A Study on the Application of Zero Trust Model for Financial Companies

금융회사 제로트러스트 모델 적용방안에 대한 연구

Abstract

Recently, the financial authorities announced a roadmap for improving network separation to meet the expectations of financial companies that want to use AI technology and cloud technology that are developing every day. In the network separation improvement roadmap announced in August 2024, the regulatory sandbox (Innovative financial service) allowed the expansion and use of external AI technology and external SaaS-type services in the internal network of financial companies that are separated from the network, and in the future, it is planned to be legislated so that it can be used without a regulatory sandbox. Accordingly, the part emphasized by the financial authorities is a security measure based on principle-based-autonomous security-responsibility reinforcement. Each financial company must establish and apply its own security measures, and in the event of an accident, it must take great responsibility. In response to this, it is necessary to introduce a zero-trust model. In this study, we look at this roadmap for improving network separation, and to respond to this, we propose a zero-trust model for financial companies.

최근 금융당국에서는 나날이 발전하는 AI 기술 및 클라우드 기술을 활용하려 하는 금융회사들의 기대에 부응하고자 망분리 개선 로드맵을 발표했다. 2024년 8월 발표한 망분리 개선 로드맵에는 망분리 된 금융회사 내부망에서 외부 AI 기술 및 외부 SaaS형 서비스를 좀 더 확장하여 활용할 수 있도록 규제 샌드박스(혁신금융서비스)를 통해 허용해 주었고, 향후에는 법제화하여 규제 샌드박스 없이 활용할 수 있게 할 계획이다. 이에 금융당국에서 강조하는 부분이 원칙중심-자율보안-책임강화에 기반한 보안대책이다. 각 금융회사는 자체적으로 보안대책을 수립하여 적용해야 되고, 사고 발생시에는 큰 책임을 져야 한다. 이에 대한 대응으로 제로트러스트 모델 도입이 필요하다. 본 연구에서는 금번 망분리 개선 로드맵에 대해 살펴보고, 이에 대응하기 위해 금융회사를 위한 제로트러스트 모델을 제시한다.

1. 서론

최근 금융당국에서는 나날이 발전하는 AI 기술 및 클라우드 기술을 활용하고자 하는 금융회사들의 기대에 부응하고자 망분리 개선 로드맵을 발표했다[1]. 2013년 3.20 전산 대란으로 금융회사 대규모 전산망 마비를 계기로 2013년 12월 금융권 망분리가 도입되었으며 지금까지 10년 넘게 운영이 되고 있다[6]. 그러나 급변하는 IT 발전환경에서 금융회사들은 망분리 규제로 IT 신기술 도입에 제약을 받아왔으며 비즈니스 경쟁에서도 도태되고 있는 상황이다. 이에 금융당국에서는 망분리의 문제를 개선하고자 금융분야 망분리 규제 개선 로드맵을 최근 8월에 발표하였다. 금번 망분리 개선 로드맵에는 망분리 된 금융회사 내부망에서 외부 AI 기술 및 외부 SaaS형 서비스를 좀 더 확장하여 활용할 수 있도록 규제 샌드박스(혁신금융서비스)를 통해 허용해 주었고, 향후에는 제도화하여 규제 샌드박스 없이 활용할 수 있게 할 계획이다. 이에 금융당국에서 강조하는 부분이 원칙중심-자율보안-책임강화에 기반한 보안대책이다. 각 금융회사는 자체적으로 보안대책을 수립하여 적용해야 되고, 사고 발생시에는 큰 책임을 져야 한다. 이에 대한 대응으로 제로트러스트 모델 도입이 필요하다.

본 연구에서는 금번 망분리 개선 로드맵에 대해 살펴보고, 이에 대응하기 위해 금융회사를 위한 제로트로스트 도입 방안에 대해 제시하고자 한다. 제2장 관련 연구에서는 금번 금융당국에서 발표한 망분리 로드맵 개선내용을 살펴보고, 제로트러스트 모델에 대해 살펴본다. 제3장에서는 금융회사를 위한 제로트러스트 모델을 제시한다. 제4장에서는 본 모델의 기대효과를 분석하고 결론을 맺는다.

