제로 트러스트(Zero Trust)
글: 편집실
코로나 19 팬데믹 이후 우리 사회는 많은 변화를 받아들이고 있다.
인터넷의 보안 솔루션에도 변화의 물결이 일고 있다. 방화벽 안쪽 내부망은 신뢰할 만하다는
‘경계 방어’방식에서 이제는 아무것도 신뢰하지 않는다는 ‘제로 트러스트’ 방식이 대세가 되고 있다.
정부와 기업의 관심을 한몸에 받고 있는 보안모델
문서보안 특화 정보보안 솔루션 기업인 소프트캠프의 배환국 대표는 최근 “하이브리드 업무환경의 보안 트렌드에 발맞춰 ‘제로 트러스트’(Zero Trust) 보안 구현에 앞장서겠다”고 밝혔다.
배 대표는 ‘리모트 브라우저 격리 기술을 통한 제로 트러스트 실현과 챗(Chat) GPT를 활용한 SW 공급망 보안 방안 제시’를 위한 기자간담회를 열고 “기업 보안 측면에서 코로나19 팬데믹이 커다란 변혁의 계기를 가져옴에 따라 소프트캠프 역시 최근 3년간 ‘제로 트러스트’에 깊이 있는 연구를 해왔다”며 이같이 밝혔다.
과기정통부는 제로 트러스트 현장 간담회를 개최해 한국형(K) 제로 트러스트 실·검증을 맡은 사업자들과 처음으로 한자리에 모여 국내·외 제로 트러스트 최신 동향과 향후 계획에 대해 의견을 나눴다. K-제로 트러스트 실현을 위한 본격적인 출발을 선언한 셈이다.
그 무엇도 신뢰하지 않는 제로 트러스트
제로 트러스트는 '아무것도 신뢰하지 않는다'를 전제로 한 사이버 보안 모델로, 내부에 접속한 사용자에 대해서도 무조건적으로 신뢰하지 않고 검증하는 것을 기본으로 하는 개념으로, ‘절대 신뢰하지 말고, 항상 검증해야 한다’(Never Trust, Always Verify)는 기조로 클라우드 환경 내에서 모든 네트워크를 의심하고 검증하는 최신 보안방식이다. 이는 사이버 보안 전문가이자 포레스터 리서치 수석연구원인 존 킨더버그(John Kindervag)가 2010년 제시한 개념으로, ‘신뢰가 곧 보안 취약점’이라는 원칙을 내세운 것이다.
코로나19로 보안체계의 혁신 필요성 대두
어떤 이유로 현재 모두가 ‘제로 트러스트’에 집중하고 있는 걸까? 2020년 시작된 코로나19 팬데믹의 여파로, 원격근무나 재택근무가 확산되면서 네트워크 보안이 매우 중요한 이슈로 떠올랐다. 다양한 환경과 다양한 기기에서 조직 네트워크로의 접근이 이뤄지면서, 기존 보안체계로는 위험에 대처하기 어렵다는 것을 알게 되었다. 제로 트러스트 방식이 수많은 기업과 기관의 관심을 한몸에 받게 된 이유다. 일하는 시간, 방식, 위치가 다양해지고 확장되고 있는 추세이고 클라우드의 부상으로 네트워크의 경계도 변화하고 있어서, 사용자 및 애플리케이션은 내부에도 존재하고 외부에도 존재한다. 따라서 공격자들이 악용할 수 있는 취약점들이 경계 내부에서도 생겨나고 있다. 공격자들은 일단 내부 서버에 들어오면 고객 데이터와 같은 리소스 및 핵심 자산에 접속하거나 랜섬웨어 공격을 시작하게 된다. 이에 조금도 방심하지 않고 신원을 체계적이고 반복적으로 확인하며 이런 검증 절차를 계속해 나가며 철통방어를 하는 제로 트러스트가 급부상하고 있는 것이다.
