Speaker A
일단 보안하면 떠오르는 게 바로 떠오르는 단어 그냥.
제로 트러스트 보안 모델의 개념과 필요성, 그리고 기존 보안과의 차이점을 삼성SDS와 안될과학이 쉽게 설명합니다.
Key Takeaways
- 제로 트러스트는 '절대 신뢰하지 말고 항상 검증하라'는 철학이다.
- 기존 경계 보안 모델은 내부 신뢰에 기반해 한계가 있었다.
- 보안은 비용과 불편함을 수반하므로 리스크에 맞는 적절한 보안 수준이 필요하다.
- 현대 디지털 환경에서는 제로 트러스트가 필수적 보안 전략으로 자리잡고 있다.
- 보안은 기술뿐 아니라 원칙과 접근법의 문제임을 이해해야 한다.
Summary
- 제로 트러스트는 신뢰하지 않고 항상 검증하는 보안 원칙의 집합이다.
- 백악관과 미국 정부 기관에서 공식적으로 제로 트러스트 전략을 채택하고 있다.
- 기존 보안 모델은 내부를 신뢰하는 경계 보안 모델이었으나, 제로 트러스트는 이를 극복한다.
- 제로 트러스트는 기술이나 제품이 아닌 보안에 대한 철학과 접근법이다.
- 보안은 중요하지만 비용과 불편함이 크기 때문에 효율적인 보안 적용이 필요하다.
- 인간관계와 달리 보안에서는 절대 신뢰하지 않고 항상 검증해야 한다.
- 과거에는 인간성에 기반한 신뢰가 가능했으나, 현대에는 개인주의와 복잡한 위협으로 제로 트러스트가 필요하다.
- 리스크 크기에 따라 보안 수준을 조절하는 것이 현실적이고 효율적인 접근법이다.
- 인터넷과 디지털 환경의 확산으로 보안 리스크가 크게 증가했다.
- 제로 트러스트는 기존 경계 보안 모델의 한계를 극복하고 현대 보안 환경에 적합한 모델이다.
Full Transcript — Download SRT & Markdown
Speaker B
삼성SDS.
Speaker C
아 내가 하려 했는데.
Speaker C
아 삼성SDS 그것만 하지 말아라 했는데 그걸 하네.
Speaker B
난 보안하면 늘 삼성SDS였어.
Speaker C
아 그것만 하지 말아라 생각했는데. 다른 단어가 텔레파시야 거의.
Speaker B
다른 단어가 뭐지 도대체?
Speaker A
인사할 시간도 많습니다.
Speaker C
여러분의 시간을 낭비해 드릴 느리지만 쿨한 과학.
Speaker A
삼성SDS와 안될과학이 함께하는 제로 트러스트 편입니다.
Speaker A
반갑습니다 교수님들.
Speaker C
반갑습니다.
Speaker B
반갑습니다.
Speaker A
저는 디사일로라는 스타트업을 맡고 있는 이승명이라고 합니다.
Speaker C
아 반갑습니다.
Speaker A
오늘 이야기 나눌 주제는 바로 제로 트러스트.
Speaker A
제로 트러스트라는 단어를 들어보셨어요 원래?
Speaker C
사실 저는 안 들어봤어요.
Speaker A
모르겠어요 제로 트러스트?
Speaker A
최근에 이제 제로 트러스트란 단어가 많이 많이 쓰이다가 가장 최근에 이제 백악관에서 제로 트러스트 전략이라는 걸 발표하기도 했어요.
Speaker C
예.
Speaker A
그러니까 제로 트러스트라는 게 일종의 어떤 보안 모델이라고 볼 수 있는데.
Speaker C
음.
Speaker A
이거를 백악관에서 미국 정부 기관들이 이런 제로 트러스트 원칙을 지켜야 된다.
Speaker A
이런 걸로 사이버 시큐리티라고 하죠.
Speaker A
이런 걸 앞으로 어떻게 해야 되는지에 대한 어떤 그런 발표까지 있을 정도로 굉장히 많이 쓰이고 있습니다.
Speaker C
어 이렇게 공식적인 문서에 딱 드러날 수 있는 단어 수준의.
Speaker A
네.
Speaker C
어떤 핫한 트렌드다.
Speaker A
맞습니다.
Speaker A
제로 트러스트의 그 정의가 사실 굉장히 혼란스러워요.
Speaker C
어.
Speaker A
그러니까.
Speaker A
구글에서 검색해 보시면은 이거에 대해서 설명하는 것들이 굉장히 많은데.
Speaker C
예.
Speaker A
설명을 자세히 읽어보면 조금씩 조금씩 다 다릅니다.
Speaker A
그래가지고 뭐 뭐라고 이걸 소개해야 될까 고민을 굉장히 많이 하다가.
Speaker C
예.
Speaker A
그 백악관 아까 얘기 나왔잖아요.
Speaker A
그래서 백악관에서 아마 그 MIT의 링컨 연구소라는 곳에 어떤 이거에 대한 연구를 조금 의뢰했던 거 같아요.
Speaker C
어.
