[CISO 조찬] “폐쇄망, 더 이상 안전지대 아냐”…금융보안의 새로운 전략, 마이크로세그멘테이션

아카마이 조상원 상무 “내부 확산까지 고려한 다층 방어 전략 반드시 필요해”

데일리시큐와 아카마이코리아가 공동 주최한 '최신 금융보안 위협과 패러다임의 변화'를 주제로 한 CISO 조찬세미나가 지난 6월 12일 더플라자호텔서울에서 열렸다. 이날 행사에는 금융권 CISO 20여 명이 참석한 가운데, 아카마이코리아 조상원 상무가 '금융보안의 새로운 패러다임과 마이크로세그멘테이션을 통한 차세대 보호 전략'을 주제로 발표를 진행했다.

아카마이코리아 조상원 상무는 발표의 시작부터 대형 통신사 해킹 사고를 언급하며 전통적인 보안 인식에 균열이 생겼음을 강조했다. 그는 “작년에 특정 통신사가 제로트러스트 TF를 구성하고 보안 아키텍처를 논의했지만, 당시 ‘우리는 폐쇄망이니 굳이 필요하지 않다’는 판단으로 마이크로세그멘테이션 도입이 유보됐다”고 전했다. 그러나 이번 SKT 사고는 폐쇄망이라고 해도 내부 확산을 막지 못하면 치명적인 피해가 발생할 수 있다는 현실을 드러냈다.

■솔라윈즈 사건과 금융권 보안 패러다임의 전환

조 상무는 공급망 공격의 대표 사례인 솔라윈즈(SolarWinds) 사태를 언급하며, 내부망 중심 보안이 가진 구조적 한계를 지적했다. “2만여 개 기관이 사용하던 솔라윈즈 시스템에 악성코드가 삽입돼, 외부가 아닌 내부망을 통해 대규모 침투가 발생했다”며 “기존의 경계보안 중심 전략으로는 이러한 공격을 막을 수 없다”고 말했다. 그는 금융권도 점차 기존 패러다임을 버리고 유연한 대응 전략을 고민하고 있다고 강조했다.

■규제 변화에 따른 자율 보안과 망분리 완화

이어 최근 금융당국이 추진하고 있는 ‘망분리 완화 로드맵’과 전자금융감독규정 개정을 언급하며, 금융 보안이 규제 중심에서 자율 보안 체계로 전환되고 있다고 설명했다. “기존에는 규정만 지키면 된다는 인식이 있었지만, 공격 표면이 복잡해진 지금은 조직이 스스로 책임지고 보안 전략을 세워야 한다”며 “망분리 완화 역시 ‘폐쇄망이 곧 안전’이라는 전제를 깨는 흐름 속에서 등장한 것”이라고 말했다.

■제로트러스트, 그리고 그 핵심 기술 마이크로세그멘테이션

보안 패러다임의 변화 속에서 가장 주목받는 개념이 ‘제로트러스트’다. 조 상무는 제로트러스트를 “내부도 믿지 않고 검증한다”는 원칙이라 설명하며, 이를 구현하는 주요 기술로 ‘아이덴티티 기반 인증’, ‘마이크로세그멘테이션’, ‘소프트웨어 정의 경계(SDP)’를 소개했다. 그는 “사용자의 접근은 JTNA가 통제하고, 시스템 간의 통신은 마이크로세그멘테이션이 통제한다”며 “둘은 상호 보완적으로 제로트러스트를 완성하는 핵심 축”이라 밝혔다.

조 상무는 마이크로세그멘테이션을 단순히 네트워크를 쪼개는 기술이 아니라, 자산의 속성 기반으로 논리적 경계를 정의하는 보안 전략이라고 설명했다. “기존 방화벽이 IP와 포트 기반이었다면, 마이크로세그멘테이션은 프로세스와 서비스 단위로 정책을 설정할 수 있다”며 “이는 복잡한 현대 인프라 환경에 유연하게 적용 가능한 차세대 세그멘테이션 방식”이라고 강조했다.

