[디지털데일리 이종현기자] 2023년은 제로 트러스트(Zero Trust)와 공급망 보안의 원년이 되는 해다. 전통적인 경계 중심의 보안이 한계에 달했다는 공감대가 형성돼 제로트러스트와 공급망보안이 대안으로 떠올랐다. 올해를 기점으로 본격적인 확산이 예상된다.

제로트러스트는 ‘아무 것도 믿지 말라’는 인식을 전제로 하는 보안 방법론이다. 전통적인 네트워크 경계 중심의 보안의 경우 경계를 넘어선다면 신뢰하는 것을 전제로 설계됐다. 계정 탈취를 통해 시스템에 접근할 경우 정상 접속자로 취급돼 데이터가 유출되는 것이 예다.

이와 같은 사례에 대응하기 위해 등장한 제로트러스트는 경계 너머 모든 영역에 보안을 적용하는 것을 골자로 한다. 지속적인 인증과 함께 데이터에 대한 권한관리, 계정의 로그 감시 및 이상행위 탐지와 같은 상시적인 보안을 제공하는 체계를 만드는 것을 원칙으로 한다.

◆제로트러스트, ‘솔루션’이 아닌 ‘체계’

신원 및 접근관리(IAM)나 엔드포인트 탐지 및 대응(EDR) 등 솔루션을 제로트러스트 솔루션이라고 지칭하기도 하지만 대부분의 전문가는 제로트러스트에서 중요한 것은 특정 솔루션이 아닌, 여러 솔루션을 바탕으로 구성한 체계라고 말한다. 어느 하나의 솔루션을 도입한다고 해서 제로트러스트 보안을 구현했다고 말할 수는 없다는 것이다.

한국정보보호산업협회(KISIA)는 제로트러스트의 핵심 원칙으로 ▲인증체계강화 ▲마이크로 세그멘테이션 ▲소프트웨어 정의 경계(SDP) 등 3개 사항을 제시하고 있다. 이에 대한 수요‧공급기업 조사에 따르면 인증체계 강화가 65.3%로 가장 우선됐고, 마이크로 세그멘테이션(18.7%), SDP(16%)이 뒤를 이었다.

10월30일 한국정보보호산업협회(KISIA) 소속 한국제로트러스트위원회(KOZETA)가 주최한 제로트러스트 콘퍼런스에서 KISIA 산업기반팀 정호준 팀장은 “제로트러스트는 단일 솔루션이 아닌 ‘하나의 보안체계’다. 여러 솔루션간의 호환성 확보가 필요하다”고 말했다.

자체적으로 제로트러스트 보안체계를 구축 중인 비바리퍼블리카(토스) 역시도 복수의 솔루션을 엮어 통합하는 것의 중요성을 강조했다. 비바리퍼블리카 정연우 엔지니어는 “제로트러스트를 구현할 수 있는 하나의 제품은 없더라. 결국 각 영역, 기술에 대한 높은 수준의 이해를 바탕으로 개념검증(POC)을 거치며 아키텍처를 설계해야 한다”고 밝혔다.

시장의 혼란이 이어지고 있는 가운데 정부는 기업‧기관들의 이해를 돕기 위한 제로트러스트 실증모델 사업을 진행 중이다. 올해 하반기 온프레미스형과 클라우드형 2종의 모델에 대한 실증사업이 진행 중인데, 2024년도에는 각 산업별 모델 사업을 추진할 예정이다. 기술 백서 수준이었던 제로트러스트 가이드라인도 실제 사례를 담은 개정판을 선보일 계획이다.

◆커지는 오픈소스 SW 영향력… SBOM 필요성 급부상

소프트웨어(SW) 개발 영역에서 오픈소스가 차지하는 영향력이 점차 커지는 가운데 일각에서는 오픈소스 SW가 보안의 ‘약한 고리’가 될 수 있다는 지적이 꾸준히 제기돼 왔다. 누구나 볼 수 있도록 공개돼 있는 만큼 공격의 대상이 되기 쉬우며, 악의적인 코드를 삽입한 오픈소스를 정상 오픈소스처럼 배포할 수도 있다는 것이다.

실제로 오픈소스 SW의 취약점을 이용해 SW 공급망에 대한 공격을 수행하려는 시도가 늘어나는 가운데 오픈소스 SW에 대한 체계적인 관리가 필요하다 목소리에 힘이 실리고 있다.

공급망보안을 위한 대표적인 방법론으로 떠오른 것은 소프트웨어 자재명세서(SBOM) 사용이다. 농수산물의 원산지를 표시하고, 음식물의 영양성분을 표시하는 것처럼 SW에 대한 자재명세서(Bill of Material)를 도입하자는 것이다. 제로트러스트와 마찬가지로 미국 정부가 시작해 전 세계로 확산되고 있다.

SBOM이 필요하다는 주장에 힘이 실린 것은 2021년 연말 발생한 log4j 취약점 사태부터다. 자바(JAVA) 기반의 서버와 애플리케이션(앱) 대부분에 쓰이는 오픈소스 라이브러리 log4j에서 치명적인 취약점이 발견됐지만 다수의 기업‧기관은 어디에 log4j가 사용됐는지조차 파악하지 못했다. 언제 터질지 모르는 시한폭탄을 안고 있는 형국이다.