Speaker A
거기에서 나왔던 거 기준 그게 어떻게 보면 상당히 최근에 나왔던 거고 어쨌든 가장 표준에 가깝지 않을까.
Speaker A
해서 거기에 나와 있는 설명을 가져왔는데 어쨌든 저 노란색으로 되어 있는 부분을 보면.
Speaker A
set of principles라고 돼 있잖아요.
Speaker A
그러니까 이거는 어떤 기술명이라든지 제품이라든지 이런 걸 의미하는 것이 아님.
Speaker A
어떤 원칙들의 셋이다.
Speaker C
원칙 세트.
Speaker A
맞습니다.
Speaker A
그러니까 우리가 뭐 어떻게 해야 된다 우리가 보안은 이런 식으로 지켜야 된다 저런 식으로 지켜야 된다.
Speaker A
원칙이 있잖아요.
Speaker A
그러니까 우리는 평상시에 너무 믿으면 안 된다는 것도 하나의 원칙.
Speaker C
어.
Speaker A
이것도 어떻게 보면 원칙이잖아요.
Speaker A
근데 그렇다라 그래서 그러면 이게 그러면 어떤 실체가 있냐라고 하면.
Speaker A
실체가 있다 없다 말하기 좀 애매하죠.
Speaker C
그렇죠.
Speaker A
그래서 우리는 제로 트러스트라는 거는 우리가 보안을 대하는 뭐 자세나 혹은 어프로치.
Speaker A
이렇게 봐야지 좀 더 구체적인 걸 말하려고 하면은 제로 트러스트 아키텍처라든지.
Speaker C
어.
Speaker A
뭐 약간 이런 단어를 써야 합니다.
Speaker A
실제로 구현한 건 이제 제로 트러스트 아키텍처.
Speaker C
너무 깔끔한데 설명이.
Speaker B
어 그러니까.
Speaker A
일단 제가 개인적으로 좀 좋아하는 말이긴 한데요.
Speaker A
저기 Trust, but verify라는.
Speaker A
유명한 말이 있어요.
Speaker A
저게 어떤 의미인지는 보면 바로 이해가 되시죠.
Speaker A
기본적으로 사람을 신뢰하되 믿더라도 우리가 그냥 마냥 신뢰만 하면은 오히려 약간 나중에 문제가 생길 여지가 있으니까.
Speaker A
신뢰를 바탕으로 그래도 우리는 항상 검증하는 체계가 있어야 된다.
Speaker A
라는 게 이제 제 기본적인 철학이랑 좀 많이 비슷하거든요.
Speaker B
저 명언이 딱 지금 우리 지타님 말씀처럼 믿지.
Speaker B
괄호 열고 못 믿음.
Speaker B
이 말 아닙니까?
Speaker A
어.
Speaker C
그렇다고.
Speaker B
마냥 믿잖아.
Speaker C
괄호 열고 못 믿음.
Speaker A
근데 이제 저 말이랑 어떻게 보면은 완전 좀 상반된 게 이제 제로 트러스트의 철학이에요.
Speaker C
어.
Speaker A
핵심은 오히려 저거예요.
Speaker A
이제 Never trust. Always verify.
Speaker C
음.
Speaker A
그러니까 절대로 신뢰하지 말고 항상 검증해라.
Speaker A
틀릴 수도 있다고 생각하는 거예요?
Speaker A
그러니까 뭐냐면 아까 말씀드렸던 것처럼 원래는 신뢰 우리가 안 한다라고 하면서도 사실은 신뢰하고 있던 부분들이 있는 거예요.
Speaker C
그렇죠.
Speaker A
그래서 그걸 뭐 implicit trust라고 이제 묵시적인 어떤 신뢰라고 하는데.
Speaker A
그게 사실은 되게 약점이었던 거예요.
Speaker B
정말 많은 사람들이 듣는 게.
Speaker C
어 또.
Speaker B
그 혹시 미드 중에 24시라는 미드 아세요?
Speaker C
어 아세요.
Speaker C
옛날 미드 아닌가?
Speaker B
엄청 옛날 미드인데.
Speaker C
어.
Speaker B
이게 주인공이 있고 주인공의 조력자 같은 분이 있고 주인공의 뭐 애인이 있고 주인공의 어린 시절 친구가 있고 다 있잖아요.
Speaker B
다 배신해요.
Speaker A
항상 배신자가 있죠.
Speaker B
100% 다 배신해요.
Speaker B
어느 정도 수준이냐면 이런 거잖아.
Speaker B
배트맨이 다 안 믿어도 알프레드는 믿잖아.
Speaker C
어 그렇지.
Speaker B
어 아이언맨 같은 경우도 다 안 믿어도 그 옆에 그 우리 비서해 주는 분 계시잖아요.
Speaker B
믿잖아.
Speaker C
어 그렇죠 그렇죠.
Speaker B
소닉이 테일은 믿어야 되잖아.
Speaker C
어 그렇죠 그렇죠.
Speaker B
마리오도 루이지는 믿어야 되잖아.
Speaker C
어 그렇죠.
