기업 보안과 Cyber Resilience

By CarlsenColumn

사이버 위협과 변화의 시대

디지털 전환(Digital Transformation)이 가속화되면서 비즈니스 환경이 혁신적으로 변화하고 있지만, 그만큼 보안 위협 역시 급증하고 있습니다. 더 이상 “경계를 지키는 것”만으로는 기업의 자산을 보호하기 어렵습니다. 공격자는 슈퍼 관리자 계정에 대한 권한을 소유한 채 내부에 이미 침투한 상황일 수도 있고, 악의적인 내부자에 의해 지속적으로 정보 유출이 발생하는 상황일 수도 있습니다. 네트워크 내부와 외부의 구분이 점차 모호해지고 있다는 의미입니다.

이러한 변화 속에서 기업은 시스템과 데이터를 안전하게 지키면서도 비즈니스 연속성을 보장할 수 있는 사이버 레질리언스(Cyber Resilience)를 추구하게 되었습니다. 사이버 레질리언스의 핵심 전략으로는 DevSecOps와 제로 트러스트 아키텍처(Zero Trust Architecture, ZTA)가 있습니다.

이 글에서는 왜 기업이 제로 트러스트 아키텍처와 DevSecOps를 도입하는지, 그리고 시대적 변화가 이러한 흐름을 어떻게 이끄는지 실무적 관점에서 분석해 보겠습니다.

1. 사이버 레질리언스: 왜 중요해졌는가?

사이버 레질리언스는 단순한 보안을 넘어 사이버 공격을 견디고 빠르게 복구하는 능력을 의미합니다. 기업이 지속적으로 이 개념을 추구하는 이유는 다음과 같습니다.

1-1. 고도화된 사이버 위협

  • 공급망 공격(Supply Chain Attack): SolarWinds와 Log4Shell 사례처럼 기업의 협력사나 외부 공급망을 노리는 공격이 증가했습니다. 이제 협력사 관리는 선택이 아닌 필수가 된 것이죠.

Tip : 이에 대비하기 위해 SBOM(Software Bill Of Material)이 실증화되고, 컴포넌트를 직접 추적할 수 있도록 생태계가 구축될 것이라는 전망이 있지만, 글쎄요.. 정작 보호의 대상이 되는 취약한 공급 업체가 커뮤니티에 가입될 수 있을지 의구심이 듭니다.

  • 랜섬웨어: 기업 데이터를 암호화할 뿐만 아니라 유출과 협박까지 이어지는 이중 협박 공격이 보편화되었습니다. 예전에는 비용을 지불하면 풀어주기라도 하였지만, 이제는 그렇지도 않죠.
  • 내부 위협 및 계정 탈취: 공격자가 내부 사용자 계정을 탈취해 권한을 남용하는 사례가 빈번히 발생합니다. 몇 년 동안 은닉하여 정보를 유출한 사례도 보고되고 있으니, 실제로 행해지는 사례는 훨씬 많겠죠?

1-2. 클라우드와 하이브리드 환경

클라우드 사용이 급증하면서 네트워크 경계는 사실상 사라졌습니다. 하이브리드 근무 환경과 원격 접근이 일상화되면서 공격 표면(Attack Surface)이 폭발적으로 증가하고 있습니다.

이제 기업은 공격을 막는 것만이 아니라, 공격을 받더라도 시스템을 유지하고 복구할 수 있는 역량을 갖춰야 합니다.

2. DevSecOps

DevSecOps는 소프트웨어 개발의 초기 단계부터 보안을 통합하여 신속하면서도 안전한 개발 환경을 제공하는 전략입니다.
Tip : 조직이 DevSecOps를 고려한다면, 보안에 대한 책임이 전사적으로 확장된다는 것을 의미합니다. 기존의 보안 부서와 개발 부서부터 인사 부서, 법률팀까지 아우르는 포괄적 정책이 필요합니다.

2-1. DevSecOps가 필요해진 배경

  1. 개발 속도의 가속화
    • 소프트웨어 출시 주기가 단축되면서 기존의 “보안을 나중에 적용하는 방식”은 더 이상 효과적이지 않습니다.
    • DevSecOps는 보안을 CI/CD 파이프라인에 통합하여 개발 속도를 유지하면서도 안전성을 확보합니다.
  2. Shift Left 보안
    • 문제를 개발 초기 단계에서 발견하면, 해결 비용과 시간이 크게 절감됩니다.
    • 코드 작성, 빌드, 테스트 단계에서 자동화된 보안 도구를 통해 취약점을 실시간 점검합니다.

Tip : Shif Left 보안이란, 이전 단계에서부터 보안에 대해 고려하는 전략입니다. 개발 이전에 설계에서, 설계 이전에 기획 단계에서 보안을 고려하는 것은 추후 실패 비용이 발생하는 것을 사전 예방하는데 중요합니다.

  1. 인프라 보안 자동화
    • IaC(Infrastructure as Code)를 통해 보안 설정을 코드화하고 변경사항을 추적합니다.
    • Security by Design에서 Security by Default로 패러다임 변화를 추구합니다.

