보안은 불편하다? 토스, 제로트러스트로 보안·편의성 다 잡았다

황국상 기자 2023. 10. 30. 17:47
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

KISIA 제로트러스트 컨퍼런스서 실증사례 소개
신원인증·네트워크·단말기 관리 전분야 혁신
"수동작업 80% 이상 감소, 업무편의성 제고"
임종철 디자이너 /사진=임종철 디자이너

보안·안전은 항상 불편함을 감내해야만 얻을 수 있는 목표로 여겨져 왔다. 그러나 핀테크 브랜드 토스를 운영하는 비바리퍼블리카는 최근 '무엇도 믿지 말고 모든 것을 검증하라'는 제로트러스트(Zero Trust) 아키텍처(구조) 구축을 통해 보안과 편의성이라는 양면적 목표를 모두 달성했다는 평가를 받는다.

비바리퍼블리카는 30일 서울 강남구 한국컨퍼런스센터에서 KISIA(한국정보보호산업협회) KOZETA(한국제로트러스트위원회)가 주최한 '제로트러스트 활성화를 위한 컨퍼런스'에서 '토스 제로트러스트 구축전략 및 운영사례'를 소개했다.

"신원인증·네트워크·디바이스 검토, 답은 제로트러스트"
토스 역시 기존의 경계망 중심 보안 체제를 운영해왔지만 코로나19 이후 재택근무 비중이 높아지면서 보안 시스템 개편을 검토했다. 신원인증(아이덴티티), 네트워크, 디바이스(단말기) 등 3가지 영역에서의 개선사항을 도출했다.

신원인증과 관련해서는 계정 관리 권한이 분산돼 있어 보안 관리자가 이를 통합관리하기 어렵다는 문제가 있었다. IP(인터넷주소) 기반 접근제어 방식도 보안관리에 취약하다고 평가됐다. VPN(가상사설망)을 통해 외부로부터 내부로의 접속이 빈번해졌지만 네트워크 트래픽을 한 눈에 확인할 수 없다는 점도 문제였다. 재택 근무자들이 제각각 단말기로 업무를 하다보니 회사 전체적으로 적용돼야 할 보안 패치 등이 제때 설치되지 못하는 문제도 있었다.

토스는 이같은 문제를 해결하기 위한 방안으로 제로트러스트로의 전환을 택했다. 제로트러스트 구현을 위해 특정 회사의 특정 제품 한 두 개를 사는 것이 아니라 여러 솔루션을 연계해서 활용해야만 토스가 원하는 보안 수준을 맞출 수 있다고 보고 관련 솔루션을 물색했다. 또 신원인증, 네트워크, 디바이스 부문이 상호 보완적으로 보안을 강화할 수 있도록 구조를 설계하는 데 주력했다.

제로트러스트 시스템을 도입한 후 토스는 사용자가 회사 내외부 어디에 있는지와 무관하게 사용자가 회사 자산에 접근할 때마다 필요한 권한을 가졌는지, 회사가 신뢰할 만한 네트워크 및 단말기를 통한 접근인지를 검증했다. 부서이동이나 퇴직 등으로 권한의 변동이 필요한 때에는 API(데이터송수신 방식)를 통해 즉각 자동화된 방식으로 권한 부여·변경·삭제가 이뤄졌다.

토스 관계자는 "제로트러스트 시스템 구축으로 중앙화 통합 보안통제 및 관리 편의성이 확보되면서 수동 작업이 80% 이상 줄었다"며 "내외부 경계 없이 네트워크 트래픽에 대한 가시성을 확보해서 추가적 보안위협을 식별·대응하는 효과도 있었다"고 했다.

또 "생체인증을 도입해 기존 OTP(일회용 비밀번호) 대비 1회당 로그인 시간이 5초 이상 단축되는 등 업무 편의성도 높아졌다"고 했다. 불편하게만 여겨지는 보안도 설계만 잘 한다면 업무 편의성을 희생시키지 않고도 보안 시스템을 강화할 수 있다는 설명이다.

30일 서울 강남 한국컨퍼런스센터에서 KISIA(한국정보보호산업협회) KOZETA(한국제로트러스트위원회) 주최로 열린 '제로트러스트 활성화 컨퍼런스'에서 참가자들이 토론을 진행하고 있다. / 사진제공=KISIA

"중요하다곤 하지만 기준이 없어요"…막막한 기업들
기존의 사이버보안은 경계망 보안으로 분류된다. 기업·기관의 내부에 있는 정보자산을 보호하기 위해 외부로부터의 침입을 방지하는 데 주력한 것이다. 내부망을 신뢰영역, 외부망을 비(非)신뢰영역으로 구분하는 게 기존의 보안방식이었다.

코로나19 대확산을 계기로 제로트러스트의 필요성이 커졌다. 기업·기관 구성원들의 재택근무가 확산하면서 외부로부터 기업 내부망 접속이 불가피해졌고 이에 따라 기존 물리적 구획에 의존한 보안이 무색해진 영향이다. 해킹 기법이 고도화되고 교묘해지면서 기업·기관 관계자의 신원정보 및 로그인 정보가 탈취된 경우 내부망에서 활개치는 공격을 막아낼 방법이 마땅치 않았다.

이에 제로트러스트 보안원칙의 중요성이 더 커졌다. 기업·기관 내외부를 불문하고 정보자산에 접근하는 모든 이들에 대해 신원 및 권한을 검증하고 일일이 허용 여부를 결정하는 방식으로 무게축이 이동하고 있다는 것이다. 하지만 제로트러스트를 어디서 어떻게 시작해야 할지 막막한 이들이 다수다. 이같은 상황에서 토스의 사례는 이날 컨퍼런스 참가사들의 많은 주목을 받았다.

그럼에도 기업들은 여전히 막막하다. 정부도 제로트러스트 보안 체제로의 전환을 독려하고 보안기업들도 관련 솔루션을 하나둘씩 출시하고 있지만 구체적으로 뭘 어떻게 해야 제로트러스트 시스템을 구축했다고 볼 수 있는지 기준이 없다는 이유에서다.

KISIA는 이날 정보보안 수요기업 200개사, 정보보안 솔루션 제조사 50개사 등을 대상으로 실시한 '제로트러스트 설문조사' 결과를 공개하며 국내 현황에 적합한 세부적 상황별 가이드라인과 인증기준 등 세부 정책이 필요하다고 제언했다. 또 단일 제품·솔루션만으로 제로트러스트 보안 체제 구축이 불가능한 만큼 API 개방 등을 통해 정보보호 솔루션 호환성을 확보하는 노력도 필요하다고 했다.

황국상 기자 gshwang@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?