Speaker B
근데 루이지도 배신하고 테일도 배신하고.
Speaker C
그렇지.
Speaker B
24시 보면은 자기 자신 빼고 다 배신해요.
Speaker C
근데 이거 이 말씀을 들어보니까 이 문장을 인간관계에 쓰면 안 되겠네요.
Speaker C
보안에 써야겠네.
Speaker A
이거.
Speaker C
맞죠 맞죠.
Speaker A
인간관계에 쓰면 인간관계가 파탄 나죠.
Speaker C
그렇죠 파탄 나죠.
Speaker B
알프레드한테 통수 맞는 거야 배트맨이.
Speaker C
그렇지.
Speaker A
그러니까 궤도님이 약을 약님을 믿으면 안 되는 거죠.
Speaker B
저희는 항상 검증해요.
Speaker C
저희는 검증 파티입니다.
Speaker A
Trust but verify.
Speaker C
아 저희가 저희 격언 알려 드릴게요.
Speaker C
Verify and Verify.
Speaker B
맞아.
Speaker C
Always verify.
Speaker B
우리는 우리 자신을 못 믿어요.
Speaker C
맞아요.
Speaker B
어 뭐가 나와도 야 이거 맞냐 이거.
Speaker B
그러면은 약님, 공진님, 항성님 다 검증해야 돼.
Speaker C
계속 검증해야 돼요.
Speaker B
교차 검증해야 돼요.
Speaker A
아니 그러니까 이거는 인간관계가 아니라 보안에서는 항상 Trust But Verify가 아닌 Always Verify가 맞다라고 이제 주장하는 게 이제 제로 트러스트 개념이라라고 한 번 다시 한번 말씀드릴 수 있을 것 같아요.
Speaker C
든든하네요 뭔가.
Speaker A
어.
Speaker A
철저하니까.
Speaker C
그러니까.
Speaker A
안전할 거잖아요.
Speaker A
당연히 보안이니까 안전하면 안전할수록 좋은 거 아닌가?
Speaker A
그렇게 볼 수 있죠.
Speaker A
이렇게 좋았는데.
Speaker A
근데 왜 지금까지는 이게 그렇게 두각을 나타내지 못했을까요?
Speaker C
일단은 뭐 둘 중에 하나가 아닐까 싶어요.
Speaker B
저는 두 가지 이유가 있는 거 같아요.
Speaker C
오.
Speaker A
오.
Speaker C
오.
Speaker C
어.
Speaker C
뭐 먼저 가시죠.
Speaker B
먼저 가시죠.
Speaker C
어 가세요.
Speaker B
가세요.
Speaker B
제가 봤을 때는 첫째 인간성을 상실한 시대다.
Speaker C
하하하하하하.
Speaker A
하하하하하하.
Speaker C
과거에는.
Speaker B
과거에는 우리가.
Speaker B
최소한의 인간애가 있었어.
Speaker C
그러니까.
Speaker B
어 근데 이제는 정말 인간성을 상실한 시대야.
Speaker C
과거는 어 이웃집 있을 때 문 열어 놓고 가 다 다니고.
Speaker B
그러니까.
Speaker C
여름에는 뭐 문 열고 다녔어요.
Speaker C
그 다음에 뭐 이리로 가다가 뭐 부모님 안 계시니?
Speaker C
이쪽 집 가서 밥 먹고.
Speaker B
어.
Speaker B
근데 지금은 이제 개인주의.
Speaker B
그러니까 철저히 가자.
Speaker B
첫째 이게 있고요.
Speaker B
두 번째로는 그만큼 어려운 거야 제로 트러스트가.
Speaker C
아.
Speaker B
왜냐면 효율성이 너무 떨어져요.
Speaker B
우리 효율성이라는 거는 필요한 핵심만을 공략해서 해결해야 됩니다.
Speaker B
근데 처음부터 끝까지 A2G를 하나도 신뢰하지 않아.
Speaker B
이거는 과거에는 기술적으로 힘들었던 거죠.
Speaker C
아.
Speaker B
요렇게 두 가지 의견을 제가.
Speaker B
좀 제안 드려보겠습니다.
Speaker C
아.
Speaker A
약님 어떻습니까?
Speaker C
뭐 상황이 바뀐 거죠 말 그대로.
Speaker C
옛날에는 고 정도로 할 필요가 없었는데 지금은 뭐 예를 들면 뭐 사용자의 그 행태라든가.
Speaker C
혹은 그 해커들의 행태들이 완전 제로 스트레스를 할 수밖에 없는 어떤 환경이 되지 않았을까.
Speaker B
무언가.
Speaker C
뭔지는 정확히 모르겠지만.
Speaker B
너무 창의적이 돼 버렸어.
Speaker A
아 그래요?
Speaker A
아.
Speaker A
종합해 보면.
Speaker C
종합해 보면.
Speaker B
인간성의 상실 좋았어요.
Speaker A
인간성의 상실은 뺄게요 제가.
Speaker C
예능이라서.
Speaker A
아 예능이라.
