본문으로 건너뛰기
피드

"클라우드 보안은 제로트러스트로 다시 짜야" — NetSec-KR 2026 발표 정리

security 약 7분
vote
0
댓글
북마크

NetSec-KR 2026에서 부산대 최윤호 교수가 클라우드 환경에서 경계형 보안은 무너졌다며 제로트러스트 전환을 강조했다. 지속 검증·최소 권한·침해 전제·세분화 관리 네 축과 함께 IAM·PAM·RBAC·ABAC·ZTNA·SASE/SSE를 통합해야 실제 사고를 막을 수 있다고 지적했다. 실제 공격의 상당수가 인증 이후의 권한 악용·측면 이동 단계에서 벌어진다는 점이 핵심이다.

  • 1

    로그인 이후에도 기기 상태·행위 이상·자산 중요도까지 지속 검증해야 함

  • 2

    클라우드 사고 대부분은 제로데이가 아닌 설정 오류·과도한 권한·미관리 자원에서 시작

  • 3

    VPN은 접속 후 내부망 접근 여지가 넓어 ZTNA 기반 구조가 클라우드 시대에 적합

  • 4

    IAM·PAM·RBAC·ABAC를 세분화 조합하고 접속·권한·이벤트 로그를 통합 모니터링 필요

  • NetSec-KR 2026(KISA 주최)에서 부산대 **최윤호 교수가 '제로트러스트'를 주제로 발표
    • 핵심 메시지: "클라우드 시대에 내부망 기반 경계 보안은 이미 무너졌고, 접속할 때마다 다시 검증하는 구조로 다시 짜야 한다**"
    • 대상 청중은 AI 전환기에 늘어나는 클라우드 공격 표면을 어떻게 방어할지 고민 중인 기업 보안 담당자들

제로트러스트가 뭘 바꾸는가

  • 한 번 로그인했다고 계속 신뢰하지 않음 — 접속 순간마다 재검증, 필요 범위까지만 접근
  • 제로트러스트의 4대 요소
    • 지속 검증(Continuous verification) — 인증 후에도 계속 확인
    • 최소 권한(Least privilege) — 필요한 만큼만 허용
    • 침해 전제(Assume breach) — 뚫렸다고 가정하고 설계
    • 자산·권한 세분화 관리 — 조각낸 단위로 통제
  • 많은 조직이 "로그인만 강화하면 안전"이라 오해하지만 실제 공격의 상당수는 인증 이후에 벌어짐
    • 계정 탈취 → 과도한 권한 악용 → 세션 악용 → 내부 자원 이동(측면 이동) 패턴
    • 다중인증(MFA)만으로는 부족, 기기 상태 + 행위 이상 + 자산 중요도까지 같이 봐야 함

클라우드 사고는 '고수 해킹'보다 '기본 관리 실패'에서 시작

  • 최 교수가 꼽은 단골 문제 유형
    • 잘못된 설정 (misconfiguration)
    • 과도한 권한 부여
    • 외부에 노출된 서비스
    • 취약한 계정 관리
    • 안전하지 않은 인터페이스·API
  • 복잡한 신규 공격 기법보다 운영 미숙·관리 부실이 사고의 진짜 출발점
    • 공개 저장소나 관리 콘솔이 외부 노출 → 공격자가 빠르게 내부 자원으로 확장
    • 관리자 계정에 필요 이상 권한 부여되는 경우도 흔함
    • 멀티클라우드에서는 서비스가 빠르게 늘지만 전체 자산 파악이 안 돼 쉐도우 IT·미관리 자원이 새 취약점이 됨

⚠️주의

> 클라우드 보안 사고 대부분은 제로데이 취약점이 아니라 '깔아놓고 잊어버린 설정'과 '필요 이상 권한'에서 터진다. 공격자는 더 이상 서버 하나만 노리지 않고 계정·권한·설정·연결 구조 전체를 노린다.

