국가 인증서가 뚫린 지금, '제로 트러스트'가 유일한 해답인 이유

최근 발생한 GPKI 인증서 유출 사고, 왜 막지 못했을까요? 기존의 '경계형 보안' 모델이 어떻게 뚫렸는지, 그리고 왜 '제로 트러스트'라는 새로운 패러다임이 시급한지 알기 쉽게 설명해 드립니다.

GPKI 해킹 사고가 우리에게 남긴 교훈: '아무도 믿지 말라'

솔직히 말해, 이번 GPKI(정부 공개키 기반구조) 침해 사고는 단순한 해킹 사건이 아닙니다. 국가 디지털 신뢰의 근간이 흔들린 중대한 사건이죠. 😱 '설마 뚫릴까' 했던 정부 내부망이, 그것도 '디지털 마스터키'라 불리는 GPKI 인증서가 유출되었다는 사실은 충격적입니다.

이번 GPKI 침해 사고는 낡은 방어 모델의 한계를 명확히 보여주었습니다.

이번 공격은 우리가 철석같이 믿었던 '경계 방어' 모델이 더 이상 유효하지 않음을 증명했습니다. 이 글에서는 대체 왜 뚫렸는지, 그리고 이 무너진 신뢰를 어떻게 다시 세워야 할지, 그 핵심 열쇠인 '제로 트러스트(Zero Trust)'에 대해 이야기해 보겠습니다.

왜 속수무책으로 당했을까? 낡은 '성과 해자' 모델 🏰

우리의 보안은 지금까지 '성과 해자(Castle and Moat)' 모델에 의존해왔습니다. 성을 튼튼한 외벽(방화벽, VPN)으로 둘러싸고, 일단 성문으로 들어온 사람은 모두 '우리 편'이라고 믿는 방식이죠.

'성과 해자' 모델은 경계가 뚫리면 내부 전체가 무방비 상태가 되는 치명적 약점이 있습니다.

하지만 이번 공격은 그 성문(VPN)의 취약점을 파고들어왔습니다. 일단 안으로 들어온 공격자는 '신뢰받는 내부자' 행세를 하며 내부망을 자유롭게 돌아다녔죠. (이를 '수평 이동'이라 부릅니다.) GPKI 시스템이 있는 안방까지 그냥 활보하고 다닌 겁니다.

⚠️ 심지어 다중 인증(MFA)도 뚫렸다?
"우리는 MFA(다중 인증)만 쓰면 안전하다고 생각했지만, 공격자들은 '중간자 공격(AiTM)'이라는 정교한 피싱으로 이마저 무력화했습니다. 진짜 로그인 창인 척 사용자를 속여, 인증이 완료된 '세션 쿠키' 자체를 가로채는 방식이었죠. 즉, 비밀번호가 아닌 '로그인된 상태' 자체를 훔친 겁니다."

결국 '한 번 뚫리면 끝장'이라는 낡은 모델의 치명적인 약점이 그대로 드러난 것입니다.

---

새로운 표준: "절대 믿지 말고, 항상 검증하라" 🛡️

그래서 등장한 것이 바로 '제로 트러스트 아키텍처(Zero Trust Architecture, ZTA)'입니다. 이름 그대로 '아무도 믿지 않는다'는 것이 기본 철학입니다.

제로 트러스트는 '내부'와 '외부'의 구분을 없애고 모든 접근 요청을 검증하는 새로운 보안 패러다임입니다.

제로 트러스트는 네트워크가 '이미 뚫렸다'고 가정합니다. 그래서 내부에 있든 외부에 있든, 모든 사용자, 모든 기기가 리소스에 접근할 때마다 매번 엄격하게 신원을 확인하고 권한을 검증합니다.

