# 최근 해커조직 랩서스는 삼성전자와 LG전자, 엔비디아 등에 이어 미국의 통신기업인 T모바일까지 해킹에 성공했다. 그런데 랩서스의 해킹 비결은 의외로 단순했다. 고객센터에 계정정보를 잊어버린 척 문의하거나 온라인에 이미 해킹당한 내부 직원 정보를 무작위 대입해 시스템에 접근한 것이다. 랩서스 사례는 굴지 대기업조차도 방심하면 언제든 해킹 공격에 무력화될 수 있음을 보여준다.
29일 IT(정보통신) 업계에 따르면 최근 랩서스 사건 등 잇딴 해킹 사고로 새로운 보안원칙인 '제로트러스트(Zerotrust)'가 주목받고 있다. 제로트러스트는 외부 공격을 차단하는데 집중하는 기존 보안정책과 달리 처음부터 '어떤 누구도 믿지 않는다'는 관점으로 모든 네트워크와 시스템을 운영하는 것을 뜻한다. 어떤 계정과 장비를 사용하든, 내부 직원이라도 사전에 허락받지 않고는 절대 내부 시스템에 접근할 수 없게 된다. 코로나 팬데믹 이후 원격근무와 비대면 서비스가 폭증하는 가운데 보안 취약점이 속속 드러나자 아예 보안의 기본원칙부터 전면 재검토하자는 것이다.
제로트러스트의 핵심은 시스템 운영원칙에서 '신뢰'라는 개념 자체를 빼는 것이다. 2010년 제로트러스트라는 개념을 처음 제안한 글로벌 리서치기업 포레스터 리서치의 존 킨더백(John Kindervag) 수석 애널리스트는 제로트러스트를△모든 사용자, 장치 등의 기본 신뢰수준을 제로(0)로 설정하는 것 △액세스(접근권한)는 최소한으로 제공할 것 △보안 모니터링 대상을 전체 시스템으로 확대하는 것 등으로 정의했다. 모든 업무용 시스템은 사전에 허가받은 사용자와 기기, 그리고 신뢰할 수 있는 네트워크로만 접속할 수 있으며 시스템에 대한 모든 접근 및 활동기록을 남겨야 한다는 것이다.
제로트러스트는 코로나 팬데믹을 계기로 기존 산업과 서비스의 디지털 전환 움직임이 빨라지면서 재조명받고 있다. 기업은 물론 일상 곳곳에도 CCTV에서 드론, 사물인터넷(IoT) 등 각종 IT기기가 포진해있어서다. 그만큼 외부에서 접근할 수 있는 보안 취약점이 폭증한 것이다. 업계에 따르면 여전히 많은 IT시스템은 아이디(ID) 기반 로그인 방식이나 외부 접근을 차단하는 방화벽과 백신 등 전통적 보안 시스템을 고수한다. 달리말하면 한번 장벽을 넘기만 하면 이후엔 안방 드나들듯 해커가 내부 시스템을 오갈 수 있게 되는 것이다.
블록체인 데이터 플랫폼 기업 체이널리시스에 따르면 지난해 전 세계 랜섬웨어(몸값과 소프트웨어의 합성어로, 데이터를 암호화한 뒤 돈을 요구하며 협박하는 사이버 공격) 피해액만 6억200만달러(약 7486억원)로 6년 전인 2016년(2400만 달러)보다 25배 넘게 증가했다.
제로트러스트는 또다른 보안 리스크인 '내부 직원을 통한 정보유출'을 막는 방법으로도 꼽힌다. 랩서스의 해킹 수법 중 하나는 내부 직원과 협력업체에게 돈을 주고 시스템 접근에 필요한 크리덴셜(자격증명)과 계정 정보를 구입한 것이었다. 한 보안업계 관계자는 "만약 제로트러스트가 도입됐더라면 허가받지 않은 IP(인터넷 주소)를 이용한 비정상적인 접근이나 활동으로 판단하고 차단할 수 있었을 것"이라고 말했다.
최근 사이버 보안위협이 기승을 부리자 제로트러스트 중심으로 보안 패러다임을 전환하려는 움직임도 빨라졌다.
지난해 글로벌 클라우드 솔루션 기업 옥타가 아시아 태평양 지역 기업의 보안정책 의사결정권자 300여명을 대상으로 조사한 결과 82%가 1년 내에 제로트러스트 기반 보안정책을 시작할 계획이라고 답했다. 이 중 한국 기업의 경우, 설문시점 기준으로 제로트러스트 보안정책을 시행하고 있다는 응답률(4%)은 낮은 편이나, 2년 내에 시행하겠다고 답한 비율(96%)은 아태 지역 국가 중 가장 높았다.
미국은 2024년 9월까지 모든 행정기관 내 시스템과 네트워크, 데이터 등에 제로트러스트 원칙을 적용할 계획이다. 이에 따라 미국 정부에 시스템을 제공하는 민간 클라우드와 솔루션 기업들 역시 서비스를 제로트러스트 기반으로 업데이트 중이다. 우리 정부도 최근 제로트러스트 정책 도입을 목표로 사전 연구에 착수했다. 또 다른 보안업계 관계자는 "기업의 소중한 자산을 보호하려면 제로트러스트 관점에서 모든 시스템 운영원칙을 재점검해야 한다"며 "제로트러스트는 선택이 아닌 필수"라고 말했다.
