데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 하반기 최대 사이버보안 컨퍼런스 및 전시회인 PASCON 2024가 9월 10일 1,200여 명의 공공, 금융, 기업 정보보호 실무자들이 참석한 가운데 성황리 개최됐다.

이날 강연에서 엔씨소프트 박재민 팀장은 "기업의 제로트러스트 공략법"을 주제로 강연을 진행했다. 그는 엔씨소프트의 경험과 사례를 바탕으로 제로트러스트 보안 모델을 도입하고 추진해온 과정에 대해 상세히 공유했으며, 제로트러스트의 이론적 개념보다는 실제 도입 사례와 이를 통해 얻은 교훈을 전하며 기업들에게 많은 관심과 호응을 이끌어냈다.

◆제로트러스트 여정의 시작

박재민 팀장은 엔씨소프트가 제로트러스트 여정을 시작하게 된 배경을 설명했다. 그는 엔씨소프트가 MMORPG 게임으로 유명한 기업이라는 점과 글로벌 시장에서 다양한 기업들과 협업하고, 약 200여 개국에 게임 서비스를 제공하는 환경에서 기존의 네트워크 경계 기반 보안 모델이 더 이상 충분하지 않다는 것을 깨달았다고 말했다. 특히 클라우드와 모바일 환경의 급격한 발전, 그리고 팬데믹 이후 가속화된 변화로 인해 기존의 보안 모델로는 기업의 IT 환경을 안전하게 유지하는 데 한계가 있다고 판단했다고 전했다.

◆제로트러스트 추진 동기

박 팀장은 엔씨소프트가 제로트러스트 도입을 고민하게 된 가장 큰 이유로 두 가지를 꼽았다. 첫째, 글로벌 시장 진출을 위한 신뢰 있는 협업 환경을 구축하기 위해서였고, 둘째, 사내 업무 환경의 생산성과 편의성을 개선하기 위해서였다. 특히 사내에서 불편한 업무 환경에 대한 불만이 증가하고, IT 인프라 비용 또한 지속적으로 증가하는 문제를 해결하고자 2019년부터 제로트러스트 보안 모델 도입을 추진하기 시작했다고 밝혔다.

◆제로트러스트 추진 경과와 성과

엔씨소프트는 제로트러스트 도입을 크게 두 단계로 나눠 진행했다고 설명했다. 먼저 스테이지1에서는 전체적인 전략과 계획을 수립하고 시스템을 도입해 일부 업무에 적용하는 과정을 거쳤으며, 이 과정에서 마이크로소프트 EMS 기능을 활용해 사용자 인증 강화, 기기 검증, 권한 관리, 로깅/모니터링을 도입했다. 특히, 마이크로소프트 EMS를 도입해 사용자 ID를 중심으로 사내 IT 자원을 체계적으로 통제할 수 있는 기반을 마련했고, 머신러닝을 통해 악의적인 공격이나 비정상 사용자의 행동 패턴을 감지할 수 있는 진화된 서비스를 적용했다.

박재민 팀장은 스테이지1의 성과로 임직원들의 만족도가 95%에 이르렀고, 글로벌 ESG 리스크 평가의 보안 영역에서 글로벌 상위 1%를 달성하는 성과를 얻었다고 설명했다.

◆도입 과정에서의 도전과제

박재민 팀장은 스테이지1 진행 과정에서 식별된 도전과제도 상세히 공유했다. 첫 번째로 데이터와 서비스의 중요도에 기반한 분류 체계의 필요성을 느꼈으며, 두 번째로 당시 기술로는 온프레미스 환경의 서비스와 기존 보안 장비와의 연동에 있어 한계가 있었다고 언급했다. 마지막으로 제로트러스트 모델과 관련된 참조 레퍼런스가 국내에서 거의 없었기 때문에 참고할 만한 사례를 찾기가 어려웠다고 말했다.

◆제로트러스트 스테이지2 전략

스테이지2에서는 마이크로세그멘테이션을 통한 보안 강화에 집중하고 있다고 설명했다. 박재민 팀장은 Stage 2의 첫 번째 목표로 사내 모든 데이터와 서비스에 대한 마이크로세그멘테이션을 추진하고 있다고 설명하며, 정보의 유형 및 등급 분류, 서비스 등급별 보안 정책 적용을 통해 글로벌 협업 환경을 마련하는 작업을 진행 중이라고 밝혔다.

그는 이 과정에서 데이터와 서비스의 등급을 4가지로 분류하고 다양한 조건을 고려해 정보 등급별 보안 정책을 정의하는 작업을 거쳤으며, 이는 기업 내 의사결정의 신속성과 일관성을 높이고 업무 효율성을 향상하는 데 큰 도움이 될 것이라고 강조했다.

또한 국내외 정책 동향을 살펴보면 데이터 중요도 분류의 필요성과 중요성이 더욱 부각되고 있음을 언급하며, 마이크로세그멘테이션에 기반한 보안 통제 체계의 중요성을 다시 한번 강조했다.

박재민 팀장은 제로트러스트의 기본 원칙 중 하나인 자산과 네트워크 상태에 대한 정보를 수집하고 보안성을 높이는 것에 따라 엔씨소프트는 사용자 행위 분석 체계를 강화하는 작업을 진행하고 있다고 전했다. 기존 SIEM을 통해 수집되는 많은 로그 외에도, ML 기반의 UBA 솔루션을 구축해 스코어링 기반으로 사용자 행위를 분석하고 있으며, 향후 AI 기술을 활용하는 방안도 검토하고 있다고 밝혔다.

◆제로트러스트의 최종 목표와 향후 로드맵

마지막으로 박재민 팀장은 엔씨소프트의 제로트러스트 추진 전략의 최종 목표는 모든 임직원과 자회사의 업무 환경에 위치나 서비스 유형에 관계없이 최고기밀 등급 전체를 대상으로 보안 통제를 적용하는 것이라고 밝혔다. 현재 외부 접근부터 우선적으로 제로트러스트를 적용해나가고 있으며, 최종적으로 모든 영역에 적용해 나갈 계획이라고 전했다.

박재민 팀장은 끝으로 엔씨소프트의 사례가 국내 기업들의 보안 체계 강화와 제로트러스트 활성화에 도움이 되기를 바란다고 전했다. 그는 "제로트러스트 모델은 단순한 기술 도입이 아니라 기업 전체의 보안 패러다임을 변화시키는 중요한 전략"이라며 모든 기업이 자신들의 환경에 맞는 공략법을 찾아나가길 바란다고 조언했다.

보다 상세한 내용은 아래 강연영상을 참고하면 된다. 

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★