삼성생명, 제로트러스트 구축… 내년엔 AI 기반 신뢰도 평가 시스템 도입

삼성생명이 기존 성벽식 보안에서 벗어나 전사 제로 트러스트(Zero Trust) 보안 체계 구축에 속도를 내고 있다.

이상완 삼성생명 파트장은 20일 서울 여의도에서 열린 ‘피스콘(FISCON)2025’ 강연에서 최근 보안 공격이 고도의 제로데이 기술이 아닌 “오래된 취약점이나 단순한 파일 업로드, 다운로드 취약점에서 웹셀이 올라가는 방식으로 이뤄지고 있다”며 “보안 시스템의 문제는 모든 시스템에 자유롭게 연결할 수 있다는 치명적 단점이 있다”고 말했다.

해킹의 핵심은 복잡한 공격기술이 아니라 관리되지 않는 자산과 통합 계정 서버 같은 우회지점에 있다는 설명이다. 보안을 위해 여러 시스템을 중앙에서 관리하는 통합 계정·관리 서버가 해킹되면, 오히려 모든 시스템으로 자유롭게 침투할 수 있다고 지적했다.

삼성생명은 사용자·디바이스·네트워크·애플리케이션을 식별하는 IM(아이덴티티 매니저)과 SSO(싱글사인온) 기반 인증체계를 구축해 왔으며, 패스워드리스 인증, 마이크로 세그멘테이션, ZTNA(제로트러스트 네트워크 액세스), SASE 기반 원격 접속을 단계적으로 적용 중이다. 

이상원 파트장은 “권한이 있다고 애플리케이션에 접속하는 게 아니라, 그 네트워크에 액세스할 수 있는 권한이 있는지를 판단하는 게 중요하다”고 했다.

그러면서 “권한이 없으면 네트워크가 없다라는 컨셉으로 가야한다”며 “내가 접속할 수 있는 시스템이 3개면 3개의 URL만 오픈되는 것”이라고 덧붙였다.

내년에는 AI 기반 신뢰도 평가 시스템 도입도 추진하고 있다. 이 파트장은 “패치가 업그레이드됐는지, 악성 코드에 감염되지 않았는지, 평상시 사용자의 행동과 동일한 패턴인지 실시간으로 스코어링을 해서 권한이 있더라도 진입을 차단할 수 있다”고 밝혔다.

이 과정에서 금융사가 현실적으로 직면한 레거시 시스템 문제를 짚었다. 그는 “삼성생명을 포함한 대부분의 금융사는 오래된 레거시 시스템과 다양한 IT 자산을 보유하고 있다”면서 “매우 높은 수준의 제로트러스트 아키텍처를 꿈꾸는 것보다, 모든 IT 자산을 포함하는 완전성과 다양성, 수용성을 고려한 실제 적용 가능한 아키텍처 설계가 무엇보다 중요하다”고 말했다. 

또한 “수준을 낮게 하더라도 전체를 이끌고 가는 것이 중요하다”며 “싱크 빅, 스타트 브로드다. 네트워크가 몇 프로 분리돼 있지 않다면 모두를 끌고 가야 한다”고 강조했다.

한재희 기자
onej@chosunbiz.com