통신 네트워크는 이제 어디에나 있다. 데이터 관리부터 비즈니스 구동, 대륙을 가로지르는 사람 연결까지 세상을 움직이는 기반이 됐다. 오랫동안 이 분야의 보안 방식은 비교적 단순했다. 벽을 세우고, 위협은 밖에 두고, 내부는 전부 신뢰하는 방식이었다. 네트워크가 폐쇄적으로 잠겨 있을 때는 이런 방식이면 충분했다.
하지만 그런 시대는 끝났다. 이제 워크로드는 하이브리드 클라우드 전역으로 퍼지고 엣지 기기는 폭발적으로 늘고, 수많은 서드파티 솔루션 업체가 통신망에 연결된다. 예전의 경계선 개념은 사실상 사라졌다.
그래서 제로 트러스트가 필요해졌다. 그저 최신 유행어에 그치는 것이 아니라 생존을 위한 필수 도구가 됐다. 많은 기업이 제로 트러스트를 마치 사서 도입할 수 있는 제품 정도로 오해한다는 점이다. 제로 트러스트는 그런 방식으로 작동하지 않는다.
통신을 발목 잡는 오해
통신 업계를 보면 어느 곳에서나 제로 트러스트라는 단어가 나온다. 이사회, 전략 문서, 솔루션 업체 프레젠테이션 등 어디에나 등장한다. 그런 과정에서 제로 트러스트의 본래 의미가 많이 희석됐다. 많은 경영진이 제로 트러스트를 규제 준수 체크리스트 한 줄, 또는 또 하나의 소프트웨어 구축 사업 정도로 여긴다.
현실은 훨씬 냉정하다. 제로 트러스트는 사고방식이다. 가정을 버리고 끊임없이 검증하는 쪽으로 전환하는 관점이다. 이런 사고방식이 조직 문화에 스며들어야 보안이 ‘해야 하는 일’ 수준을 벗어나 실제 운영 방식으로 자리 잡는다. 하지만 대부분 통신사는 이런 인식 전환에 아직 이르지 못했다. 표면적인 안전만 믿고 있고, 공격자는 이런 허점을 정교하게 파고든다.
피해가 연결되는 IT와 OT
요즘 OT(운영기술) 환경을 노리는 공격은 대부분 IT 환경에서 출발한다. 공격자가 관리자 계정을 탈취하거나 허술한 인터페이스를 찾으면, 네트워크 장비나 기지국 컨트롤러 같은 핵심 설비 쪽으로 바로 이동할 수 있다.
IT와 OT의 간극을 줄이는 해법은 조직도를 바꾸는 일이 아니다. 모든 것을 한눈에 보고, 단일한 규칙 집합으로 다루는 일이다. 접근 권한 정책을 공유하고 패치 우선순위를 명확히 정하고, 위협 탐지를 통합해야 한다. 이런 요소가 하나로 맞물려 돌아갈 때 비로소 제로 트러스트가 현실적인 보안 모델로 구현된다.
진짜 적 : 집요함과 인내심
통신 사업자는 이제 개인 해커나 랜섬웨어 범죄조직만 상대하지 않는다. 오늘날 가장 큰 위협은 충분한 자금과 인력을 갖춘 집요한 공격 그룹이다. 국가 차원의 공격 조직이 보이지 않게 잠복하는 방식이다. 솔트 타이푼(Salt Typhoon)과 같은 공격 사례는 이런 그룹이 통신망 안에 몇 달씩 머무르며 민감한 데이터를 빼내고, 그 결과가 실제 지정학적 위험으로 이어질 수 있음을 보여줬다.
미국 사이버보안·인프라보안국(CISA)은 2021년 이후 전 세계 통신 사업자를 침투한 공격 사례와 관련해 볼트 타이푼(Volt Typhoon)을 포함한 중국 연계 그룹의 위험을 공식 경고했다.
없는 신뢰를 새로 쌓는 방법
제로 트러스트는 단순한 기술 업그레이드가 아니라 습관의 문제다. 그 중에서도 세 가지 습관이 핵심이다. 항상 검증하고, 필요한 만큼만 권한을 주고, 문제가 퍼지지 못하게 막는 일이다.
- 항상 검증하기. 로그인 절차가 검증의 끝이 아니다. 사람, 기기, 시스템 모두에 대해 접속 위치, 수행하는 작업, 평소와 다른 점이 있는지 계속 살펴야 한다.
- 최소 권한 부여. 사람이나 시스템이 가질 수 있는 권한을 최소화할수록 문제가 생겼을 때 피해 범위가 줄어든다. 권한만 잘 죄어도 별도의 화려한 신규 도구 없이도 위험을 크게 낮출 수 있다.
