주식회사 휘강건설

국내 최대 사이버위협 인텔리전스 전문 컨퍼런스인 ‘제13회 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스(K-CTI 2026)’가 4월 7일 서울 코엑스 3층 컨퍼런스룸 E에서 열렸다. 이번 행사는 데일리시큐가 주최하고 한국인터넷진흥원(KISA)과 한국정보보호산업협회(KISIA)가 후원했으며, 정부와 공공기관, 지자체, 교육기관, 금융기관, 의료기관, 일반기업의 정보보안 책임자와 실무자 1,000여 명이 참석했다. 이날 굿모닝아이텍 윤덕상 전무는 ‘제로데이 공격도 감내(Tolerance) 가능한 Zero Trust 인프라 구축 전략’을 주제로 강연하며, 제로데이 취약점과 내부 측면 이동에 대응하기 위한 현실적인 보안 설계 방향을 제시했다.

윤 전무는 먼저 최근 주요 침해사고들의 공통점으로 ‘최초 침투 이후 내부 측면 이동’을 짚었다. 외부에서 한 번 발판을 확보한 공격자가 계정 정보 탈취, 원격 관리 도구, 스크립트 실행 기능 등을 악용해 내부 중요 시스템으로 이동하고, 이후 정보 유출이나 랜섬웨어 감염, 핵심 서비스 마비로 이어지는 구조가 반복되고 있다는 설명이다. 그는 이런 공격 흐름을 보면 더 이상 외곽 방어만으로는 충분하지 않으며, 침입 이후 공격자의 이동 범위를 얼마나 빨리 파악하고 끊어내느냐가 실제 피해 규모를 좌우한다고 설명했다.

침해는 막는 것만이 아니라 확산을 끊는 구조가 중요

이날 강연에서는 침해 인지와 대응의 시간차가 왜 치명적인지에 대한 설명도 이어졌다. 윤 전무는 보안사고 대응에서 공격자가 내부에 머무는 시간을 줄이는 것이 매우 중요하다고 강조했다. 실제로 침해를 인지하는 데 오랜 시간이 걸리고, 인지 후에도 피해 확산을 차단하는 데 추가 시간이 소요되는 현실을 언급하며, 탐지 고도화만으로는 부족하고 ‘침해 이후 확산 방지’까지 포함한 구조가 필요하다고 말했다. 즉, 이미 공격자가 일부 구간에 들어왔다고 가정하고도 전체 업무망과 핵심 자산까지 연쇄적으로 무너지지 않도록 설계해야 한다는 것이다.

윤 전무는 특히 제로데이 공격 증가와 공격 속도 단축을 중요한 변화로 짚었다. 과거에는 취약점 공개 후 실제 악용까지 어느 정도 시간차가 있었지만, 이제는 그 간격이 매우 짧아졌고, 보안팀이 취약점 점검과 패치를 완료하기 전에 공격이 먼저 이뤄지는 경우가 늘고 있다는 설명이다. 그는 이런 환경에서는 모든 취약점을 사전에 완벽히 없앤다는 접근보다, 특정 시스템이 뚫리더라도 다른 구간으로 번지지 않게 만드는 ‘감내 가능한 인프라’ 개념이 더 중요해졌다고 진단했다.

경계 보안만으로는 클라우드·AI 시대 공격을 감당하기 어려워

윤 전무는 전통적인 경계 기반 보안 체계의 한계도 짚었다. 과거 데이터센터 중심 환경에서는 방화벽, 침입탐지·차단시스템, 보안 게이트웨이 같은 중앙 집중형 장비를 네트워크 경계 지점에 배치하는 방식이 주된 보호 모델이었다. 하지만 클라우드, 소프트웨어형 서비스(SaaS), 컨테이너, 쿠버네티스, 원격근무, 인공지능 기반 서비스가 확산된 현재는 애플리케이션과 데이터, 사용자, 디바이스가 훨씬 넓고 복잡하게 분산돼 있다. 이처럼 인프라 구조가 다변화된 상황에서는 경계만 지키는 방식으로는 내부 동작과 동서(East-West) 트래픽을 제대로 통제하기 어렵다고 설명했다.