2. 관련 연구

2.1 금융회사 망분리 개선 로드맵

금융당국은 2024년 8월 금융회사를 위한 망분리 개선 로드맵(그림 1)을 발표하였다[1].

(그림 1) 망분리 개선 단계별 로드맵[1]

본 로드맵은 2025년까지 총 3단계로 단계적으로 진행될 예정이다. 각 단계별로 추진되는 내용을 하나씩 살펴보면 다음과 같다.

우선 1단계는 (그림 2)와 같이 2024년 연내 추진 목표로 규제 샌드박스인 규제특례를 통해 외부 생성형 AI와 외부 클라우드를 활용할 수 있는 범위를 확대하고, 감독규정 개선을 통해 연구개발망에 대한 규제를 완화한다.

(그림 2) 1단계 망분리 개선안[1]

첫째, 전산실에서 외부 생성형 AI 활용할 수 있도록 물리적 망분리를 일부 허용한다. 외부 생성형 AI와 물리적으로 망분리 된 금융회사 전산실과의 연결을 허용하고 가명 처리된 개인신용정보까지 활용할 수 있도록 허용하였다.

둘째, 내부망 업무망에서 클라우드(SaaS) 이용범위를 확대하였다. 업무망에서 이용 가능한 외부 SaaS형 클라우드 사용범위를 가명 처리된 개인신용정보인 가명정보도 허용하고, 기존 현업도구, ERP, 기타내부업무에 허용된 것을 (그림 3)과 같이 보안관리, IT 개발 및 운영, 고객 관련 서비스까지 허용함과 동시에 내부 업무용 모바일 단말기까지 사용할 수 있도록 허용하였다. 더불어 단순 업무용 SaaS형 클라우드 서비스는 업무연속성 계획과 안전성 확보 조치 방안을 간소화시키고, 전자 금융거래와 관련 없고 개인신용정보를 처리하지 않는 경우에는 위수탁 계약내용도 차등화하여 기재할 수 있도록 하였다.

(그림 3) 규제 샌드박스를 통해 업무망에서 확대된 SaaS 서비스 정리

셋째, 연구개발망 망분리 환경을 개선하였다. 연구개발망은 업무망과 논리적 망분리를 허용하고, 개발망에서 개발한 개발소스를 망분리 예외를 통해 물리적으로 망분리된 전산센터로 이관이 가능하게 하였다. 가명 처리된 개인신용정보인 가명정보에 대해서도 활용할 수 있도록 허용하였다. 또한 개발망을 통해 IT개발자가 재택근무를 할 수 있도록 허용하였다.

개선 로드맵 2단계는 (그림 4)처럼 1단계에서 규제 샌드박스를 통해 검증된 과제들에 대해 정규 제도화를 추진하고 추가적으로 규제 샌드박스를 통해 개인신용정보까지 확대 적용한다. 또한 수탁사인 외부 생성형 AI 및 외부 클라우드 서비스 업체에 대한 금융당국의 관리강화를 위해 정보처리 위탁제도를 정비한다.

(그림 4) 2단계 추진과제

첫째, 검증된 규제 특례의 정규 제도화를 한다. 1단계 규제 특례로 운영된 생성형 AI 및 업무망 SaaS 업무 중 성과검증을 통해 2025년 말까지 전자금융감독규정 반영 등을 통해 정규 제도화를 한다.

둘째, 개인신용정보까지 처리를 허용한다. 1단계 과제의 성과검증과 추가 보안대책을 전제로 규제 샌드박스를 통해 실제 개인신용정보의 처리까지 허용한다. 이를 통해 생성형 AI를 이용한 실데이터 기반의 금융상품 개발, 외부 SaaS형 CRM 고도화 등이 가능하다. 단, 개인신용정보를 클라우드로 처리시 개인정보처리시스템은 국내 설치를 기준으로 하는 감독규정 정비를 검토할 예정이다.

