통제항목으로 구성되어 있습니다. 전체 통제 그룹과 그에 따른 통제 항목의 수는 다음과 같습니다.
ID | 통제 그룹 / 통제 항목 수 | ID | 통제 그룹 / 통제 항목 수 |
AC | Access Control / 26 | PE | Physical and Environmental Protection / 7 |
AT | Awareness and Training / 5 | PL | Planning / 8 |
AU | Audit and Accountability / 16 | PM | Program Management / 32 |
CA | Assessment, Authorization, and Monitoring / 12 | PS | Personnel Security / 8 |
CM | Configuration Management / 17 | PT | PII Processing and Transparency / 20 |
CP | Contingency Planning / 14 | RA | Risk Assessment / 8 |
IA | Identification and Authentication / 13 | SA | System and Services Acquisition / 24 |
IR | Incident Response / 10 | SC | System and Communications Protection / 57 |
MA | Maintenance / 7 | SI | System and Information Integrity / 26 |
MP | Media Protection / 9 | SR | Supply Chain Risk Management / 11 |
[통제그룹과 통제항목의 수]
아래 내용은 개별 통제 항목의 구성을 나타냅니다. 각각의 통제 항목은 아래와 같이 구성되어 있습니다.
[Control Structure]
‘AU-4 Audit Storage Capacity’ 는 감사(Audit)용 저장장치의 용량과 관련된 통제 사항을 기술하고 있습니다. (조직에서 감사업무가 필요할 때) 감사의 유형과 요구사항에 따라 감사기록을 저장할 수 있는 용량을 할당할 것을 요구하고 있습니다(기본 통제). 추가로 이러한 감사기록을 감사 중인 시스템과 분리하여 다른 시스템에 저장(Off-load)할 것을 요구할 수 있습니다. (향상된 통제)
통제 항목을 하나 더 살펴보겠습니다. ‘AC-2 Account Management’ 항목은 기본 통제 항목으로 ‘a. 사용 가능, 불가능한 계정의 정의, b. 관리자 계정의 지정, c. 그룹과 역할의 지정’ 등 a. 부터 i. 까지 12가지의 통제 항목을 보여 줍니다.
[AC-2 Account Management 중 기본통제(Base Control)]
또한 향상된 계정관리의 방법으로 별도의 시스템을 통하여 자동으로 생성, 수정, 삭제 등의 기능을 제공할 것을 언급하고 있습니다 (향상된 통제). 이러한 향상된 통제항목은 기본 통제와 연관 / 확정되거나 또는 해당 통제 그룹(Control Family)의 향상된 보안을 위해 기술되고 있습니다.
[AC-2 Account Management 중 향상된 통제(Control Enhancement)]
1,200여 개에 달하는 이러한 통제항목은 미국 연방정부의 정보시스템에 적용되는 표준이며 광범위하게는 사이버보안 위험관리 프레임워크(RMF, Risk Management Framework)에 사용됩니다. 뿐만 아니라 FedRAMP(Federal Risk and Authorization Management Program), CMMC(Cybersecurity Maturity Model Certification)와 같은 정보보호 관련 규제(Compliance) 대응을 위한 통제 항목으로 사용됩니다.
DoD(Department of Defense) Zero Trust Overlays
이제 DoD의 제로트러스트 오버레이에 대해 살펴볼 차례입니다. 이것은 DoD에서 운용되고 있는 보안 프레임워크에 새로이 제로트러스트 프레임워크를 적용(오버레이) 하기 위한 내용을 담고 있는 문서입니다.
DoD는 해당 문서에서 ‘오버레이란 전문가에 의해 합의된 통제항목(Control)의 집합’ 이라고 명시하고 있습니다. 이 문서는 앞서 언급한 ‘DoD Zero Trust Reference Architecture’ 및 ‘DoD Zero Trust Capability Execution Roadmap (COA 1)’ 문서를 기반으로 제로트러스트 오버레이를 뒷받침하는 ‘핵심요소(Pillars), 역량(Capabilities)*, 지원요소 및 지원활동과 결과’ 에 대해서 설명하고 있습니다.
(* 역량은 어떠한 활동을 수행하는 방법과 수단을 활용하여 원하는 결과를 달성하는 능력을 의미 합니다. )
오버레이 문서는 DoD가 이러한 역량을 갖추기 위해 어떠한 통제항목(Control)이 필요한지를 규정하고 있으며 NIST SP 800-53문서의 통제항목(Controls)을 이용해 할당(Mapping) 하고 있습니다. 추가로 DoD기관의 성격을 고려하여 ‘국가안보시스템(NSS, National Security System)’ 의 보안 요구사항* 등을 참고하며 ‘Pillar - Capability - Activity’ 의 계층적 구조에 따라 통제항목이 할당되는 구조로 기술되고 있습니다.
