엔 비 디 아 삼성 MS는 왜 10대 해커 조직에 당했나

전통 보안 체계의 한계 웹 서버·데이터 시스템까지 신원 위조에 취약 아무도 믿지 마라 제로 트러 스트 보안 패러디임 전환 확산 최 영준 KISA 팀장 "가이드라인 1.0 버전 이어 2.0도 준비 중"보안 업체들과 실 증 中  

 

최 영준 KISA 정책 대응 팀장이 15일 광화문 인근에서 기자들과 만나 제로트러스트가이드라인에 대해 설명하고 있다.사진 KISA 제공지난해 엔 비 디 아, 마이크로 소 프트(MS), 삼성 전자, LG전자 등 글로벌 대형 정보 기술(IT) 기업이 연달아 해킹 공격을 받아 일부 회사 정보가 유출되는 사고가 발생했다. 영국·브라질 출신 10대 들 이 핵심 멤버인 것으로 알려진 신생 해커 그룹 랩 서 스 가 벌인 일이다.

이들은 엔 비 디 아 시스템에 침입해 그래픽 처리 장치(GPU) 회로를 포함한 기밀 데이터 1테라바이트(TB)를 훔치고, 삼성 전자를 해킹해 190기가바이트(GB)에 이르는 갤 럭 시 소스 코드를 빼냈다. LG전자에서는 임직원 이메일 계정·비밀번호 약 9만 건을 탈취하고 MS에서 빙, 코 타 나 소스 코드를 들고 나왔다.

랩 서 스 의 해킹 방식은 다 크 웹, 피싱 이메일, 가짜 웹 사이트 등을 통해 공격 타깃 기업 임직원 계정 정보(아이디·패스워드)를 취득한 후, 내부 기밀 정보를 탈취한 것으로 알려졌다.

첨단 보안 시스템과 전문 인력을 갖춘 글로벌 대기업들이 나이 어린 해킹 조직에 속수무책으로 당했던 이유는 뭘까. 전문가들은 전통적인 보안 체계의 한계라고 입을 모은다. 근본적인 보안 패러다임을 바꾸지 않는 한 이런 사고들은 반복될 수 밖에 없다고 지적이다.

최 영준 한국인터넷진흥원(KISA) 미래 정책 연구실 정책 대응 팀장은 "코로나 19 확산 이후 비 대면·디지털 전환 가속화, 지능 화 기술 확산 등에 따라 기존 보안 체계로는 막기 어려운 사이버 공격이 출현하고 있다"며 "제로 트러 스트(Zero Trust) 보안 모델이 전세계적으로 주목 받고 있는 이유"라고 말했다.

제로 트러 스트 보안 모델은 말 그대로 '아무도 믿지 말라'는 원칙을 기본 전제로 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다.

기존 전통적인 보안 체계는 '입구만 잘 지키는' 형태다. 내부 망과 외부 망 사이에 보초를 세우고 접근 권한이 확인된 사용자를 내부 시스템에 들어올 수 있도록 하는 형태다. '경계 기반 보안 모델' 이라고 도 부른다. 

  

침입자가 내부자와 공모하거나 내부자 계정을 탈취할 경우가 문제다. 만약 신원 확인 과정만 통과할 경우 내부 서버·컴퓨팅 서비스·데이터 등에 추가 인증 없이 접근할 수 있다. 해커 입장에선 '문만 열면 끝'인 셈이다.

반면 제로 트러 스트 보안 모델은 시스템 관문마다 문지기를 세운다. 서버, 컴퓨팅 서비스·데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫려다 해도 다른 시스템은 지킬 수 있다. 신원이 확인된 사용 자라할 지라도 최소한의 접근 권한만 부여하고, 다양한 추가 인증 절차를 두기 때문에 내부자와의 공조도 쉽지 않다.

이 때문에 미국, 유럽 등에서는 다 양 화 ·지능 화 되는 사이버 위협에 대응할 수 있는 보완 수단으로 제로 트러 스트 보안 모델을 앞다퉈 도입하고 있다.

우리 정부도 지난 7월 '제로 트러 스트 가이드라인 1.0을 마련해 발표했다. 가이드라인은 제로 트러 스트 기본 개념과 핵심 원칙, 접근 제어 원리 등이 담긴 '제로 트러 스트 보안 백서'다.

특히 아이디, 패스워드 외 다양한 인증 정보를 활용하는 '인증 체계 강화' 각각의 IT자원을 단독 적으로 배치하고 각종 접근에 대해 지속적으로 검증하는 '마이크로 세 그 멘 테 이 션(Micro Segmentation)' 소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만드는 '소프트웨어 정의 경계'등 핵심 원칙을 준수해 구현하도록 권장하고 있다.

아울러 접근 제어 시스템 운영 시 '제어 영역'과 '데이터 영역을 구분토록 하고, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책 결정 지점(PDP)과 접속을 시행하는 정책 시행 지점(PEP)을 두도록 했다.

과학기술정보통신부와 KISA는 가이드라인 차기 버전도 준비 중이다. 민간에서 참고 할 수 있는 사례를 제시하기 위해 보안 기업들과 제로 트러 스트 도입 전후 보안 효과 성에 대한 실 증을 진행 중이다.

통신·금융·공공 분야 IT환경에 제로 트러 스트 보안 모델을 구현하고, 세계적 수준의 화 이 트 해커들이 보안 효과 성을 검증하는 형태다. 현재 SGA솔 루션즈 컨소시엄, 프라이 빗 테 크 놀로 지 컨소시엄이 보안 모델을 구축하며, 엔 키가 화 이 트 해커들과 검증 모델을 만들고 있다.

KISA는 제로 트러 스트 확산을 위한 예산 62억 원을 신규로 확보한 상태다. 최 영준 KISA 팀장은 "내년부터 원활한 기술 고도 화·실 증 지원을 통해 제로 트러 스트 의 보안 효과 성을 검증하고, 글로벌 시장으로의 보급 확산을 본격화할 계획"이라고 설명했다.다．