Speaker C
아 예능이라 예능으로 넣은 거예요.
Speaker A
아.
Speaker A
그.
Speaker A
일단 그거에 대한 답으로 넘어가기 전에 먼저 보안이라는 거에 대해서 한번 좀 약간 어떤 근본적인 질문으로 돌아가보면요.
Speaker C
아 좋습니다.
Speaker A
일단 보안하면 떠오르는 게 바로 떠오르는 단어 그냥.
Speaker B
삼성SDS.
Speaker C
아 내가 하려 했는데.
Speaker C
아 삼성SDS 그것만 하지 말아라 했는데 그걸 하네.
Speaker B
난 보안하면 늘 삼성SDS였어.
Speaker C
아 그것만 하지 말아라 생각했는데. 다른 단어가 텔레파시야 거의.
Speaker B
다른 단어가 뭐지 도대체?
Speaker A
약님 어떻습니까?
Speaker C
하하하하하하.
Speaker C
저는 뭐 아 다른 거 생각해야 되네.
Speaker A
아 그러면은 보안하면 떠오르는 긍정적인 것과 부정적인 것?
Speaker A
얘기를 한번 해 보시겠어요?
Speaker C
예 보안하면은 뭐 일단은 나의 정보를 지켜주는 그런 긍정적인 이미지.
Speaker C
부정적인 건 불편해요.
Speaker B
아.
Speaker B
아 너무 정확하다.
Speaker A
너무 정확합니다.
Speaker C
비밀번호 다 까먹어요.
Speaker B
다 까먹어.
Speaker A
그게 정확하게 중요한 포인트인데요.
Speaker A
보안이라는 건 결국에는 우리가 중요한 거를 지키기 위해 존재하는 거니까.
Speaker A
되게 중요한 거잖아요.
Speaker A
하지만.
Speaker A
이게 굉장히 비용이 있는 거예요.
Speaker A
중요하다, 비싸다, 귀찮다 얘기하셨던 다 다 그거거든요.
Speaker A
비싸다라는 건 어떻게 보면 귀찮다의 좀 상위 개념일 수도 있어요.
Speaker C
그렇죠.
Speaker A
저것도 간접적인 비용이라고 볼 수 있으니까.
Speaker C
시간적으로.
Speaker A
내가 뭐.
Speaker A
일할 때마다 매번 뭔가 귀찮은 거 하면 그게 사실은 간접 비용이라고 볼 수 있잖아요.
Speaker C
맞아요.
Speaker A
보안은 사실 돈이거든요.
Speaker B
그렇죠.
Speaker A
저게 뭐 6조 얼마입니다라고 하는 게 어 시장이 엄청 크구나 싶지만 한편으로는 누군가는 보안을 위해서 돈을 계속 쓰는 거거든요.
Speaker C
음.
Speaker A
그러니까 결국 보안은 비용입니다.
Speaker A
그래서 이 비용이니까 사실 굳이 특별한 이유가 있지 않으면은 비용을 줄이고 싶겠죠.
Speaker C
그렇죠.
Speaker A
기본적으로.
Speaker A
굉장히 비효율적인 거예요.
Speaker A
너무 귀찮다.
Speaker A
예를 들어 옛날에 저희가 웹 브라우저 쓸 때 익스플로러 쓸 때 액티브X 계속 깔아야 되는 거.
Speaker C
아 그렇죠.
Speaker A
얼마나 귀찮나요.
Speaker C
아 정말 귀찮죠.
Speaker A
네 그거 매번 설치했다가 또 뭔가 문제 생기면 지웠다가 또 설치하고 그래도 안 되고.
Speaker C
막 재부팅하고.
Speaker B
뭐 하나 또 잘못 누르면 처음부터 다시 해야 돼.
Speaker C
그러니까.
Speaker B
싹 날아가.
Speaker A
그거는 보통 그리고 어떤 때 많이 있었냐면 우리가 인터넷에서 이제 온라인 거래를 할 때.
Speaker C
그렇죠 뭐 금융기관 사이트를 이용하거나.
Speaker A
어 그렇죠.
Speaker A
그러니까 우리가 특히 뭐 이제 돈 관련된 거 되게 중요한 기능을 우리가 실제로 사용하려고 할 때.
Speaker C
그렇죠.
Speaker A
액티브X 깔라고 하잖아요.
Speaker C
맞아요 맞아요.
Speaker A
보안이라는 건 결국에는 중요하지만 한편으로 돈이 많이 들고 귀찮다.
Speaker A
이런 부정적인 게 있어요.
Speaker A
제가 최근에 이제 SRT를 여러 번 탔는데.
Speaker B
오.
Speaker A
최근에 타 보신 적 있으세요?
Speaker C
아니 전 자주 타죠.
Speaker A
자주 타세요.
Speaker C
자주 타죠.
Speaker B
지금 자랑하시는 건가요 근데?
Speaker C
네 저는 뭐 SRT 전문가죠.
Speaker A
저게.
Speaker A
그 SRT를 타시면 탈 때 엄청 경비가 막 삼엄하고.