보안 수준은 향상, 위험요소는 사전 제거
제로 트러스트(Zero Trust) 보안 모델은 현대의 디지털 환경에서 필수적인 접근 제어 방식으로 인식되고 있다. 기존의 네트워크 보안 전략이 완전한 신뢰를 기반으로 하는 것과 달리, 이 모델은 모든 사용자, 장치 및 네트워크 요소가 항상 의심의 대상으로 취급되어야 한다는 원칙에 기반을 두고 있다. 따라서 기업과 기관의 보안 수준을 향상시키고 위험요소를 사전에 제거해나가는 접근 방식이라고 볼 수 있다. 과거의 보안 모델은 방화벽과 가상 사설망(VPN) 등으로 네트워크의 외부와 내부를 구분하였다. 그러나 클라우드 컴퓨팅, 모바일 기기의 보급, 원격 작업 등의 발전으로 인해 네트워크의 경계는 더 이상 명확하지 않다. 이에 따라 전통적인 방식의 보안 접근 방식은 더 이상 효과적이지 않은 것으로 드러나고 있다. 제로 트러스트 모델은 이러한 변화된 환경에 적응하기 위해 개발되었다.
다중 인증과 권한 부여의 최소화가 핵심
제로 트러스트 모델에서는 ID 및 권한을 검증하기 전까지 어떤 사용자나 디바이스도 신뢰하지 않아 리소스에 접근이 불가능하다. 원격으로 근무하며 기업 컴퓨터를 사용하는 직원이나 전 세계 컨퍼런스에 참여하며 자신의 모바일 디바이스를 사용하는 직원처럼 프라이빗 네트워크를 사용하는 사람들에게 주로 적용된다.
또한 해당 네트워크 외부의 모든 사람과 엔드포인트에 적용되며 해당 네트워크에 접속한 이력이 있어도, 심지어 자주 접속하는 네트워크여도 무사통과가 없다. 제로 트러스트 보안 모델은 사용자를 신뢰하는 대신 사용자 ID를 다시 검증한다. 모든 머신, 사용자, 서버는 그 신뢰성이 입증되기 전까지 신뢰의 대상이 아니다.
제로 트러스트 모델은 크게 두 가지 핵심 원칙을 가지고 있다.
첫째, 모든 사용자와 장치에 대해 신뢰하지 않고 인증을 거쳐야 접속 가능 한다는 것. 즉, 네트워크에 접근하는 모든 개체는 항상 자신의 신원을 증명해야 한다는 것이다. 두 번째로, 모든 네트워크 트래픽 역시 신뢰하지 않고 검증절차를 거쳐야 한다. 이는 내부 네트워크에서 발생하는 트래픽도 예외가 아니다. 제로 트러스트 모델은 여러 가지 보안 기술과 방법을 활용해 구현되는데 그 중에서도 주요한 요소로는 다음과 같은 것들이 있다.
다중 인증 요소: 사용자는 단일 비밀번호로만 인증되는 것이 아니라 추가적인 인증 요소를 필요로 한다. 예를 들어, 바이오메트릭 인증(지문, 홍채 등)이나 일회용 인증 코드를 사용할 수 있다.
권한 부여의 최소화: 사용자는 필요한 최소한의 권한만을 부여받는다. 이는 사용자가 접근할 수 있는 리소스를 최소화함으로써 잠재적인 위협으로부터 보호한다.
세션 및 트래픽 모니터링: 사용자의 활동과 트래픽은 실시간으로 모니터링되며, 이상 징후나 악성 행위를 탐지할 수 있다.
마이크로세그먼테이션: 네트워크를 작은 단위로 분할하여 리소스 간의 접근을 제한한다. 이는 잠재적인 침입자가 전체 네트워크에 접근하는 것을 어렵게 만든다.
제로 트러스트 암호화: 데이터의 암호화는 제로 트러스트 모델에서 필수적인 요소다. 암호화를 통해 데이터의 안전한 전송과 보관이 보장된다.
www.akamai.com
www.edaily.co.kr
www.etnews.com
