인프라는 점점 더 복잡해지는 중입니다. 그래서 보호해야 할 것이 늘어나고, 안전하지 못한 요소들로부터 사람들의 눈은 더 멀어지고 있습니다. 보안의 할 일이 많아진다는 좋은 소식일 수도 있고, 보안이 불가능해질지도 모른다는 안 좋은 소식일 수도 있습니다.
복잡한 시스템들일수록 보호하기가 힘들어집니다. 그런데 우리의 컴퓨팅 환경은 점점 더 복잡해지고 있습니다. 그러니 더 불안해지고 더 연약해지는 것입니다. 필자는 이 지면을 통해 복잡성과 보안성의 관계를 조금이나마 설명해보려 합니다. 또한 클라우드로 이주함에도 더 복잡해지는 이유와, 최근 대두되고 있는 보안 전략들이 가진 구멍들도 다뤄보겠습니다.
모든 면에서 복잡해지고 있다
먼저는 복잡한 게 보안에 어떤 악영향을 주는지 살펴보겠습니다. 즉 확장성이 주는 안 좋은 점들이 무엇인지 알아보자는 것입니다. 컴퓨터 시스템은 하드웨어인 기계, 소프트웨어인 애플리케이션, 그리고 사람의 연합으로 구성되어 있습니다. 이 세 가지 요소 모두 복잡성을 높이는 데 빠짐없이 기여합니다.
1) 하드웨어부터 보자면, 현대의 IT 환경은 이미 거대한 종류의 하드웨어들로 구성되어 있습니다. 그리고 이 하드웨어들은 점점 더 커지면서 많아지는 중입니다. 덩치가 작은 조직의 임직원들도 여러 가지 하드웨어들에 묶여서 일을 처리합니다. 클라우드, 온프레미스 데이터센터, 호스팅 대행 서비스, 스마트 장비들, 각종 차량 등 우리는 쉴새 없이 하드웨어들과 조우하는 생활을 하고 있습니다. 게다가 클라우드가 확장을 용이하게 해 주기 때문에 우리는 불편함 없이 하드웨어를 늘려갈 수 있게 됩니다.
2) 그렇다면 소프트웨어는 어떨까? 기술 스택(technology stack)이라는 개념이 있을 정도로 우리는 필요한 기술과 솔루션들을 겹겹이 쌓아두는 구성을 유지하고 있습니다. 쉽게 말해 우리는 수도 없이 많은 애플리케이션을 늘상 사용하고 있다는 것입니다. 워드프로세서에서 스프레드시트, 각종 메신저와 영화 감상 앱들, 이미지 편집 도구나 이메일 등 우리가 컴퓨터로 하는 모든 일들이 애플리케이션을 통해 이뤄지니 그럴 수밖에 없습니다. 그리고 더 많은 소프트웨어들을 계속해서 만들고 쌓기를 계속합니다. 이를 클라우드 환경에서도 그대로 가져가고 있습니다. 클라우드 네이티브 앱이 없다면 기존 앱을 이식하기도 하는데, 이 때 각종 설정 및 호환 문제가 생기기도 합니다.
3) 마지막 요소는 ‘사람’인데, 사람 역시 ‘확장’이라는 부분에 있어서 중요한 역할을 담당하고 있습니다. 특히 원격 근무 체제가 보편화 되면서 사람을 관리한다는 게 얼마나 어려운 일인지 보안 담당자들은 새삼스레 깨닫고 있습니다. 모두가 사무실 안에서 근무하던 때와는 전혀 다른 ‘확장성’이 필요한 때입니다. 여기에다가 인력난까지 겹치니 기업들 입장에서는 사람들을 통제하는 게 더 힘들어집니다.
이런 어려운 상황이지만 우리는 계속해서 확장할 수밖에 없는 운명입니다. 돌아갈 길은 아예 없습니다. 하드웨어, 소프트웨어, 사람 모두 더 복잡해져 갈 것이고, 따라서 IT 인프라는 더 복잡해질 것이며, 보안은 쉼 없이 약해질 것입니다. 그래서 여러 가지 전략과 대응책이 나오고 있는 상황입니다.