Speaker A
탈 때 막 엄청 검사 열심히 하나요?
Speaker C
그런 경우는 없죠.
Speaker A
경비가 삼엄하기는 커녕 사실은 체크를 하는 경우가 드물거든요.
Speaker B
어쨌거나 팔린 좌석에 사람이 앉아 있는 걸 체크하는 걸로 알고 있거든요.
Speaker C
음 그렇죠 그렇죠.
Speaker B
그래서 이제 안 팔린 좌석에 앉아 있으면 전 체크 당한 적 있거든요.
Speaker C
오.
Speaker B
왜냐면은.
Speaker C
안 안 사고 앉으셨나요?
Speaker B
아니 아니 샀는데.
Speaker A
입석을 샀어.
Speaker C
아.
Speaker B
근데 비어 있으니까 앉았죠.
Speaker C
아.
Speaker B
그러니까 이제 어 표 좀 보시죠.
Speaker B
입석입니다.
Speaker B
이러면 이제 아 오케이.
Speaker A
어 근데 입석을.
Speaker C
그러면 일어나세요 이래요?
Speaker B
아 그러진 않아요.
Speaker C
어 그래요?
Speaker B
비어 있 비어 있으니까.
Speaker A
음.
Speaker A
근데 이제 그렇다고 해서 그러면 무임승차를 완전히 그게 방지할 수 있는 시스템일까요?
Speaker C
안 되죠.
Speaker B
어 안 되죠.
Speaker B
제가 그때 입석을 샀을 때 느낀 그 이 고속철도의 맹점이 있었어요.
Speaker B
화장실은 안전지대다.
Speaker C
오.
Speaker B
예를 들어 내가 표를 안 사 들어가서 화장실을 잠궈.
Speaker B
그러면 저기 화장실 표 좀 주시 이거 못 한단 말이야.
Speaker C
어.
Speaker B
이거는 제가 볼 때 이거 지금 빈틈이에요.
Speaker B
이거 좀 보완을 해야 돼.
Speaker A
만약 똑같은 기차에 대통령이 탄다면?
Speaker B
아.
Speaker C
그러면 상황이 어떻게 바뀌죠?
Speaker B
그 같은 옆 칸에 타는 일반인들의 이제 신원을 다 확인해야 되고.
Speaker B
그 다음에 확인된 신원이 확인된 분들만 들어갈 수 있어.
Speaker C
뭔가 되게 경비가 삼엄해지겠죠.
Speaker B
굉장히 삼엄해지겠죠.
Speaker A
그게 왜 그런 차이가 있는지 생각을 해 보면 사실 우리가 보안이라고 하는 시큐리티라고 하는 게.
Speaker B
아 핵심이죠.
Speaker A
무엇을 지키기 위함인지가 사실 먼저 생각해 봐야 될 건 거거든요.
Speaker A
대통령이 타신다라고 하면 대통령한테 무슨 일이 생기면 엄청나게 큰 국가적인 엄청난 리스크잖아요.
Speaker C
맞아요.
Speaker A
그렇기 때문에 사실 이거는 큰 리스크로부터 자키기 위해서 엄청나게 많은 비용을 들여서라도 이제 보안을 강화를 해야 되는 거예요.
Speaker A
근데 이제 반대로 해서.
Speaker A
무임승차가 얼마나 큰 리스크냐?
Speaker C
음.
Speaker C
그렇죠.
Speaker A
사실 그 정도까지가 아니라 그래도 좀 무임승차를 적절히 이제 통제할 수 있을 정도면서 가장 좀 이피션트한 방식으로 여기에 이 시스템을 지키는 방식이 현재 방식인 거예요.
Speaker C
그게 가장 효율적이죠.
Speaker C
화장실에 다섯 명이 들어 있을 일은 없으니까.
Speaker C
무임승차자 다섯 명이 화장실에서.
Speaker B
근데 그 빈틈을 노려.
Speaker A
하하하하하하.
Speaker B
화장실에 가족 속을 만들어.
Speaker A
하하하하하하.
Speaker A
그러니까 결국은 보안이라는 게 우리가 지금 그 지켜야 되는 방지해야 되는 리스크 크기에 비례해 가지고 코스트가 커질 수밖에 없는 거거든요.
Speaker C
맞아요 맞아요.
Speaker A
네 무조건 우리는 안전한 게 최고다라고 할 필요는 없는 거예요.
Speaker A
그래서 아까 전에 제로 트러스트라는 게 왜 지금까지 주목을 받지 못했냐? 어떻게 보면 지금까지는 리스크가 그렇게 크지 않았기 때문이 아닐까?
Speaker A
그래서 저희가 그냥 앱을 스마트폰을 쓸 때 메신저가 있고 모바일 뱅킹 앱이 있잖아요.
Speaker A
그런데 메신저를 쓸 때 우리가 매번 모바일 뱅킹 쓸 때처럼 뭔가 그만큼의 비슷한 보안을 많이 쓴다라고 하면.
Speaker A
얼마나 불편하겠어요.
