디지털 기술이 발전하면서 일상의 편의성은 높아졌지만 그 반작용으로 사이버 환경의 위협은 점점 더 지능화, 고도화되고 있습니다. 엔씨 정보보안센터는 나날이 진화하는 보안 위협에 대응하기 위해서는 최적의 솔루션을 마련하는 것을 넘어 보안을 바라보는 패러다임 자체를 전환해야 한다는 결론에 도달했습니다. 이에 지난 2019년부터 ‘제로 트러스트(Zero-Trust)’ 모델을 사내에 도입해 보안 체계를 강화하고 있습니다. 제로 트러스트는 ‘그 무엇도 검증하기 전까지는 신뢰하지 않는다’라는 보안 패러다임입니다. ‘Technology: Push the Boundaries’ 시리즈 다섯 번째 편에서는 제로 트러스트를 구현하는 정보보안센터의 여정을 소개합니다.
엔씨는 2019년까지 개발망과 인터넷망을 분리하고 게임 IP별로 독자적인 개발망을 사용하는 ‘망 분리’ 환경을 통해 데이터를 보호했다. 하지만 분리된 망 환경은 각 망에서 사용하는 메일 주소가 다를 뿐 아니라 망 사이의 데이터 이동이 힘들어 다른 조직과 원활히 협업하기가 어려웠다. 또 개발자들은 망에 따라 PC를 설치해야 했기에 자산을 구매하는 데 많은 비용이 발생하고 클라우드 등 최신 기술을 도입하는 데도 한계가 있었다.
이러한 단점 때문에 망을 통합해야 한다는 의견이 사내에서 꾸준히 제기되었지만, 망을 통합하면 망이 분리된 환경보다 보안의 리스크가 커진다는 우려가 있었다. 망을 통합하되 보안 수준을 강화하는 것이 정보보안센터가 직면한 첫 번째 과제였다.
클라우드와 모바일 기술이 발전하면서 네트워크의 경계가 빠르게 허물어지고 있다. 예전에는 회사라는 물리적 공간 안에서만 기업 자산에 접근할 수 있었지만 이제는 임직원이 회사 밖 어디서든 정보와 인프라에 접속할 수 있는 환경이 갖춰졌다. 특히 코로나 팬데믹 이후 이러한 현상이 더욱 가속화됐다. 이는 해커가 침입할 수 있는 경로가 다양해짐과 동시에 기업 보안 관점에서 관리, 통제해야 하는 변수가 늘어남을 의미한다. 정보보안센터는 빠르게 변화하는 기술, 사회적 환경으로부터 예측되는 보안 위협에 맞서 대응책을 마련해야 했다.
앞서 언급한 과제를 해결하기 위해 정보보안센터는 2019년 글로벌 최신 보안 트렌드인 ‘제로 트러스트’ 모델을 도입했다. 기존 보안 모델에서는 네트워크를 경계로 한 번 사내 망으로 들어오는 데 성공하면 모든 권한을 갖게 된다. 이에 해커들은 임직원의 아이디와 패스워드 정보를 훔쳐내는 데 집중한다.
반면 제로 트러스트 모델은 네트워크의 경계와 관계없이 수시로 변화하는 기기, 사용자, 서비스 상태에 따라 신뢰를 부여한다. 모든 사용자들의 행위는 실시간으로 모니터링되며 이상 행위가 발견될 시 보안 담당자가 즉각 조치를 취할 수 있다.
정보보안센터는 NIST의 ‘SP 800-207’에 제시된 제로 트러스트 구현의 7개 원칙을 5가지로 요약하였다.
미국표준기술연구소(NIST)는 ‘SP 800-207’ 보고서에서 제로 트러스트 모델의 구현에 있어 가이드라인이 되는 7가지 원칙을 제시했다. 정보보안센터는 이를 5가지로 요약했다. 그중 가장 중요한 것은 ‘사용자 인증’과 ‘기기 인증’, ‘권한 관리’ 3가지다. 사용자 및 기기의 보안 수준을 검증하고, 이에 따라 개별 서비스에 접속할 수 있는 권한을 차등적으로 부여하는 것이 제로 트러스트 모델의 핵심이다. 정보보안센터는 ‘SP 800-207’의 원칙을 토대로 엔씨만의 제로 트러스트 아키텍처를 개발하고 단계별로 구현했다.
정보보안센터는 먼저 사내 여러 부서와 인터뷰하며, 엔씨에 제로 트러스트 모델을 도입해야 하는 업무 환경의 시나리오를 크게 4가지로 정의했다. 그리고 각 시나리오에서 어떤 기술적 요소가 뒷받침되어야 하는지, 달성 가능한 결과는 무엇인지 정리했다.
엔씨에서 제로 트러스트 모델을 도입해야 하는 업무 환경을 정의한 4가지 시나리오
다음 단계에는 이렇게 정의한 4개의 시나리오와 제로 트러스트의 구현 원칙을 연계한 엔씨만의 보안 아키텍처(Zero-Trust Architecture)를 구축했다. 보안 아키텍처는 이론을 넘어 기술적 솔루션이 필요한데, 정보보안센터는 마이크로소프트의 제로 트러스트 모델을 기반으로 엔씨의 업무 환경에 맞는 보안 아키텍처를 개발했다.
먼저 기기 관련으로는 보안을 통제하는 에이전트를 노트북이나 스마트폰 등 모바일 기기에 설치하도록 의무화했다. 회사에 등록한 기기인지, 백신 및 정보 유출 방지 솔루션을 설치했는지, 보안 패치는 최신 버전인지 여부 등을 판단하여 내부망에 접속할 수 있도록 허용하는 기능이다.