현존하는 대책들
그렇다면 기업이나 조직들은 이런 상황에 어떻게 대처하고 있을까요? 안타깝지만 모든 기술에 대한 대처법을 마련할 수 있는 조직은 존재하지 않습니다. 그래서 어느 정도 ‘완화’로만 만족하면서 살아가는 법인데, 그 중 일부를 예로 들면 다음과 같습니다.
1) 네트워크 외곽선의 경계를 철저히 한다 : 어쩌면 가장 인기 높은 방어 전략입니다. VPN이나 방화벽을 통해 논리적으로 가장 바깥에 있는 부분(즉 외부에서 내부로 들어올 때 통과하는 부분)만을 보호하는 방식을 말합니다. 이 전략의 가장 큰 단점은 외부에서 내부로 들어올 때 통과하는 지점들을 100% 안전하게 보호할 수 없고, 그렇기에 언젠가는 뚫리며, 그랬을 때 속절없이 무너질 수 있다는 것입니다.
2) 공유된 크리덴셜을 적극 활용한다 : 크리덴셜을 공유하면 엔지니어링 팀의 생산성을 효율적으로 늘릴 수 있게 됩니다. 물론 아무 계정의 크리덴셜을 공유하는 게 아니라 개발, 유지, 관리 작업에 필요한 계정들을(예 : 리포지터리 계정 등) 대상으로 하는 건데, 확장에 손쉽게 대처할 수 있다는 장점을 가지고 있는 전략입니다. 하지만 이는 예를 들어 전 근무자의 접속을 막기가 힘든 방법이며, 따라서 보안성을 크게 낮추는 전략입니다. 크리덴셜이나 계정 모두 전혀 관리가 되지 않는 방법이기 때문입니다.
3) 규정을 통한 행정 관리를 시도한다 : 매일 확장되는 인프라 환경에 기술적으로나 전략적으로 대응하기 힘들 때 많은 조직들이 규정을 새롭게 만들어 조직 전체를 압박하며 사고의 가능성을 줄이기 시작합니다. 이는 생산성을 낮추고, 직원들의 업무 만족도를 크게 떨어트리며, 개개인이 규정 우회 방법을 개발하도록 부추기는 효과를 낳습니다. 최악의 대응이라고 볼 수 있습니다.
제로트러스트
이러한 상황을 보안 업체들은 아주 잘 알고 있습니다. 그러면서 제로트러스트라는 개념을 강조하기 시작했습니다. 확장 한 길로만 가는 현재 상황에서 제로트러스트 만큼 근본적으로 보안 문제를 해결해 주는 방안은 아직 없습니다. 물론 제로트러스트가 그 자체로 ‘해결책’인 것은 아닙니다. 구조적으로 지금의 문제를 다루게 해 주는 접근법의 일종입니다. 이름 그대로(‘신뢰 0’) 그 어떤 요소들도 믿지 않는다는 개념으로, 모든 걸 꼼꼼하게 확인한 후에 통과시키겠다는 네트워크 운영 기조를 표현합니다.
클라우드 네이티브 환경을 구축하고, 그 위에서 운영되는 조직들이라면 최근 ‘아이덴티티 기반 보안’의 방향으로 가고 있습니다. 쉽게 말해 회사 네트워크 내에 있는 파일을 열람하려면 반드시 로그인을 통해 신원을 확인시켜줘야 한다는 것입니다. 원래라면(위의 세 가지 전략을 사용하고 있다면 높은 확률로) 그냥 통과되는 경우가 많은데, 제로트러스트는 그러한 상황을 전면에서 막아줍니다.
앞으로 하드웨어, 소프트웨어, 사람이라는 IT 아키텍처의 3요소는 계속해서 증가할 전망입니다. 복잡해지는 것을 막을 길도 없고 되돌릴 길은 더더욱 없습니다. 이는 보안 업계가 앞으로 할 일이 기하급수적으로 늘어날 거라는 뜻이고, 그 중 가장 중요한 건 기존의 보안 전략에서 탈피하는 것이 될 것입니다. 얼마나 빠르게 하느냐가 관건입니다.
출처 : 보안뉴스,Background vector created by rawpixel.com – www.freepik.com, 정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단