셋째, 제3자에 대한 리스크 관리를 강화한다. 금융회사에 생성형 AI 및 SaaS 서비스를 제공하는 수탁사들에 대해 금융당국에서 관리감독을 강화한다. 위탁업무의 중요도 및 위험성에 따라 차등화된 보호조치와 보고체계를 마련할 예정이다.

개선 로드맵 3단계에서는 (그림 5)과 같이 앞서 1, 2단계에 검증한 내용을 바탕으로 가칭 디지털금융보안법(2025년 하반기 입법 추진 예정)을 제정하고 원칙 중심의 자율보안 금융회사 결과책임 보안체계를 마련한다.

(그림 5) 3단계 추진과제

첫째, 금융당국에서는 가칭 디지털금융보안법을 통해 주요한 보안 원칙 및 목표 제시를 하고, 구체적인 기술적 보안통제 사항은 모범사례 가이드로 제시한다. 금융회사는 해당 모범사례를 참고하여 업무의 환경과 인프라 및 보안역량 등에 대한 자체 리스크 평가를 하여 자체적이고 자율적인 세부 보안통제를 구성하고 당국에 보고할 수 있도록 하는 체계를 마련할 예정이다.

둘째, 전산사고 등에 대한 배상책임 강화와 실효성을 가지는 과징금 도입 등과 같은 금융회사의 책임 강화를 위한 법적인 근거를 마련하고, 중요한 보안사항에 대해 최고경영자(CEO)와 이사회에 보고의무, 정보보호최고책임자(CISO)의 역할 확대 등 금융회사의 내부 보안체계를 강화할 수 있도록 할 예정이다.

셋째, 금융당국에서는 금융회사의 자율보안체계 수립 및 이행 등을 검토 및 검증하고, 그 검증 결과에서 일정 수준 이하의 금융회사는 보안수준 제고를 위한 시정요구 및 이행명령을 부과하고 불이행시 엄중제재 및 영업정지 등의 조치를 취할 예정이다.

생성형 AI 기술의 급격한 발전과 클라우드 서비스 활용의 활성화가 되었지만 금융회사들은 망분리 규제로 제대로 활용할 수 없는 환경을 이어져 왔다. 이러한 시대적 발전에 따라 10년 이상 이어져 온 망분리 규제를 더는 유지할 수 없는 상황이 되었으며, 이에 금융당국도 망분리 개선에 적극적으로 움직이고 있다.

금번 망분리 개선 로드맵을 통해 금융 비즈니스는 점차적으로 발전할 수 있을 것으로 예상된다. 그러나 원칙에 따른 자율보안과 금융회사 책임을 강조하는 방향이다 보니 각 금융회사들은 금융 비즈니스를 확장하기 전에 우선적으로는 보안대책에 많은 신경을 써야 될 것이다. 이에 필요한 방법 중에 하나가 제로트러스트 보안모델이다.

2.2 제로트러스트 모델

제로트러스트는 “Never Trust, Always Verify” 사상으로 모든 것을 절대 믿지 말고 항상 검증하자는 보안개념이다[2]. 회사망 내외부에 항상 공격자가 있을 수 있고, 확실한 인증 과정을 거치기 전까지는 모든 사용자와 기기, 그리고 네트워크 트래픽 또한 신뢰하지 않으며, 인증 이후에도 지속적으로 신뢰성을 검증하여 회사의 정보 자산을 보호할 수 있도록 하는 보안모델이다.