대응: 하나의 솔루션으로 못 막는다

  • "클라우드 보안은 한두 개 솔루션으로 해결 불가능" — 최 교수
    • 인프라 보안 + 사용자 인증 + 접근통제 + 네트워크 보호 + 로그 수집 + 모니터링 + 데이터 보호 + 키 관리가 전체 구조로 맞물려야
  • 인증·권한의 세분화
    • ID/비밀번호 중심 한계 → 다중인증 + IAM + PAM + RBAC + ABAC 조합
    • 사용자가 누구인지만 보지 말고 어떤 조건에서 어떤 자원에 어느 범위까지 접근 가능한지 세밀 관리
    • 관리자 권한은 반드시 분리하고 기록을 남겨야
  • VPN → ZTNA(Zero Trust Network Access)
    • VPN은 접속 허용 이후 내부망에 넓은 접근 여지를 남김
    • ZTNA는 필요한 자원에만 제한적으로 접근하게 해 피해 확산을 구조적으로 줄임
  • 통합 모니터링
    • 접속 기록·권한 변경·시스템 이벤트·네트워크 흐름을 한데 모아 이상 징후 포착
    • 제로트러스트는 '막는 보안'이 아니라 '계속 들여다보고 의심하고 대응하는 운영 모델'

관리형 보안 서비스가 뜨는 이유

  • SASE·SSE 기반 구조, 리스크 관리 프레임워크, 클라우드 네이티브 보안 플랫폼, 침해 대응 연계를 묶어야 실제 현장에서 보안 수준이 올라감
    • 보안 인력이 충분하지 않은 조직일수록 통합형 운영 체계가 더 중요해짐
  • 최 교수 마무리 — "AI 전환이 빨라질수록 클라우드 의존도와 공격 표면이 커진다. 경계형 보안만으론 한계가 분명하다. 제로트러스트는 이제 선택이 아니라 기본 보안 원칙"

기술 맥락

제로트러스트(Zero Trust)는 2010년 포레스터 리서치의 존 킨더바그가 처음 제안한 개념이에요. 원칙은 "Never trust, always verify"인데, 기존 성곽 모델(방화벽 한 겹 두르고 안쪽은 신뢰)이 클라우드·원격근무 시대에 통하지 않기 때문에 등장했어요. 2021년 바이든 행정명령 이후 미국 연방정부가 의무화하면서 산업계 표준으로 자리잡았고, 한국도 KISA 주도로 도입이 가속되고 있어요.

IAM/PAM/RBAC/ABAC가 왜 같이 나오냐 하면, 이들이 접근통제의 서로 다른 레이어를 담당하거든요. IAM(Identity and Access Management)은 계정 전체 생명주기, PAM(Privileged Access Management)은 관리자·루트 같은 특권 계정, RBAC(Role-Based)는 역할 단위, ABAC(Attribute-Based)는 속성(시간·위치·기기) 단위 통제예요. 세밀한 제어를 하려면 이 네 개를 겹쳐서 써야 한다는 거죠.

ZTNA(Zero Trust Network Access)가 VPN을 대체하는 흐름도 주목할 만해요. VPN은 한번 연결되면 '내부망에 있는 상태'가 되어 접근 범위가 넓은 반면, ZTNA는 사용자-애플리케이션 단위로 마이크로 터널을 만들어서 필요한 자원에만 접근시켜요. 랜섬웨어 측면 이동(lateral movement) 방어에 결정적인 차이를 만들거든요.

SASE(Secure Access Service Edge)와 SSE(Security Service Edge)는 네트워크 보안 기능을 클라우드 엣지에서 제공하는 아키텍처예요. SASE는 네트워킹+보안 통합, SSE는 그중 보안 부분만 떼어낸 개념이고, 둘 다 "지점마다 보안 장비 두지 말고 클라우드에서 일괄 적용하자"는 방향이에요.

한국 기업 보안팀이 지금 당장 참고할 수 있는 구조적 체크리스트. 특히 멀티클라우드 환경의 쉐도우 IT 문제는 AI 도입과 함께 빠르게 커지는 공격 표면이다.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.