(*CNSSI No. 1253, Categorization and Control Selection for National Security Systems, 이는 미국 내 국가안보시스템(NSS) 에 대한 보안 요구사항을 정의하고 적용할 보안 통제를 선택하는 방법을 제시한 문서 입니다. 예를 들어 ‘극비문서(Top Security)를 취급하는 시스템은 ‘High(높음)’ 로 분류하고 더 강력한 접근제어와 암호화’ 등을 요구합니다.)
아래 표는 DoD의 제로트러스트 핵심 요소(Pillar) 에 할당되는 통제항목을 보여 줍니다. 통제항목 할당을 위해 ‘NIST SP 800-53’ 에서 언급된 20개의 통제 그룹(Control Family) 전체에 대한 기본 통제(Basic Control) 와 향상된 통제(Control Enhancement)에 대하여 요구(해당) 되는 통제항목을 X 표시로 나타내고 있음을 알 수 있습니다.
[Allocation of Access Controls to Zero Trust Pillars]
각각의 핵심 요소(Pillar) 는 다시 제로트러스트를 위한 역량(Capability)을 요구합니다. 앞에서 우리는 DoD 가 정의한 Pillar 와 Capabilities에 대해서 살펴보았는데 다시 ‘DoD ZeroTrust Capability Execution Roadmap(COA1)’ 문서에서 각 Pillar 별로 Capability를 확보하기 위한 Activity 와 Level을 명시하는 것을 확인할 수 있습니다.
다시 말해 해당 역량을 갖추기 위한 구체적인 활동(Activity)을 수준(Level) 별로 나누고 있습니다. 예를 들어 ‘사용자(User)’ 항목의 ‘1.2 Conditional User Access’ 역량확보를 위해 ‘1.2.1 애플리케이션 기반의 권한부여 와 ‘1.2.2역할기반 동적 접근통제’ 활동을 Phase I, II 기한(target) 내 충족시킬 것을 명시하고 있습니다.
[Capabilities break down into activities with associated ZT Levels]
오버레이 문서의 핵심은 이러한 역량을 갖추기 위해 어떠한 통제항목(Control)이 필요한지를 ‘NIST SP 800-53’ 문서의 통제항목을 이용하여 할당하고 있다는 점 입니다. 따라서 ‘Pillar - Capability - Activity’ 의 계층적구조에 따라 통제항목이 할당되고 있습니다.
아래 표는 사용자 요소(User Pillar)에서 요구되는 역량(Capability)을 통제항목과 매칭한 내용 입니다. 핵심 요소(Pillar) 에서 역량(Capability)으로 한 단계 더 세분화되었습니다. 완료 시점을 의미하는 ‘Activity Level’ 과 진행 순서를 포함하는 ‘Phase’ 가 명시된 것을 확인할 수 있습니다.
[Controls Applicable to the User Pillar and Supporting Capabilities]
역량(Capability)은 다시 활동(Activity)으로 세분화될 수 있습니다. 예를 들어 ‘1.2 Conditional User Access’ 항목에 대한 통제항목(Control) 다시 아래와 같이 할당될 수 있습니다.
[Conditional User Access Applicable Controls]
Activity Level에서 비로소 구현(Implementation)과 관련된 내용을 확인할 수 있습니다. 예를 들어 해당 활동이 조직 내 어디까지 영향을 미치는지, ‘전체(Enterprise, ET) 인지 일부(Enclave, EC)’ 인지를 규정합니다. 또한 통제항목의 구현이 ‘시스템(System, S)을 통한 기술적 조치인지, 조직(Organization, O)의 규정에 의한 비 기술적 조치인지 아니면 모두’ 인지 등을 명시하고 있습니다. 마지막으로 Discussion 을 통해 해당 통제와 연관된 선행활동(Predecessor)과 후속활동(Successor)*에 대해서 언급하고 있습니다.
(* 문서에는 각 요소(Pillar)별 통제항목을 할당하기 전에 역량을 위한 통제항목 간의 순서를 명시하고 있습니다.)
이제 문서는 User(Appendix C)를 지나 Device(Appendix D), Application 등 DoD가 정의한 7개 요소(7 Pillars: User, Device, Application, Data, Network, Automation, Visibility)에 대해 계층적으로 Capability 와 Activity를 명시하며 이를 구현하기 위한 통제항목(Control)을 할당하고 있습니다.
아마도 이후의 작업은 (보안)솔루션/서비스의 기능을 분석하고 이를 통제항목(Control)에 할당(Mapping)하는 작업이 아닐까 예상해 봅니다. 이러한 내용이 또 다른 문서로 발간될지는 모르겠습니다. 그러나 ‘DoD Zero Trust Capability Execution Roadmap (COA 1)’ 문서에서는 제로트러스트 베이스라인을 위해 ‘브라운필드(Brownfield) 방식’을 적용할 것을 명시하고 있습니다. 이것은 경영학에서 사용되는 용어인데 이미 설립되어 있는 회사 또는 인프라를 인수하여 운영하는 형태를 의미합니다. 따라서 기 보유중인 IT 인프라나 보안 솔루션/서비스를 활용하는 접근법일 가능성을 암시하고 있습니다.