제로트러스트 용어는 1994년 4월 스코틀랜드 스털링대학교의 스티븐 폴 마쉬(Stephen Paul Marsh)가 박사학위 논문 ‘Formalising Trust as a Computational Concept’에서 처음 언급을 하였다[3]. 본 논문에서 마쉬는 신뢰를 컴퓨터 과학적 개념으로 정의하고, 신뢰를 기반으로 하는 보안 모델을 제안하였다. 이후 (그림 6)과 같이 2010년 포레스터 리서치(Forrester Research) 수석 애널리스트인 존 킨더버그(John Kindervag)가 본 개념을 구체화한 제로트러스트 개념을 언급하였으며, 이 모델이 발전되어 2020년 미국표준기술연구소 NIST에서 제로트러스트 아키텍처를 발표하였다. 2021년 5월에는 미정부에서 각 기관에 제로트러스트 아키텍처를 도입하도록 행정명령을 발표하였다. 각 미 연방정부에서는 2024년 9월까지 제로트러스트 전략을 도입할 계획이다[2].

(그림 6) 제로트러스트 발전 배경[2]

우리나라도 제로트러스트 도입의 필요성에 따라 2022년 10월 한국제로트러스트포럼이 구성이 되었고, 2023년 7월에 제로트러스트 가이드 1.0이 발표가 되었다. 현재 가이드라인 1.0 기준으로 시범사업을 하고 있으며, 이를 바탕으로 국내환경에 적합한 제로트러스트 모델을 개발할 예정이다.

미국표준기술연구소 NIST에서 언급한 제로트러스트 모델 구현에는 3가지 핵심원칙이 있는데 <표 1>과 같다[2][4].

<표 1> 제로트러스트 모델 구현 3가지 핵심원칙[2]

제로트러스트 모델 구현의 3가지 원칙은 강화된 인증과 마이크로 세그멘테이션, 그리고 소프트웨어 정의 경계이다. 아이디/패스워드 외 다양한 인증정보를 활용하여 지속적 인증을 구현하고, 서버와 컴퓨팅 서비스 등을 중심으로 작은 단위로 분리하고, 소프트웨어 정의 기반 중심으로 보호 대상을 분리 보호가 될 수 있도록 하고 있다.

앞서 설명한 제로트러스트 3가지 핵심요소를 기반으로 미국표준기술연구소 NIST에서 언급한 제로트러스트 아키텍처 모델 구성은 (그림 7)와 같다[2].

(그림 7)제로트러스트 아키텍처 보안 모델 및 논리 구성 요소[2]

접근정책이 결정되는 부분은 제어 영역 Control Plane로 부르고, 정책이 실행됨으로써 접근 주체가 회사의 리소스에 접근하는 영역은 데이터 영역 Data Plane이라고 한다.

제어 영역에서는 정책결정지점인 PDP와 정책 시행지점인 PEP와의 통신을 통해, 접근 주체가 요청하는 회사 리소스에 대한 접근의 허용 여부 판단 정보와 해당 판단 결과에 대한 정보를 서로 주고 받는다. 여기에 PDP 정책결정지점은 다시 각 역할에 따라 정책 엔진인 PE(Policy Engine)와 정책 관리자인 PA(Policy Administrator)로 나누어 질 수 있다. PEP 정책시행지점은 데이터 영역에서 접근 주체가 회사 리소스에 접근코자 할 때 결정된 정책에 의거 연결 및 종료를 수행한다[7][8].

* 정책 엔진(PE, Policy Engine): 접근 주체가 리소스에 접근이 가능한지를 최종 결정하는 영역으로 신뢰도 평가 데이터를 통해 접근을 허가하거나 거부할 수 있다. 정책 엔진은 접근에 대한 승인을 담당하고 정책 관리자는 결정을 실행하는 역할을 한다.

* 정책 관리자(PA, Policy Administrator): 정책 엔진과 함께 PDP 정책결정지점을 구성하며, PEP 정책시행지점에 명령을 내려 접근 주체와 리소스 사이에 통신 경로를 생성 또는 폐쇄하고, 정책 관리자는 세션에 대한 인증 및 인가 토큰을 생성하여 접근 주체가 회사 리소스에 접근하는데 사용하도록 한다. 정책 관리자는 세션을 최종적 허락하거나 거부 결정을 정책 엔진에 의존한다. 세션이 인가되면 정책 관리자는 PEP 정책시행저점에게 세션 시작을 허용하고, 세션이 거부되거나 취소되는 경우 PEP 정책시행지점에게 해당 연결을 끊으라고 신호를 보낸다.