국내에서도 SBOM 제도 마련에 속도를 내고 있다. 2024년부터 SOBM 관리체계 실증에 돌입한다. 스패로우가 SW 개발 단계에서부터 보안을 적용하는 ‘시큐리티 바이 디자인(Security by Design)’ 관련 기술을 앞세워 시장을 공략하고 있다. 글로벌 사이버보안 기업인 태니엄은 구동되고 있는 SW까지도 살피는 ‘런타임 SBOM’을 무기로 내세웠다.

태니엄 관계자는 “보안을 위해서는 개발 단계에서의 SBOM과 실행 단계에서의 SBOM 양쪽 모두를 갖춰야 한다”고 강조한다. 안전한 제품을 설계하는 동시에 즉각적인 대응 역량을 확보하는 것이 중요하다는 의미다. 그는 “집안에 박스가 잔뜩 쌓여 있는데, 이중 어떤 박스의 물품이 안전한지 확인하려고 배달한 사람에게 물어보는 것은 비효율적이다. 수천에서 수십만에 이르는, 수많은 박스를 실시간으로 살필 수 있다면 유용할 것”이라고 피력했다.

◆공격자도 방어자도 생성형AI 활용

정보기술(IT) 업계의 메가 트렌드가 된 생성형 AI는 보안 영역에서도 핫이슈다. 공격자와 방어자 모두 생성형 AI를 통해 보다 공격‧방어를 고도화하는 중이다. 생성형 AI가 ‘위기이자 기회’라고 평가되는 이유다.

공격자 입장에서 생성형 AI는 더 적은 노력과 지식으로 공격을 실행할 수 있도록 하는 도구로 활용되고 있다. 개발능력이 부족한 공격자도 생성형 AI를 활용해 악성코드를 제작하거나 개선할 수 있다.

실제 생성형 AI가 취약점을 찾거나, 치명적인 악성코드를 제작하는 등의 위협으로 이어지는 일은 적다는 것이 다수 전문가의 의견이다. 그렇다고 해서 아무런 위협이 되지 않는 것은 아니다. 언어구사에 특화된 능력을 이용해 피싱(Phishing) 공격에 사용되는 가짜 이메일‧문자메시지‧웹사이트를 보다 자연스럽게 만들 수 있다.

실제로 최근 ‘웜GPT’라는 AI 기반의 피싱 도구도 등장했다. 통상의 대화형 AI는 안전장치를 둬 비윤리적이거나 범죄에 악용되는 것을 막지만 웜GPT는 그런 안전장치가 없어 가짜뉴스나 피싱 이메일을 만드는 데 활용될 수 있다.

SK쉴더스는 2024년 5대 보안 위협 중 하나로 AI를 꼽았다. SK쉴더스 보안 전문가그룹 이큐스트(EQST)의 이재우 그룹장은 “피싱메일의 경우 예전에는 어눌한 어투로 작성되서, 문맥상 맞긴 하지만 이상한 형태가 많았다. 그런데 이제는 웜GPT 등을 이용해 보완하다 보니 해외에서도 자연스러운 문장으로 공격을 할 수 있게 됐다”고 밝혔다.

이에 대응하는 보안 기업들은 생성형 AI를 ‘비서’로 활용하는 추세다. 위협에 대한 요약이나 간단한 보고서 작성 등은 생성형 AI에게 맡기고 담당자는 보다 고차원의 분석이 시간을 할애하는 것이 예다. 다소 전문성이 떨어지는 직원의 수준을 향상시키는 데도 도움이 될 것이라는 목소리도 나온다.

구글클라우드 마크 존스턴(Mark Johnston) 아태지역 보안‧네트워킹‧협업 부문 총괄은 11월6일 한국인터넷진흥원(KISA)이 개최한 AI 보안 콘퍼런스에서 “신기술은 항상 위협을 동반한다. 여러 리스크가 있을 수 있다는 것을 인지하는 것은 중요하다. 하지만 두려워할 필요는 없다. 리스크는 충분히 관리‧축소할 수 있다”며 경계는 하되 지나친 우려는 하지 않아도 된다는 의견을 내비쳤다.

생성형 AI를 가장 적극적으로 활용하고 있는 것은 마이크로소프트(MS)다. MS는 지난 11월16일 연례 콘퍼런스 ‘이그나이트’에서 “데이터 관리자는 하루 평균 50개 이상의 경고를 수신하지만 이중 확인할 수 있는 것은 60~70%에 그친다. 규정 준수 관리자는 수집된 증거를 검토하는 데만 전체 시간의 60%를 할애하는 중”이라며 시큐리티 코파일럿을 통해 조사 및 대응의 속도‧정확성을 획기적으로 개선할 수 있을 것이라고 전했다.

국내 기업 중에서는 이글루코퍼레이션이 적극적이다. 국내 기업 중 최초로 챗GPT를 도입한 서비스 ‘이글루XAI’를 선보인 바 있다. AI가 내놓은 답을 자연어 형태로 제공하는, 설명 가능한 AI다. 국내 대표 사이버보안 기업인 안랩도 지난 10월 선보인 확장된 탐지 및 대응(XDR) 솔루션에 생성형 AI를 도입한다는 방침이다.