그는 제로 트러스트를 이런 한계를 넘기 위한 실질적 대응 전략으로 제시했다. 강연의 요지는 단순했다. 네트워크 안에 들어왔다는 이유만으로 신뢰를 부여하지 말고, 먼저 인증하고 검증한 뒤 제한적으로 접속을 허용해야 한다는 것이다. 여기에 마이크로 세그멘테이션을 결합하면 시스템, 애플리케이션, 데이터 단위로 통신을 세분화해 공격자의 횡적 이동을 차단할 수 있다. 결국 제로 트러스트는 인증 체계만을 뜻하는 것이 아니라, 내부 이동을 최소 권한 원칙에 따라 세밀하게 통제하는 운영 모델이라는 설명이다.

윤 전무는 마이크로 세그멘테이션을 단순한 네트워크 분리가 아니라, 훨씬 더 정교한 보안 정책 체계로 설명했다. 기존 방식이 IP, 포트, VLAN 중심으로 네트워크 구간을 나누는 데 머물렀다면, 새로운 방식은 프로세스, 사용자, 역할, 애플리케이션, 운영환경, 위치 같은 속성까지 반영해 보다 세밀한 통제를 구현한다는 것이다. 이런 접근을 통해 같은 서버 구간 안에서도 어떤 애플리케이션이 어떤 자산과 어떤 방식으로 연결되는지를 구체적으로 정의할 수 있고, 허용된 통신만 남기고 불필요한 연결을 제거하는 구조를 만들 수 있다고 설명했다.

가시성과 라벨 기반 정책이 제로 트러스트 운영의 핵심

윤 전무는 마이크로 세그멘테이션이 제대로 작동하려면 먼저 가시성이 확보돼야 한다고 강조했다. 온프레미스, 퍼블릭 클라우드, 쿠버네티스 환경까지 포함한 전체 인프라의 트래픽 흐름을 통합적으로 보고, 서버와 워크로드, 프로세스 단위의 연결 관계를 이해할 수 있어야 정책도 정확하게 세울 수 있다는 설명이다. 그는 “보안은 보여야 막을 수 있다”는 취지로, 가시성 확보가 제로 트러스트 구현의 출발점이라고 강조했다.

이와 함께 라벨 기반 정책 운영도 주요 포인트로 제시됐다. 윤 전무는 전통적인 방화벽이 IP와 포트 중심 정책에 의존했다면, 보다 현대적인 세그멘테이션은 자산 속성에 맞는 라벨을 부여하고 이를 기준으로 정책을 수립하는 방식으로 발전하고 있다고 설명했다. 예를 들어 운영환경, 애플리케이션 역할, 운영체제 종류, 자산 특성 등을 기준으로 정책을 구성하면 자산이 바뀌더라도 복잡한 규칙을 일일이 수정할 필요가 줄고, 운영 효율성과 정확성을 함께 높일 수 있다는 것이다. 새로운 연결은 경고 모드로 검토하고, 검증된 트래픽만 점진적으로 허용하는 방식도 서비스 영향 없이 정책을 정교화하는 방법으로 소개했다.

강연에서는 사고 대응 측면의 장점도 함께 제시됐다. 윤 전무는 네트워크나 시스템 장비 중심의 단편적인 탐지가 아니라, 애플리케이션과 데이터에 대한 공격 벡터를 중심으로 사고를 분석해야 한다고 말했다. 이를 위해 평판 정보, 정책 위반 탐지, 기만 기술, 파일 무결성 모니터링, 헌트 서비스 등을 결합하면 위협 탐지와 조사 효율을 높일 수 있다고 설명했다. 특히 긴급 취약점이 발생했을 때는 노출 시스템을 빠르게 식별하고, 패치 전까지 임시 차단 정책으로 위험을 줄이는 방식이 현실적인 대응 방안이 될 수 있다고 덧붙였다.