* 정책시행지점(PEP, Policy Enforcement Point): 접근 주체와 회사 리소스를 연결하고 모니터링하고 최종 연결을 종료하는 논리적 구성 요소이다. 정책 관리자와 통신하여, 접근 요청을 전달하고 업데이트 되어진 정책을 수신한다.

제로트러스트 아키텍처 관점에서 PEP 정책 시행지점은 한 개의 논리 구성 요소이지만, 두 가지의 다른 구성 요소로 구분될 수 있다. 예시를 들어보면 노트북에 설치된 에이전트와 리소스 앞에서 접근제어하는 게이트웨이 기능으로 동작할 수도 있고, 통신 경로상에서 게이트웨이 역할을 하는 포탈의 구성 요소로의 동작도 가능하다. PEP 정책시행지점을 넘어서면, 회사 리소스를 제공하는 신뢰 영역이 된다.

경계기반 보안에서 주로 많이 활용되는 PEP 역할의 방화벽, PDP 및 PEP 기능을 가진 NAC, PDP 역할을 하는 소프트웨어 정의 경계 방식의 SDP(Software-Defined Perimeter) Controller, PEP 역할을 하는 SDP Gateway, PEP 역할을 하는 클라우드 상의 리소스 제어에 관한 CASB(Cloud Access Security Broker), PEP 역할을 하는 웹 기반 위협 관점에서 트래픽을 차단하는 SWG(Secure Web Gateway), 그리고 이들 기능을 모두 포함하는 SSE(Secure Service Edge), SASE(Secure Access Service Edge) 등이 이에 해당이 된다[2].

신뢰도 판단용 데이터는 접근의 결정을 위해 활용되는 데이터의 입력 요소로 정책 엔진의 입력 또는 정책 규칙으로 활용할 수 있다[2].

• 규제 및 내부 규정: 회사가 영향을 받을 수 있는 규제(정보보호, 프라이버시 관련 법안, 산업별 정보보호 요구사항 등)와 회사가 규제를 지키기 위해 수립한 모든 정책 및 규칙을 포함하고 있다.

• 데이터 접근 정책: 회사 리소스 접근에 관한 속성과 규칙, 그리고 정책을 의미한다. 규칙들은 정책 엔진의 관리 인터페이스를 통해 입력되거나 동적으로 생성이 되고, 정책들은 회사 계정 및 응용 서비스에 대한 기본 접근 권한을 생성하고 리소스에 대한 접근을 인가하는 시작점이 된다. 이 정책들은 필히 해당 기관에서 정의한 역할과 필요에 기반을 두어야 한다.

• 보안 정보 및 이벤트: 보안 분석을 위한 정보를 수집하고, 이 정보는 정책을 개선하고 회사 자산에 가능한 공격을 분석하고 탐지하는데 활용된다.

• 위협 인텔리전스: 내부 및 외부의 데이터 입력 요소로부터 정책 엔진의 접근 결정을 돕기 위해 신규로 발견된 공격이나 취약점에 관한 정보를 제공한다. 새로 발견된 소프트웨어 취약점, 새롭게 발견된 악성코드, 외부 자산에 대해 보고된 공격 등을 포함한다.

• ID 관리 시스템: IAM(Identity Access Management), ICAM(Identity, Credential and Access Management)이 여기에 해당이 되며, 회사 사용자의 계정과 그 식별 기록을 생성하고 저장, 관리해주는 시스템이다. 필요한 접근 주체에 대한 정보와 특징(역할, 접근 속성, 할당 자산 등)을 포함할 수 있고, 사용자 계정과 연관된 정보를 활용하기 위해 PKI 등 다른 시스템과 연계할 수 있다. 외부 근로자 혹은 외부자산을 포함하여 더 확대된 연합 공동체의 일부로서 존재할 수 있다.