- 네트워크 분리. 문제 확산을 차단하는 일이다. 네트워크를 작고 고립된 영역으로 잘게 나누는 마이크로 세그먼트 구조를 만든다. 이렇게 분리된 네트워크에서는 침해 사고가 발생해도 피해를 최소화할 수 있다.
외면하기 어려운 존재, 레거시 기술
솔직히 말해 레거시 인프라는 사라지지 않는다. 수십 년 전에 구축한 네트워크 하드웨어가 지금도 통신망을 지탱한다. 당시 장비는 24시간 가동과 내부 자동 신뢰를 전제로 설계됐다. 전부 새 장비로 교체하는 일은 위험 부담이 크고 비용도 막대하다. 그대로 두는 선택지가 조금 더 위험할 뿐이다.
현실적인 해법은 기존 시스템을 현대적인 ‘보안 셸’로 감싸는 일이다. 보안 게이트웨이, 중앙집중형 인증, 세션 모니터링 같은 계층을 덧씌우는 방식이다. 이런 계층을 추가하면 대규모 교체로 인한 서비스 중단 위험 없이도 지금 당장 보안 수준을 끌어올릴 수 있다.
제로 트러스트의 목표는 완벽한 이상향을 좇는 일이 아니다. 전체 보안 수준을 한 단계씩 끌어올리는 과정이다. 매 연결을 검증하고, 하나씩 워크로드를 분리할 때마다 네트워크는 조금씩 더 단단해진다.
국경을 넘나드는 실질적 컴플라이언스
제로 트러스트는 기존 컴플라이언스 규정을 무시하는 개념이 아니다. 그런 규정을 토대로 쌓아 올리는 전략이다. ISO 27001, 미국 국립표준기술연구소의 사이버보안 프레임워크(NIST Cybersecurity Framework), 유럽연합의 NIS2 지침(EU NIS2 Directive), 각국 통신 규제 등 어떤 규제를 적용하더라도 핵심은 같다. 위험을 계속 점검하고, 누가 들어오는지 통제하고, 관리 상태를 증명하는 일이다.
제로 트러스트 관점을 이런 프레임워크에 녹여 넣으면 컴플라이언스는 골칫거리가 되지 않는다. 단순히 요건을 채우는 작업이 아니라 일상적인 보안 활동의 일부가 된다. 위협 양상이 바뀌면 보호 체계도 함께 바뀐다. 네트워크가 어디에 위치하든 점검을 받기에 충분한 준비 상태를 유지할 수 있다.
성과가 보이는 전환 : 첫 180일 동안 확인할 6가지 KPI
경영진은 막연한 약속이 아니라 증거를 원한다. 제로 트러스트를 도입해 처음 6개월 동안 실제로 살펴봐야 할 지표는 다음과 같다.
- 필요 이상으로 남아 있던 고급 권한 계정 수가 줄어든다.
- 이상 징후를 포착하는 속도가 빨라진다.
- 접근 승인 절차가 지연되지 않고, 거버넌스가 비즈니스 속도에 맞춰 움직인다.
- 더 많은 엔드포인트와 워크로드가 모니터링 대상에 올라간다.
- 네트워크 내부를 몰래 돌아다니는 침입 행위가 줄어든다.
- IT와 OT 팀이 공동 대응 훈련을 실제로 수행한다.
이들 지표는 보여주기용 수치가 아니다. 제로 트러스트가 유행어를 넘어 실제로 효과를 내고 있음을 증명하는 지표다. 이후 전략을 계속 고도화할 수 있는 기반이 된다.
유행어에서 기본 원칙으로
제로 트러스트는 더 이상 말뿐인 개념이 아니다. 네트워크 보안 수준을 평가하는 기준으로 자리 잡았다. 통신 산업에서 제로 트러스트 도입은 이미지 관리가 아니라 생존 전략이다.
시장조사기관 가트너는 2027년까지 기업의 70%가 보안 전략 수립을 제로 트러스트 관점에서 시작할 것으로 전망한다. 현재 수치는 20%에도 못 미친다.
여전히 낡은 경계 방어에 매달리면 과거 전쟁을 치르는 셈이다. 선도 사업자는 제로 트러스트를 여정으로 받아들이고 있다. 이 기업이 앞으로 모두가 의존하게 될 통신 네트워크를 차근차근 구축하고 있다.
dl-ciokorea@foundryco.com
Read More from This Article: “통신사 보안 리부트” 낡은 경계를 버리고 제로 트러스트로 재설계해야 하는 이유
Source: News