제로 트러스트 가이드라인 1.0 주요 개념 추출

★ 제로 트러스트의 개념

신뢰할 수 있는 네트워크라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기, 네트워크 트래픽을 신뢰하지 않으며, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미한다.

 

★ 기존 경계기반 모델의 한계 

내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화되는 보안 위협에 한계 노출

 

★ 제로 트러스트 기본 철학

① 모든 종류의 접근에 대해 신뢰하지 않을 것
② 일관되고 중앙집중적인 정책 관리 및 접근제어 결정·실행 필요
③ 사용자, 기기에 대한 관리 및 강력한 인증
④ 자원 분류 및 관리를 통한 세밀한 접근제어
⑤ 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용
⑥ 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰성 지속 검증·제어 

 

★ 제로 트러스트 구현 핵심원칙

① 인증 체계 강화: 각종 리소스 접근 주체에 대한 신뢰도를 핵심요소로 설정하여 인증 정책 수립
② 마이크로 세그멘테이션: 보안 게이트웨이를 통해 보호되는 단독 네트워크 구역에 개별 자원을 배치하고, 각종 접근 요청에 대한 지속적인 신뢰 검증 수행
③ 소프트웨어 정의 경계: 소프트웨어 정의 경계 기법을 활용하여 정책 엔진 결정에 따르는 네트워크 동적 구성, 사용자·단말 신뢰 확보 후 자원 접근을 위한 데이터 채널 형성

 

★ 제로 트러스트 도입을 위한 세부 절차

① 준비: 기업망 핵심요소를 중점으로 현재 보안 대상 수준에 대한 평가
② 계획: 성숙도 모델을 기반으로 기존 보안 체계와 조화를 이루어 더 높은 수준의 보안 설계 및 예산 검토
③ 구현: 주요 자원의 위치, 프로토콜 등을 고려하여 적합한 솔루션 검토 및 구현
④ 운영: 6개의 기본철학을 중심으로 3개의 핵심원칙이 적절하게 동작할 수 있도록 운영
⑤ 피드백·개선: 제로 트러스트 성숙도 기반의 완성도 비교, 모니터링 및 개선방안 도출 등 각 단계의 반복적 관리

 

★ 국내 제로 트러스트 성숙도 단계

① 기존: 아직 제로 트러스트 아키텍처를 적용하지 않은 수준으로, 경계 기반 보안 모델이 적용되어 있는 상태
② 향상: 제로 트러스트 철학을 부분적으로 도입한 수준으로, 제로 트러스트 원칙이 보안 아키텍처에서 핵심 기능이 되는 상태
③ 최적화: 제로 트러스트 철학이 전사적으로 적용된 상태