• 네트워크 및 시스템 행위 로그: 행위에 대한 로그 기록으로 자산의 각종 생성 로그, 네트워크 트래픽 정보, 리소스에 대한 접근 행위 정보, 회사망의 보안상태에 대해 실시간 피드백을 제공하는 기타 이벤트 등이 있다.

이와 같이 제로트러스트 시스템을 크게 PDP 정책결정지점과 PEP 정책시행지점으로 구성하고 적용할 수 있다.

3. 금융회사를 위한 제로트러스트 모델

본 장에서는 금융당국의 망분리 개선 로드맵과 제로트러스트 모델을 바탕으로 금융회사에 맞는 제로트러스트 모델을 제시하고자 한다.

금융당국에서는 원칙중심-자율보안-결과책임을 강조하고 있다. 금융당국에서는 기본원칙만 제시를 하고, 이 원칙에 따른 보안대책을 금융회사 자율적으로 수립하고 적용해야 된다. 그러나 금융사고 발생 시에는 금융회사의 책임이 강화될 것이다. 전자금융 감독규정이 개정되고, 디지털금융보안법이 제정이 된다면 각 금융회사에서는 사고가 발생하지 않도록 선진기업 수준의 보안대책을 적용해야 된다.

3.1 금융회사를 위한 제로트러스트 모델 제언

금융당국에서는 원칙중심-자율보안-결과책임을 강조하고 있다. 금융당국에서는 기본원칙만 제시를 하고, 이 원칙에 따른 보안대책을 금융회사 자율적으로 수립하고 적용해야 된다. 그러나 금융사고 발생시에는 금융회사의 책임이 강화될 것이고, 전자금융감독규정이 개정되고 디지털금융보안법이 제정이 된다면 각 금융회사에서는 사고가 발생하지 않도록 선진기업 수준의 보안대책 적용이 필요하다.

이러한 변화에 대응하기 위해 계정계 코어와 같이 핵심시스템들은 기존과 같은 망분리 보호체계를 갖추어 운영하고, 정보계 및 내부 업무용 시스템, 대고객 서비스 시스템은 중요도에 따라 프라이빗 클라우드, 퍼블릭 클라우드 서비스로 구성하여 유연하게 운영할 수 있는 제로트러스트 모델을 제언한다. 이는 최근 국정원에서 발표한 공공기관 다층보안체계(MLS: Multi Level Security)의 개념이라고도 할 수 있다[5]. 공공기관 다층보안체계는 정보시스템을 중요도에 따라 3개 등급기밀(Classified)/민감(Sensitive)/공개(Open)로 분리하고, 각각에 맞는 보안체계를 적용하는 개념이다.

3.2 금융회사를 위한 제로트러스트 모델

앞서 설명한 바와 같이 금융분야에서는 공공분야의 3계층 보안체계가 아닌 2계층 보안체계를 제시한다. (그림 8)에서 제시한 바와 같이 크게 두 개 영역으로 나뉜다. 하나는 망분리 영역이고, 나머지 하나는 제로트러러스트 영역이다.

(그림 8) 금융회사를 위한 제로트러스트 모델

망분리 영역은 기존의 폐쇄적인 물리적 망분리를 유지하는 영역으로 기존의 보안정책 및 체계를 그대로 유지한다. 공공기관으로 보면 기밀(Classified)/민감(Sensitive) 영역으로 계정계 시스템과 대외계 시스템과 같은 핵심 코어 시스템과 고객정보, 금융정보, 신용정보 등이 여기에 포함이 된다.