■제로트러스트, ‘세 가지 가시성’이 만드는 보안의 기반

제로트러스트 구현을 위해선 ‘전체 가시성’, ‘세밀한 가시성’, ‘관리 가능한 가시성’이 반드시 필요하다고 조 상무는 강조했다. 그는 “금융권 시스템은 다양한 환경에 분산돼 있어 통합적인 가시성이 어렵다”며 “마이크로세그멘테이션은 온프레미스, 클라우드, IoT, 레거시 시스템까지 모두를 통합적으로 시각화하고 통제할 수 있게 해준다”고 설명했다. 또한 AI 기반 레이블링과 정책 자동화를 통해 ‘관리 가능한 가시성’을 구현할 수 있다고 덧붙였다.

■정보보호시스템으로서의 진화: 전통 방화벽과의 차별점

조 상무는 마이크로세그멘테이션과 전통적인 방화벽 시스템을 비교하며, “물리적/가상 방화벽은 L4(IP/Port) 기반으로 동작하고, 환경마다 일관된 적용이 어렵다”고 지적했다. 반면 “마이크로세그멘테이션은 L7 프로세스 수준의 제어와 AI 기반 정책 수립이 가능하며, 클라우드/온프레미스/하이브리드 환경에 동일하게 적용할 수 있다”며 “이는 복잡해진 인프라 환경에 꼭 필요한 솔루션”이라고 말했다.

■‘Prepare–Prevent–Detect–Recover’ 전 과정에서의 역할

마이크로세그멘테이션은 침입 이후 공격 확산을 막는 데 탁월한 효과를 보인다. 조 상무는 “아카마이 솔루션은 침투 이후 횡적 이동(Lateral Movement)을 탐지하고 차단할 수 있는 구조”라며, “디텍션 정책이 없더라도 새로운 커넥션이 발생하면 즉각 탐지하고, 격리까지 자동으로 수행할 수 있다”고 설명했다. 특히 웹셸, BPFdoor, Magic Packet 같은 정교한 공격에 대해서도 전송 이전 단계에서 차단이 가능하다고 강조했다.

■마이크로세그멘테이션과 EDR의 상호보완적 관계

그는 “EDR이 단말 단위의 초기 침투 탐지에 강점이 있다면, 마이크로세그멘테이션은 내부 확산 차단에 효과적”이라며 “둘은 백신과 마스크의 관계처럼 함께 적용되어야 사이버 복원력을 높일 수 있다”고 비유했다. SKT 사례를 예로 들며 “EDR로는 BPFDoor의 침투 시점은 잡기 어렵지만, 마이크로세그멘테이션이 있었다면 확산 이전 단계에서 차단이 가능했을 것”이라고 분석했다.

■통신사와 병원의 상반된 결과

이어 그는 미국 통신사와 이스라엘 대형 병원의 사례를 소개하며 마이크로세그멘테이션 도입의 실제 효과를 설명했다. “미국 통신사는 기존 방화벽 기반 세그멘테이션으로 2년간 실패한 뒤, 마이크로세그멘테이션으로 전환해 PCI DSS 4.0을 만족했다”고 밝혔다. 반면 “이스라엘 병원은 PoC 중 감염 징후를 조기에 탐지해, 전체 확산 이전에 차단하는 데 성공했다”고 전했다. 두 사례는 ‘가시성’과 ‘속도’가 침해 대응의 핵심임을 보여준다.

조 상무는 마지막으로 “작년 S사가 마이크로세그멘테이션 도입을 망설이지 않았다면, 이번 사고의 피해를 상당 부분 줄일 수 있었을 것”이라며 아쉬움을 드러냈다. 그는 “더 이상 폐쇄망이라는 전제가 통하지 않는 시대”라며 “이제는 외부에서 들어오는 침투뿐 아니라 내부 확산까지 고려한 다층 방어 전략이 반드시 필요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★