사용자에 대해서는 지리적 위치와 접근 권한 등 신뢰도를 실시간으로 체크해 접속을 허용하도록 했고, 아이디와 패스워드에 기반한 1차 인증을 넘어 OTP와 생체 인증 등 2차 인증 체계를 마련했다.
마지막으로 실시간으로 변화하는 기기 및 사용자의 상태에 따라 서비스에 접근하는 것을 제한하거나, 다운로드 차단 등의 보안 통제가 가능하도록 구현하였고 사용자의 이상 행위에 대해서도 지속적으로 위험도를 판단하는 모니터링 체계를 구축하였다.
정보보안센터에서 정의한 엔씨의 제로 트러스트 아키텍처(ZTA). 사용자/디바이스 정보를 수집해 스코어링하고 이를 기반으로 접근 권한을 관리하고 통제한다. 모든 사용자의 행위를 모니터링해 이상 패턴을 감지할 경우 발 빠르게 대응할 수 있다.
정보보안센터가 제로 트러스트 모델을 도입해 보안 체계를 구축하는 동안에도, 새로운 보안 환경에 대한 니즈는 끊임없이 발생했다. 2021년 <리니지W> 론칭을 기점으로 글로벌 시장으로의 도전이 본격화됨에 따라 해외 지사, 서드 파티 등 글로벌 파트너사와의 협업이 많아졌고 *SaaS에 기반한 외부 서비스를 협업 도구로 활용하려는 현업 부서의 니즈도 높아졌다. 정보보안센터는 2019~2021년의 제로 트러스트 구현 과정을 Stage 1로 정의하고, Stage 1에서 해결하지 못했던 과제들을 해결하기 위해 2022년부터 두 번째 여정(Stage 2)을 시작하였다.
*SaaS: Software as a Service의 약자로 마이크로소프트 오피스365나 슬랙, 피그마처럼 공급자가 클라우드를 통해 소프트웨어를 제공하고, 사용자는 클라우드를 통해 소프트웨어를 사용하는 방식
Stage 2의 목표는 크게 3가지다. 첫 번째는 제로 트러스트의 모든 구현 원칙을 충족하는 보안 아키텍처를 새롭게 개발하는 것이다. Stage 1에서 많은 원칙을 구현하는 데 성공했지만, 사용자와 기기의 보안 수준에 대응하여 각종 내∙외부 서비스에 접근하는 권한을 통제하는 데 있어 해결되지 못한 문제가 존재했다. 정보보안센터는 현 시점에 모든 원칙을 충족하는 단일 솔루션은 ‘없다’고 판단했고, 이에 다양한 관련 솔루션을 복합적으로 채택하여 해결책을 모색함과 동시에 Stage 1에서 구현한 핵심 요소들의 보안 성숙도를 높이는 것을 목표로 하고 있다.
두 번째는 서비스, 데이터별로 세부적인 등급 분류 체계를 마련하는 것이다. 현재 엔씨는 모든 데이터와 서비스를 단일한 등급으로 보호하고 있다. 이는 자원 관리 측면이나 협업 측면에서 비효율적이다. 정보보안센터는 사내의 모든 데이터와 서비스의 정보 등급을 4단계로 분류하고, 각 등급별로 필요한 보안 정책을 차등화하여 단계적으로 적용해 나갈 계획이다. 이 작업을 완료하면 높은 보안 등급의 데이터, 서비스는 보안 수준이 향상되고 상대적으로 보안 등급이 낮은 데이터와 서비스는 좀 더 유연하게 사용할 수 있는 환경이 마련될 것이다.
마지막으로 사용자의 행위를 분석하는 ‘UBA(User Behavior Analytics)’를 구축할 계획이다. 제로 트러스트 모델은 모든 사용자의 행위를 모니터링하기 때문에 일반적으로 이상 행위를 모니터링하는 것과 대비해 수집하는 정보의 양과 유형이 훨씬 방대하다. 이처럼 대량의 사용자 행동 데이터를 분석하는 UBA를 구축하게 된다면 정보 유출의 여부를 모니터링할 때 더욱 정교한 분석이 가능해지고, 비정상적인 패턴을 보이는 사용자를 탐지해 접근 권한을 실시간으로 차단할 수 있다.
발 빠른 제로 트러스트 모델의 도입은 명확한 성과를 도출했다. 코로나 팬데믹으로 시작된 재택근무에 유연하게 대처할 수 있었고, 분리된 망들을 안전하게 통합함으로써 임직원의 불편을 개선했다. 이러한 결과가 모여 엔씨는 지난해 ESG 리스크 평가에서 정보보안, 개인정보보호 영역의 글로벌 상위 1% 기업으로 평가받았다.
엔씨의 제로 트러스트는 현재진행형의 여정이다. 제로 트러스트는 단순히 기술적인 솔루션을 구현하는 것으로 끝나지 않는다. 기업의 서비스와 데이터, 기기, 사용자 등 보안과 관련된 요소들을 세부적으로 이해하고 전사 차원에서 긴밀한 관리 체계를 구축해야 한다. 정보보안센터는 이러한 과정들을 전방위적으로 수행하는 동시에 그동안 간과한 보안의 사각지대가 있는지 점검하고 끊임없이 보완해갈 예정이다. 신뢰받는 보안 체계를 구축하기 위한 도전과 노력은 앞으로도 계속될 것이다.
RELATED
Facebook 
KakaoTalk 
LinkedIn 
Email 
Copy URL 