제로트러스트 영역은 정보를 실제 활용하는 영역으로 정보계 시스템, DMZ 서비스영역, 업무지원시스템, AI, 클라우드, 가명정보가 여기에 속한다. 이 영역은 폐쇄적인 망분리가 아닌 제로트러스트가 적용되는 영역이다. 이 영역은 서비스 및 데이터의 활용 성격에 따라 제로트러스트의 핵심원칙인 마이크로세그멘테이션, 소프트웨어 정의경계로 세부적으로 나누고, 강화된 인증체계를 적용한다.

이를 실제적으로 적용하기 위해 제로트러스트 모델의 주요 구성요소인 6가지 핵심요소와 3가지 교차요소를 알아본다[2]. 우선 6가지 핵심요소는 다음과 같다.

• 식별자·신원(Identity): 가장 핵심요소로 사람과 서비스 또는 IoT 기기 등을 고유하게 설명할 수 있는 속성 혹은 속성의 집합이다. 회사는 식별자를 가진 사람 또는 기기가 리소스에 접근하려고 하면 강한 인증 방식을 통해 해당 식별자를 검증하고, RBAC(Role-Based Access Control) 또는 ABAC(Attribute-Based Access Control)등의 세부적인 접근제어 규칙을 통해 정해진 시간 동안 해당 리소스에 접근을 보장할 수 있어야 한다.

• 기기 및 엔드포인트(Device/Endpoint): 기기는 IoT, 휴대폰, 노트북 및 PC 등으로 네트워크에 연결되어 데이터를 주고 받는 모든 하드웨어 기기를 의미한다. 해당 기기는 일반적으로 기관 소유이나 BYOD(Bring Your Own Device)와 같은 개인 기기일 수도 있다. 회사는 기기에 대한 목록을 유지하고, DLP(Data Loss Prevention), MDM(Mobile Device Management) 등의 기술을 통해 리소스에 접근하려는 기기에 대한 신뢰도를 평가하고 허가되지 않았거나 신뢰되지 않은 기기가 리소스에 접근하는 것을 차단할 수 있어야 한다.

• 네트워크(Network): 네트워크는 회사의 유선망과 무선망, 클라우드 접속을 하는 인터넷망 등 데이터를 송수신하기 위해 사용되는 모든 형태의 통신 매체를 포함하는 영역으로 회사는 네트워크를 작은 단위로 분리하여 접근을 통제하고, 내외부의 데이터 흐름을 관리할 수 있도록 하여야 하며, 특히 공격자가 접근하면 안되는 네트워크로의 이동을 차단할 수 있어야 한다.

• 시스템(System): 시스템은 중요한 응용 프로그램을 구동하고 중요한 데이터를 저장하고 관리하는 서버를 말한다. 온프레미스와 클라우드에 구축하여 운용 중인 모든 서버 시스템들이 여기에 속한다. 시스템 관리자 또는 개발자가 시스템에서 admin 계정과 같은 주요 권한자로 접속하고 시스템을 관리하는 경우, 시스템의 주요 파일에 대한 읽기와 쓰기, 주요 명령어 사용 등의 리소스 접근에 대해 세밀하고 정밀한 접근제어가 이루어져야 한다. 또한 세션 연결시 마다 다중 인증(MFA) 등의 강력한 신원 확인과 함께 위험 관리 절차를 포함해야 한다.

• 응용 및 워크로드(Application & Workload): 온프레미스와 클라우드 환경에서 실행되는 프로그램 및 서비스를 의미하며, 데이터를 주고받기 위한 인터페이스(API 등)도 여기에 포함한다. 회사는 응용과 컨테이너, 그리고 가상머신 등을 보호 및 관리하고 데이터가 안전하게 전달될 수 있도록 보장할 수 있어야 한다.

• 데이터(Data): 회사에서 가장 최우선적으로 보호해야 할 리소스이다. 회사는 데이터 리스트를 작성하고, 분류 및 레이블을 지정하고, 중요성에 따라서 암호화를 적용하고, 저장 또는 전송 중인 데이터에 대해서도 보호해야 한다. 또한, 허가되지 않은 데이터의 유출을 대응하기 위한 기법도 적용해야 한다.

