제로 트러스트 (Zero Trust) / HG.Park (2020-03-24)
제로 트러스트 (Zero Trust)
2013년 마국과 전 세계를 발칵 뒤집어 놓은 대규모 비밀자료 폭로 사건이
일어났다.에드워드 스노든 이라는 CIA의 하급 직원 하나가 미 국가안보국
(NSA)에서 전 세계를 대상으로 통신을 감청하는 데 사용하는 '프리즘'이라
는 시스템에서 약 1만 개의 기밀 문서를 빼내 공개한 것이다.적과 우방을 가
리지 않고 도청해 온 미국은 큰 곤경에 빠졌고,여전히 후유증이 남아 있다.
그런데 어떻게 하급 직원이 그렇게 중요한 핵심 정보에 접근할 수 있었을까?
스노든은 훗날 자신이 받은 아이디는 보안 레벨에 관계없이 모든 문서를 관
람 할수있는 아이디였기 때문에 가능했다고 이야기 했다.보안전문가들은 이
것이 전통적안 보안구조의 문제점이라고 이야기 한다.우리가 아는 많은 네트
워크 보안체계는 방화벽(fire wall)을 만들어서 외부자를 막고,내부자에게는 아
무런 의심없이 접속 권한을 주는 모델인데,스노든의 경우처럼 낮은 직급이라
도 내부자 이기만 하면 신뢰하게 된다는 것이다.
이 단점을 극복하기 위해 만들어진 개념이 '제로 트러스트(zero trust)' 보안이
다.'아무도 신뢰하지 말라'는 의미의 제로 트러스트는 내부자,외부자를 가리지
말고 매번 적절한 인증절차 없이는 아무도 신뢰하지 않는 보안 모델이다.
하지만 이는 단순한 보안 기술을 넘어 모두가 가져야 할 프로세스이자 마음 자
세로 생각해아 한다는 주장이 있다.언론이 정보의 방화벽,혹은 게이트 키퍼를
하던 시절이 끝나고 소셜미디어에서 누구나 정보를 뿌릴수 있는 상황에서는 원
출처가 분명하게 확인되지 않는 정보는 무조건 믿지 않는,즉 제로 트러스트의
원칙을 적용해야 한다는 것이다.
코로나19애 관한 가짜 정보가 범람하는 요즘 더욱 관심을 가질만한 자세다.
박상현 (사) 코드미디어 디렉터.