제로 트러스트

박상현 (사)코드 미디어디렉터

2013년 미국과 전 세계를 발칵 뒤집어 놓은 대규모 기밀자료 폭로사건이 일어났다. 에드워드 스노든이라는 CIA의 하급 직원 하나가 미 국가안보국(NSA)에서 전 세계를 대상으로 통신을 감청하는 데 사용하는 ‘프리즘’이라는 시스템에서 약 1만 개의 기밀문서를 빼내 공개한 것이다. 적과 우방을 가리지 않고 도청해 온 미국은 큰 곤경에 빠졌고, 여전히 후유증이 남아 있다.

그런데 어떻게 하급 직원이 그렇게 중요한 핵심 정보에 접근할 수 있었을까? 스노든은 훗날 자신이 받은 아이디는 보안 레벨에 관련 없이 모든 문서를 관람할 수 있는 아이디였기 때문에 가능했다고 이야기했다. 보안전문가들은 이것이 전통적인 보안구조의 문제점이라고 이야기한다. 우리가 아는 많은 네트워크 보안체계는 방화벽(firewall)을 만들어서 외부자를 막고, 내부자에게는 아무런 의심 없이 접속 권한을 주는 모델인데, 스노든의 경우처럼 낮은 직급이라도 내부자이기만 하면 신뢰하게 된다는 것이다.

이 단점을 극복하기 위해 만들어진 개념이 ‘제로 트러스트(zero trust)’ 보안이다. ‘아무도 신뢰하지 말라’는 의미의 제로 트러스트는 내부자·외부자를 가리지 말고 매번 적절한 인증절차 없이는 아무로 신뢰하지 않는 보안 모델이다.

하지만 이는 단순한 보안기술을 넘어 모두가 가져야 할 프로세스이자 마음자세로 생각해야 한다는 주장이 있다. 언론이 정보의 방화벽, 혹은 게이트 키퍼를 하던 시절이 끝나고 소셜미디어에서 누구나 정보를 뿌릴 수 있는 상황에서는 원출처가 분명하게 확인되지 않는 정보는 무조건 믿지 않는, 즉 제로 트러스트의 원칙을 적용해야 한다는 것이다. 코로나19에 관한 가짜정보가 범람하는 요즘 더욱 관심을 가질 만한 자세다.

박상현 (사)코드 미디어 디렉터