윤 전무는 마이크로 세그멘테이션의 기대 효과도 수치와 사례를 들어 설명했다. 무분별하게 열려 있는 대규모 내부·외부 연결을 업무상 꼭 필요한 연결만 남기는 구조로 바꾸면 공격 표면을 대폭 줄일 수 있고, 핵심 업무 시스템을 별도로 격리함으로써 랜섬웨어 확산과 횡적 이동을 실질적으로 차단할 수 있다는 것이다. 또 온프레미스와 클라우드, 컨테이너 환경에 동일한 정책 원칙을 적용할 수 있어 복잡한 인프라를 하나의 운영 체계로 관리할 수 있다는 점도 강조했다.

이어 윤덕상 전무는 아카마이 가디코어 세그멘테이션(Akamai Guardicore Segmentation)을 제로 트러스트 인프라를 구현하는 핵심 기술로 소개했다. 그는 이 솔루션이 온프레미스와 퍼블릭 클라우드, 쿠버네티스 환경까지 아우르는 통합 가시성을 제공하고, IP·포트 중심의 전통적 방화벽 정책을 넘어 프로세스, 사용자, 역할, 애플리케이션, 위치, 운영환경 등 다양한 속성을 반영한 라벨 기반 마이크로 세그멘테이션 정책을 구현할 수 있다고 설명했다.

또 기존 네트워크 구조를 크게 바꾸지 않고도 소프트웨어 기반으로 단계적인 제로 트러스트 전환이 가능하며, 새로운 연결은 경고(Alert) 방식으로 검토해 서비스 영향 없이 정책을 정교화할 수 있다고 말했다. 아울러 평판 정보, 정책 위반 탐지, 파일 무결성 모니터링, 헌트 서비스, 긴급 취약점 대응용 OS 쿼리 기능 등을 통해 사고 탐지와 대응 속도를 높이고, 결과적으로 내부 측면 이동 차단과 랜섬웨어 확산 방지, 핵심 시스템 격리, 공격 표면 축소 효과를 기대할 수 있다고 강조했다.

한편 금융권 구축 사례도 소개됐다. 해당 사례에서는 관리 구간, 프런트엔드, 애플리케이션, 데이터베이스, 인터페이스 구간을 세분화하고, 사용자별 접근 가능 URL과 로그인 ID, IP 정보 등을 바탕으로 정적 접근통제목록(ACL)을 구성해 마이크로 세그멘테이션 정책에 반영하는 방식이 제시됐다. 이어 2026년에는 디바이스 보안 상태, 백신 최신 여부, EDR 행위 정보, 패치 상태 등 다양한 위험 요소를 기계학습으로 평가해 사후 조치까지 연결하는 방향으로 고도화할 계획도 공유됐다. 이는 제로 트러스트가 단순한 네트워크 제어를 넘어 사용자·디바이스·시스템 전반의 위험 분석과 정책 집행을 결합하는 방향으로 진화하고 있음을 보여주는 대목이었다.

윤덕상 전무는, 이제 보안은 ‘막을 수 있느냐’만이 아니라 ‘침해돼도 버틸 수 있느냐’의 문제로 바뀌고 있다고 강조했다. 그는 제로데이 공격이 빨라지고 클라우드와 AI 환경이 확산되는 상황에서, 경계 보안만으로는 핵심 자산을 지키기 어렵다고 진단했다. 그러면서 “침해를 당했다는 가정하에 보안 전략을 수립해야 한다”며 “마이크로 세그멘테이션을 통해 침해 범위를 격리하고 최소화해야 하며, 상시 감시와 주기적 레트로 헌팅, 자동화된 대응 체계까지 함께 갖춰야 한다”고 말했다. 이어 “공격자는 한번만 잘하면 되지만 방어자는 100번을 100번 잘해야 한다”며, 그만큼 내부 확산을 차단하는 구조적 방어 체계가 중요하다고 강조했다.

길민권 기자mkgil@dailysecu.com

출처 : 데일리시큐(https://www.dailysecu.com)