한국의 제로트러스트 오버레이
2024년 12월, ‘제로트러스트 가이드라인 2.0’ 이 발간되었으나 오버레이에 대한 내용이 언급되어 있지는 않습니다. 이것은 가이드라인이 특정 산업이나 영역을 대상으로 하지 않는다는 것을 암시해 줍니다. 반면 ‘국가 망 보안체계 보안 가이드라인’ 에는 국가 망 보안 체계 기반 제로트러스트 적용 방법으로 RMF 가 제공하는 오버레이의 개념을 소개하고 있습니다. 이는 해당 가이드라인이 국가 공공기관을 대상으로 하는 것으로 오버레이의 개념을 활용한 것은 적절했으나 그 내용이 너무 적어(1페이지) 실제 참고가 될지는 아쉬운 부분이 있습니다. (이 글을 쓰게 된 계기 이기도 합니다.)
오버레이는 특정한 환경과 요구사항을 반영하기 위한 기존 체계의 변형된 적용이라고 할 수 있습니다. 만약 국내의 공공기관이 제로트러스트를 도입하게 된다면 첫째, 해당 기관에 적용되는 법령, 규정 등을 준수하면서 둘째, 기관이 보유하고 있는 솔루션이나 서비스를 활용하는(Brownfield) 방법을 고민해야 할 것입니다. 이것이 오버레이의 핵심입니다. 이러한 접근을 한국과 미국을 비교하자면 아래와 같이 비교*될 수 있을 것 같습니다.
(*각 항목이 정확하게 1:1로 비교되는 것은 아닙니다. top-Down 방식의 계층적 이해를 돕기 위해 작성된 사례 입니다.)
[오버레이를 위한 계층적 비교 예시]
DoD는 이러한 상황에서 제로트러스트 적용을 위해 앞서 언급한 문서를 하향식(top-down)으로 발간했다고 보여집니다. 이러한 상황은 국내 기관, 기업 역시 크게 다르지 않다고 생각합니다. 다만 이러한 내용을 모두 반영하여 ‘법/기준 에서부터 솔루션/서비스’ 에 이르는 오버레이 마스터 플랜을 자체적으로 수립하는 것은 많은 노력과 시간이 필요할 것으로 예상됩니다.
이러한 관점에서 최근 정보보안 업계의 제로트러스트 오버레이에 대한 행보는 흥미롭습니다. 이것은 앞서 DoD의 사례가 하향식(top-down)으로 전개되는 것과 다르게 상향식(bottom-up)으로 접근하는 사례가 다수 관찰됩니다. 주요 내용은 각 사가 보유한 보안 솔루션 및 서비스를 기능 / 기술로 분류하고 이를 다시 역량 / 통제 항목과 할당(mapping) 하는 것입니다. 아래의 표는 지니언스㈜가 보유한 ‘NAC / ZTNA / EDR’ 솔루션의 각 기능을 N2SF의 통제 항목에 할당 및 비교한 내용입니다.
[지니언스 솔루션과 N2SF 통제항목과의 비교]
이러한 기능의 비교 및 할당이 제로트러스트를 위한 통제항목의 정답이라고 할 수는 없습니다. 특정 기능(예, 사용자 인증 관리 등)은 다수 솔루션의 공통된 기능이며 특정 벤더의 주장은 다른 벤더에 의해 동의되지 않을 수도 있습니다. 벤더에 의한 편향(Bias)된 의견이 포함될 수도 있습니다. 그러나 다양한 벤더의 이러한 노력은 상용 솔루션의 기능을 이해하고 상향 평준화, 표준화하는데 기여할 것입니다. 더불어 기관에서는 기술과 통제항목의 이해도를 높이고 이를 역량(Capability)으로 확대하는 데 도움이 될 것입니다.
이제 ‘역량 – 기능 – 솔루션’ 에 대한 부분은 해결의 방향으로 가고 있는 것 같습니다. 나머지 ‘법 – 도메인 – 프레임워크’ 에 대한 부분은 어떻게 해결될 수 있을까요? 아마도 ‘컨설팅’ 영역에 새로운 기회가 생기지 않을까 예상해 봅니다. 이를 통해 지금의 정보보호 컨설팅 시장이 더욱 커지고 다양한 사업자를 초대하는 마중물이 됨과 동시에 국내 제로트러스트 시장이 더욱 활성화되기를 기대합니다.
글쓴이. 이대효 실장
지니언스 전략마케팅실을 담당하고 있습니다. 회사의 성장전략을 수립하고 실행합니다.