Speaker A
메시지 하나 쓰려고 하는 그때마다 인증을 해야 돼.
Speaker C
지문 찍고.
Speaker A
반대로 또 이제 뭐 우리가 모바일 뱅킹 쓰는데 그냥 메신저랑 똑같은 정도 수준.
Speaker A
그냥 열면 바로 열려요.
Speaker A
메시지 보내듯이 송금할 수 있어요.
Speaker C
500만원 송금.
Speaker A
이런 바로 송금.
Speaker C
난리 나겠네요.
Speaker A
난리 나죠.
Speaker A
그 결국은 아까 전에 말씀드렸던 그 얘기거든요.
Speaker A
리스크 크기에 따라 가지고 우리가 적절한 보안의 레벨을 도입을 해야 한다.
Speaker C
음.
Speaker A
그래서 결국 10년 만에 왜 주목받냐?
Speaker A
방금 사실 얘기를 거의 다 했어요.
Speaker A
근데 구체적으로 10년 사이에 무슨 일이 벌어졌기 때문에 그러면 이게 갑자기 아까 리스크가 커졌다 그랬잖아요.
Speaker A
왜 그런 걸까요?
Speaker C
이제는 내 모든 게 인터넷에 올라가 있고 내가 모르는 것도 올라가 있으니까.
Speaker C
뭐 기업들이나 정부도 그걸 유추해 보면 그런 상황이 되면은.
Speaker C
너무너무 중요한 것들이 많이 올라가 있을 것 같다는 생각이 드네요.
Speaker A
예.
Speaker A
그 올라가 있다라는 그게.
Speaker A
그 표현이 사실은 좀 중요하긴 해요.
Speaker A
아.
Speaker A
그.
Speaker A
옛날에는 사이버 보안 위협을 시스템 외부로 한정시킬 수 있다라는 좀 믿음이 좀 전제가 있었어요.
Speaker C
오.
Speaker A
그러니까 무슨 얘기냐면 우리가 여기 안은 이 공간은 안전해 바깥에는 우리를 공격하려는 애들이 많은데.
Speaker A
이 안은 우리가 그래도 믿을 수 있는 사람들만 있으니까 안전해.
Speaker A
혹은 문제가 난다고 하더라도 충분히 우리가 그거 방지할 수 있는 게 다 갖춰져 있어.
Speaker A
내부적인 공격에 대해서 옛날에는 우리가 충분히 방비되어 있다라고 가정하는 시큐리티 모델이었어요.
Speaker A
이거를 뭐라고 말하냐면은 이제 경계 보안 모델이라고 하거든요.
Speaker A
그래서 우리가.
Speaker A
뭐 예를 들어서 군대에서 보면 인트라넷이라는 게 있잖아요.
Speaker C
아 인트라넷 있죠.
Speaker A
인트라넷이라는 거는 말 그대로 인터넷이랑 다르게 이 내부적으로만 이제 연결돼 있는 거죠.
Speaker B
외부로는 안 나가고 이 안에서만 이제 여러 온라인 상의 세상이 열리는.
Speaker C
그렇죠.
Speaker A
그 외부랑은 연결이 되지 않았기 때문에 어떻게 보면 내부에 있는 게 외부로 유출되거나 이럴 일도 없을 거라고 좀 더 믿는 거고.
Speaker A
또 반대로 바깥에서 침입을 못 할 거라고 좀 생각을 하는 거잖아요.
Speaker A
그게 이제 사실은 되게 옛날 고대 시대부터 어떻게 보면.
Speaker A
이거는 보안이라기보다 안보라고 해야 될 것 같긴 한데.
Speaker A
이게 대표적인 경계 보안 모델이라고 볼 수 있어요.
Speaker A
만리장성이 중국에서 북방의 이제 이민족들이 못 쳐들어오게 막으려고 한 거잖아요.
Speaker A
그러니까 무슨 얘기냐면 벽을 이렇게 딱 세우고 여기는 내가 있는 쪽은 아니고 반대쪽이 바깥이잖아요.
Speaker A
바깥에 우리 위협이 있는데 우리 안으로 못 들어오게 하는 거죠.
Speaker A
그러니까 지금은 여기서는 뭐 내부적인 반란이라든지 이런 걸 상정한 게 아니라 외부에 외침을 막기 위해서 하는 건데 결국은 사이버 보안에 사이버 시큐리티에서도 똑같이 군대 캠프에서 안에서 내가 서로 간에 이제 신뢰할 수 있는 사람만 모여 있다.
Speaker A
밖에서는 우리 군 기밀을 탈취하려는 애들이 있으니까 그거를 외부로 나가는 건 연결을 완전히 차단을 하고.
Speaker A
어떻게 보면 뭐 클린룸이라고 볼 수 있죠.
Speaker A
이런 식으로 옛날에는 단절시키는 방식으로 해 가지고 안전하게 만드는 게 어떻게 보면 기본적인 어떤 보안의 접근 방식이었어요.
Speaker A
그랬는데.
Speaker A
사실 최근 들어 가지고 상황이 굉장히 많이 바뀐 거예요.