💡 제로 트러스트의 핵심 원칙 3가지

1. 강력한 인증: 모든 접근을 '지속적으로' 검증합니다. (AiTM 피싱도 막아내는 FIDO/WebAuthn 같은 피싱 방지 인증이 필수입니다!)
2. 최소 권한: 사용자에게 꼭 필요한 '최소한의' 권한만, '짧은 시간 동안만' 부여합니다.
3. 마이크로세그멘테이션: 네트워크를 아주 잘게 쪼개서, 설령 한 곳이 뚫려도 다른 곳으로 퍼지지 못하게 막습니다. (이게 '수평 이동'을 차단하는 핵심 기술이죠!)
4. 전방위적 감시 (XDR): 네트워크, PC, 서버 등 모든 곳의 데이터를 모아 인공지능(AI)이 비정상 행위를 24시간 감시합니다.

해킹 불가능한 FIDO인증 방식

제로 트러스트는 성벽 하나에 의존하는 대신, 성 내부에도 수많은 검문소와 벽을 세워 설령 적이 침입해도 안방까지 도달하지 못하게 막는, 훨씬 더 현대적이고 강력한 방어 체계입니다.

---

오늘의 핵심 요약 📝

• 문제: GPKI 사고는 '한 번 뚫리면 끝'인 낡은 '성과 해자' 보안 모델의 한계를 드러냈습니다.
• 원인: 공격자는 VPN 취약점으로 침투한 뒤, 정교한 피싱(AiTM)으로 인증을 우회하고, 내부에서 '수평 이동'하며 핵심 자산(GPKI)을 탈취했습니다.
• 해결: '아무도 믿지 않는다'는 '제로 트러스트' 모델로 전면 전환해야 합니다.
• 방법: 모든 접근을 '항상 검증'하고(FIDO 등), '최소 권한'만 부여하며, 네트워크를 잘게 쪼개(마이크로세그멘테이션) 피해 확산을 원천 차단해야 합니다.

자주 묻는 질문 ❓

Q: 제로 트러스트를 도입하면 100% 안전한가요?
A: 100% 완벽한 보안은 없습니다. 하지만 제로 트러스트는 '뚫릴 수 있다'는 것을 전제로, 침해가 발생하더라도 그 피해를 특정 구역에 고립시키고 신속하게 탐지하여 대응할 수 있게 해줍니다. 즉, '사고 방지'에서 '피해 최소화'로 초점을 옮긴, 훨씬 더 현실적이고 강력한 전략입니다.

Q: 제로 트러스트는 정부/공공기관에만 필요한가요?
A: 아닙니다. 원격 근무와 클라우드 사용이 보편화되면서 '내부'와 '외부'의 경계가 무너진 것은 모든 현대 기업의 공통된 상황입니다. '김수키' 같은 해킹 그룹은 정부뿐만 아니라 기업의 핵심 기술이나 자금을 노리고 있어, 제로 트러스트는 이제 모든 조직의 표준 보안 전략이 되어야 합니다.

Q: 개인이 할 수 있는 일은 무엇인가요?
A: 이번 공격에서 보듯, 정교한 피싱은 전문가도 속기 쉽습니다. 따라서 SMS나 앱 인증(MFA)보다, 가능하면 FIDO(파이도)라 불리는 하드웨어 보안 키나 윈도우 헬로, 페이스 ID 같은 생체 인증을 사용하는 것이 훨씬 안전합니다. 또한 출처가 불분명한 링크나 파일은 절대 열지 않는 기본 수칙을 지키는 것이 중요합니다.

이번 GPKI 사고는 우리에게 매우 뼈아픈 교훈을 주었습니다. 하지만 동시에 낡은 방식을 버리고 진정한 '디지털 신뢰'를 구축할 기회이기도 합니다. '제로 트러스트'로의 전환은 선택이 아닌, 우리의 디지털 미래를 지키기 위한 필수 과제입니다.

---

phoue.co.kr 에 가시면 더 자세한 이야기를 볼 수 있습니다.

---

참고자료

• APT43: North Korean Group Uses Cybercrime to Fund Espionage Operations Google Cloud Blog
• "공무원 업무시스템 '온나라'·GPKI 인증 해킹 흔적"…보안 강화 연합뉴스
• [대한민국 털렸다] '김수키'에 무엇을, 어떻게 당했나? 보안뉴스
• FIDO 인증이란? 비밀번호 없는 시대에 오신 것을 환영합니다 Authme
• 사이버 보안 101: 마이크로세그멘테이션 Illumio