이러한 핵심 요소들을 통해 보안성 및 신뢰도에 대한 판단을 강화하고 세밀하고 적절한 접근제어가 되도록 제로트러스트 아키텍처를 구현해야 한다.

다음 3가지 교차요소는 앞서 설명한 6가지 핵심요소를 아울러서 통합적으로 적용이 필요한 영역이다[2][9].

• 가시성 및 분석 (Visibility and Analytics): 사용자 및 기기, 응용 및 워크로드 상태의 확인 등 상황에 맞는 세부적인 정보를 통해 분석하고 가시성을 제공한다. 회사는 이를 통해 비정상 행위에 대해 탐지를 향상시키고, 보안정책과 접근제어 결정을 동적인 방법으로 변경시킬 수 있다. 네트워크 트래픽을 패킷단위로 캡쳐하고 분석하여 네트워크로 들어오는 모든 종류의 위협을 모니터링하고 지능적인 방어기법을 적용해야 한다.

• 자동화 및 통합(Automation and Orchestration): 자동화된 정책 기반 보안 프로세스를 적용하여 보다 신속한 보안 조치가 가능하게 한다. SIEM과 기타 자동화 보안 솔루션의 통합, SOAR의 적용 등이 여기에 해당이 되며, 이를 통해 제로트러스트 아키텍처를 구현하고 회사의 모든 환경에서 정의 되어진 프로세스와 통합하여 통일된 보안정책을 적용한다면 자동화 되어진 통합 보안 대응이 가능하다.

• 거버넌스(Governance): 회사의 비즈니스와 외부 컴플라이언스에 따른 제로트러스트 보안정책을 수립하는 영역으로 이를 시스템에 반영할 수 있도록 정책화 및 규칙화 해야 한다.

제로트러스트 6가지 핵심요소들과 3가지 교차 요소들은 제로트러스트를 구성하기 위해 필수 요소들이며, 이를 기반으로 제로트러스트 핵심원칙인 강력한 인증과 마이크로세그멘테이션, 그리고 소프트웨어 정의경계 기반으로 제로트러스트 시스템을 구현할 수 있다.

4. 결론

본 논문에서는 금융회사가 금융당국 망분리 개선 로드맵에 따른 보안대책으로 제로트러스트 모델을 제안하였다. 제안한 금융회사 제로트러스트 모델은 망분리 개선 로드맵에 대한 보안대책으로 활용할 수 있는 최적의 보안모델이다. 제로트러스트 모델은 미국에서 2010년부터 연구하여 발전시켜 왔고 국가차원에서 표준화하여 미정부차원에서 각 부처에 적용하고 있는 검증된 모델이다.

본 논문에서는 우리나라 금융회사 시스템을 고려한 다층보안체계(MLS:Multi Label Security)를 제시하고 제로트러스트 모델을 제시하였다. 금융시스템의 코어시스템과 고객 및 금융정보를 중요영역으로 구분하여 망분리체계를 유지하고, 정보를 활용하는 영역을 제로트러스트 모델 적용 영역으로 구분하고 적용하였다. 이를 통해 핵심정보가 있는 영역은 망분리로 확실히 보호하고, 정보를 활용하는 영역은 선진국가에서 도입하고 있는 제로트러스트 모델을 적용함으로써 정보를 안전하게 보호하고 활용할 수 있다.

본 논문에서 제안한 제로트러스 모델은 아직 우리나라에서는 초기단계로 적용한 사례가 거의 전무하다. 본 논문에서 제안한 모델을 실제 금융회사에 적용해 봄으로써 금융회사를 위한 제로트러스트 모델이 구체화 될 것으로 기대된다. 현재 한국인터넷진흥원에서는 제로트러스트 실증사업 및 검증사업을 진행 중이다. 금융회사의 경우 본 논문에서 제시한 방안을 적용해 본다면 금융회사에 적합한 제로트러스트 모델을 검증할 수 있을 것으로 사료된다.