Speaker A
대부분의 기업들 좀 큰 기업들은 입구에서 출입 통제를 하죠.
Speaker C
아 그렇죠.
Speaker A
로비에서 이제 출근할 때 이렇게 카드 찍고 들어가잖아요.
Speaker A
저게 필요한 이유는 사실은 외부인들이 함부로 못 들어오게 하기 위함.
Speaker A
그러니까 외부인들이 들어와 가지고 안에 있는 어떤 뭐 민감한 구역에 이제 침입해 가지고 뭐 사진 찍고 가거나 이런 걸 방지할 수 있잖아요.
Speaker A
저것도 일종의 경계 보안 모델이라고 할 수 있는데.
Speaker A
최근 들어 가지고 우리가 이제 안이랑 밖을 구분하는 게 점점 좀 힘들어지기 시작했어요.
Speaker C
경계가 모호해지는 건가.
Speaker A
그 저게 뭐 하는 거냐면.
Speaker A
지금 재택 근무 하는 거거든요.
Speaker A
그러니까 옛날에는 업무를 한다라고 하면 일단 회사로 가 가지고 입구에서 카드를 찍고 인증을 해 가지고 들어갔죠.
Speaker A
들어가고 나면 그 다음부터는 그래도 조금 경계가 좀 덜 삼엄해요.
Speaker A
우리가 예를 들어 좀 큰 기업 들어갈 때는.
Speaker A
들어갈 때 뭐 예를 들어 가방 X-레이 같은 것도 막 찍어 가지고 통과해야 되고.
Speaker C
그렇죠.
Speaker A
신분증도 충분히 확인을 하고 들어가잖아요.
Speaker C
카메라에다 스티커도 붙이고.
Speaker A
어.
Speaker A
거기서는 사람들 경비도 많이 있고 사람들이 다 지켜보고 있잖아요.
Speaker A
카메라도 많이 있을 거고.
Speaker A
근데 들어가고 나면 상대적으로 훨씬 덜하죠.
Speaker A
조금 더 자유롭게 돌아다닐 수 있죠.
Speaker B
또 나올 때 이제 막으면 되니까.
Speaker C
그렇죠 뭐 공항도 마찬가지인 거고.
Speaker C
어느 나라 들어가고 나올 때요.
Speaker B
맞아요 맞아요.
Speaker A
그런데 이제 재택 근무를 한다.
Speaker A
그러면은 이 시나리오가 완전 갑자기 바뀌는 거거든요.
Speaker A
옛날에는 제가 회사 메일을 회사 안에서만 사용할 수 있는 경우가 많았어요.
Speaker C
아 그렇죠 그렇죠.
Speaker B
아 무조건 이거는 메일은 열려야죠.
Speaker A
그렇죠.
Speaker C
아니면 못 하죠.
Speaker A
근데 재택 근무를 해야 되는데 그러면은 지금 저 방식이면은 내가 메일을 쓰기 위해서 회사로 출근을 해야 돼.
Speaker A
지금은 그렇게 하면 회사가 돌아갈까요?
Speaker C
안 돌아가죠.
Speaker B
안 되죠.
Speaker A
그렇다 하면은 아까 경계 보안 모델이라는 거는 사실 경계 안이랑 밖이 구분이 명확하게 돼야지 지킬 수가 있는 건데.
Speaker C
상황이 특수해졌구나.
Speaker A
이제 안과 밖의 경계가 없어져 버렸다 보니까 예전에 원래 우리가 생각했던 안전지대 위험지대 구분이 안 되는 거예요.
Speaker C
내부 외부 구분이 없어졌네.
Speaker A
그러면 집에서 직원으로서 접속해 가지고 뭔가를 막 하는데 옛날에는 그 내부에서 하는 거니까.
Speaker A
이 사람이라고 어느 정도 확신할 수 있었는데 이제는 제가 아니라 누가 제 아이디를 탈취해 가지고 접속해 가지고 뭔가 하는 데.
Speaker A
아 이 사람 지금 원격 근무하고 있구나라고 생각할 수 있는 거죠.
Speaker C
그럴 수 있죠.
Speaker A
그러니까 이게 굉장히 옛날에 비해서 어려워진 한 가지 문제라고 볼 수 있어요.
Speaker C
보안적으로 어려워졌네 진짜.
Speaker A
네 네 네.
Speaker A
그래서 결국 물리적으로 안과 밖을 구분하는 게 어려워졌다라는 게 이제 원격 근무 때문이기도 한데.
Speaker A
또 한 가지 원인이 있어요.
Speaker C
예.
Speaker A
2010년만 하더라도 이 정도 아니었어요.
Speaker A
그때만 하더라도 사실 뭐 클라우드 클라우드 서비스 이런 얘기가 막 나오고 있긴 했지만 지금처럼 완전 일상화되어 있진 않았거든요.
Speaker C
맞아요 맞아요.
Speaker A
지금은 모든 게 클라우드예요.
Speaker C
맞아요.
Speaker A
아까 전에 뭐 예를 들어 나의 어떤 그 모든 정보들이 많이 올라가 있다라고 하셨잖아요.