2-2. DevSecOps 실무 사례

AWS, Azure와 같은 클라우드 환경에서는 Jenkins, GitLab 같은 CI/CD 도구와 Snyk, Checkmarx 같은 보안 스캐닝 툴을 통합해 소프트웨어를 실시간 점검합니다. 결과적으로 보안은 병목이 되지 않고 개발 프로세스에 자연스럽게 융합됩니다.
만약 레거시 환경에서의 DevSecOps라면 자동화된 툴 사용보다 모니터링 관제를 통해 이벤트를 탐지하고 사람이 직접 조치하거나, 솔루션에 명령을 전달하여 조치하게 됩니다. SIEM을 통해 Alert을 탐지하고 이를 격리하거나, 패치 명령을 수행하는 등의 방식을 통해서 수행되는 것이 대부분이죠.

3. 제로 트러스트 아키텍처(Zero Trust Architecture)

제로 트러스트 아키텍처는 “아무것도 신뢰하지 않는다(Zero Trust)”라는 원칙에 기반해, 네트워크 내부와 외부를 가리지 않고 모든 접근 요청을 검증하고 최소 권한만 부여하는 모델입니다.

3-1. 전통적 보안 모델의 한계

과거에는 네트워크 내부는 안전하고, 외부는 위험하다는 가정하에 경계 기반 보안이 주류였습니다. 그러나 이러한 모델은 다음과 같은 문제를 드러냈습니다.

  • 내부 침해: 공격자가 내부 네트워크에 접근하면 무제한적인 권한을 가지게 됩니다.
  • 클라우드 및 원격 근무: 경계가 사라진 시대에 내부와 외부를 구분하는 것은 무의미해졌습니다.
  • 지속적인 위협 : 계정과 권한을 보유한 공격자가 내부에 은닉하여 지속적으로 정보를 유출한 사례가 빈번히 보고되고 있습니다. 이는 재인증과 사용자 행동패턴에 따른 접근통제가 수행되지 않아 발생하는 문제입니다.
  • 횡 이동 : 공격자는 취약한 시스템에 침투하여, 시스템의 권한으로 다른 시스템에 접근합니다. 이는 네트워크 전체 스캐닝에 대한 기회를 제공하고, 추적 또한 쉽지 않다는 특징을 갖습니다.

3-2. 제로 트러스트 아키텍처의 핵심 원칙

  1. 모든 접근 검증
    • 사용자와 디바이스를 지속적으로 인증하고 검증합니다.
    • 멀티팩터 인증(MFA), 디바이스 상태 확인 등 추가 검증을 통해 신뢰성을 높입니다.
    • 무자각 지속인증을 통해 사용자 Work Factor를 감소시키는 노력이 요구됩니다.
  2. 최소 권한 부여
    • 사용자나 시스템이 필요한 리소스에만 접근하도록 권한을 최소화합니다. 업무 환경에서는 최소권한과 직무분리 원칙을 우선 도입하여 슈퍼 권한을 통한 시스템 장악과 로그 삭제 등을 예방해야합니다.
  3. 세션 단위 보안
    • 접근 권한은 세션 단위로 부여되며, 지속적으로 재검증됩니다.
    • RBAC(Role Based Access Control), ABAC(Attribute Based Access Control) 등 접근통제를 통해 세션을 단일적으로 검사합니다. 최근에는 NGFW 와 AD의 연동을 기반으로 접근통제가 휴리스틱하게 수행되는 경향이 있어, 관리자의 업무 플로우를 개선하는데 기여하고 있습니다.

3-3. 제로 트러스트 아키텍처 적용 사례

기업이 제로트러스트 아키텍처를 도입하면 다음과 같은 효과를 얻을 수 있습니다.

  • 원격 근무 시 사용자는 애플리케이션과 데이터에 안전하게 접근하며, 불필요한 네트워크 접근은 차단됩니다.
  • 내부 사용자라도 무조건 신뢰하지 않고 지속적인 검증을 통해 계정 탈취와 권한 오남용을 방지합니다.
  • 보안과 관리 역량이 지속적으로 증가하여 대부분의 사이버 위협으로부터 안전한 기업 환경을 구축할 수 있게 됩니다.
  • 자동화되고 최적화된 단계에 이르면 관리 리소스가 현저하게 줄어들어 시스템 구축을 통한 투자 효과를 창출할 수 있습니다.
  • ESG의 사회적 책임 측면에서 기업에게 요구되는 정보보호 의무를 달성하고 고객과 투자자들에게 신뢰감을 형성할 수 있습니다.

지속 가능한 사이버 레질리언스를 위해

시대는 빠르게 변하고 있으며, 사이버 위협은 더욱 정교해지고 있습니다. 기업이 살아남기 위해서는 사이버 레질리언스를 강화하는 것이 필수적입니다. 이를 실현하기 위해서는 보안이 개발 속도를 방해하지 않도록 DevSecOps를 도입하고, 불확실한 네트워크 환경에서도 안전을 보장하는 제로 트러스트 아키텍처를 구축해야 합니다.

DevSecOps는 보안과 개발이 긴밀하게 협력할 수 있는 환경을 만들고, 제로 트러스트 아키텍처는 신뢰를 배제한 철저한 검증을 통해 현대의 비즈니스 환경에 적합한 보안 모델을 제공합니다.

사이버 보안은 이제 선택이 아니라 비즈니스의 필수 요소입니다. 신속한 변화와 적응만이 기업의 안전한 디지털 미래를 보장할 수 있습니다.

다음 링크를 참고하시면 좋을 것 같습니다. 영문이라 조금 어렵긴 하지만요..
NIST SP800-207 Zerotrust : https://csrc.nist.gov/pubs/sp/800/207/final
DevSecOps : https://www.devsecops.org/

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다