Speaker A
그 올라가 있다라는 게 사실은 클라우드죠.
Speaker C
사실 클라우드거든요.
Speaker A
저 옛날에는 그래서 우리가 어떤 서버가 있으면 물리 서버가 있어요.
Speaker A
데이터는 결국은 어딘가에 서버에 저장이 되는 거잖아요.
Speaker A
그 서버가 사실 어딘가에 물리적으로 존재할 거 아니에요.
Speaker A
그 물리적으로 존재하는 곳이 있고 되게 민감한 정보가 있다라고 하면 사실 그거 자체가 굉장히 되게 안전한 어떤 지대에 서버가 있고.
Speaker A
우리가 되게 위험할 경우에는 예를 들어 그걸 그냥 셧다운 시킬 수도 있는 거거든요.
Speaker C
오 그리고.
Speaker A
차단시키고 물리적으로 차단시키고 뭐 VPN이라든지 뭐 방화벽이라든지 여러 가지들 보안 장치를 해 놓을 수가 있었어요.
Speaker C
예 예.
Speaker A
근데 지금은.
Speaker A
개인이 뭐 내 어떤 사진이라든지 뭐 여러 가지 문서라든지 개인 단위에서도 이제 그냥 클라우드 서비스 많이 쓰지만 기업들도.
Speaker A
사실 기업이 내부적으로 서버실을 가져 가지고 그 안에다가 모든 기업 관련된 정보를 다 넣는 게 아니라 애초에 뭐 ERP라든지.
Speaker A
그런 어떤 그 서비스들을 그 회사가 직접적으로 보유하고 있지 않은 클라우드에다가 이제 올리기도 하거든요.
Speaker C
상용 서비스도 많이 쓰고.
Speaker A
그렇죠.
Speaker A
그렇기 때문에 이런 데다가 많이 올라가는데 사실 이 경우 또 보면은.
Speaker A
아 이것도 물리적인 경계가 애매해지는 거거든요.
Speaker A
그러니까 아까 전에는 우리가 이 어떤 그 시스템이 있을 때 그 시스템을 사용하는 주체들이 안에 있냐 밖에 있냐.
Speaker A
를 구분하기 힘들었다라고 하면 이거는 우리가 지금 가용 가능한 이 자원이 내부에 있냐 외부에 있냐를 이제 구분 짓는 경계선이 없었다는 거.
Speaker C
어 이거 어떻게 해야 되냐?
Speaker C
그러니까 갑자기 저는 그냥 보안 잘 모르지만 보안하시는 선생님들 입장에서 어떻게 해야 되나 이거?
Speaker B
이거는 호재일 수도 있어요.
Speaker B
오히려 좋다.
Speaker C
시장 측면에서.
Speaker B
예.
Speaker B
호재로 써서 더 차별화된 어떤 서비스를 예를 들어 삼성SDS에서 제공한다면.
Speaker C
그렇죠.
Speaker C
호재가 될 수 있지 않을까?
Speaker A
이미 제공하고 있습니다.
Speaker C
이미 제공하고 있습니다.
Speaker A
그 결국은 한마디로 요약하면 이거예요.
Speaker A
내부는 안전하고 외부는 위험하다라는 믿음이 옛날에 있었는데.
Speaker A
그런 믿음은 이제 더 이상 유효하지가 않다.
Speaker A
그렇기 때문에 우리는 새로운 방식 새로운 어프로치가 필요하다.
Speaker A
그래서 지금까지 설명했던 게 제로 트러스트가 뭔지 그리고 제로 트러스트라는 게 왜 중요해졌는지에 대해 설명을 드렸는데.
Speaker A
그럼 실제 구체적으로 넘어가면 제로 트러스트가 그래서 구체적으로 어떤 식으로 구현 가능한 건지 설명을 좀 드릴게요.
Speaker C
아 너무 궁금해요.
Speaker A
그래서 핵심 원칙인데.
Speaker A
사실 이것도 제가 좀 고민을 많이 했는데.
Speaker A
인사할 시간도 많습니다.
Speaker C
여러분의 시간을 낭비해 드릴 느리지만 쿨한 과학.
Speaker A
삼성SDS와 안될과학이 함께하는 제로 트러스트 편이었습니다.
Speaker A
시청해 주셔서 감사합니다 교수님들.
Speaker C
감사합니다.
Speaker B
감사합니다.
Topics:제로 트러스트보안 모델삼성SDS사이버 시큐리티경계 보안 모델Always Verify보안 철학리스크 관리디지털 보안백악관 제로 트러스트
![[GISC 2024] 디지털 전환 시대의 보안 패러다임: 제로트러스트 표준화와 구현전략 🌐TTA, … — Transcript](https://i.ytimg.com/vi/gRU9GxCBdwc/maxresdefault.jpg)
![[삼성SDS X 안될과학] 제로 트러스트란 무엇인가?? – 2부 — Transcript](https://i.ytimg.com/vi/3QQJlWAGLVw/maxresdefault.jpg)
