제로 트러스트 보안 총정리

1. 제로 트러스트 보안의 개념

사이버 보안 시대에는 위치나 액세스 수준에 관계없이 조직 네트워크 외부 또는 내부의 사용자나 장치를 자동으로 신뢰해서는 안 된다. 이는 우리 사회에서 타인을 100% 믿어서는 안 된다는 말과 결국 같다고 할 수 있을 것이다. 이 새로운 정보 보안 개념을 제로 트러스트 보안이라고 한다. 제로 트러스트 보안은 사용자의 행동과 활동을 면밀히 모니터링하여 잠재적인 보안 위협을 찾아 수정하고 각 요청에 대한 액세스를 동적으로 할당한다. 또한, 리소스나 애플리케이션에 대한 액세스 권한을 부여하기 전에 모든 사용자와 장치를 검증하고 승인하는 작업을 거친다. 소위 말해, 끊임없이 의심하는 것이 제로 트러스트의 핵심인 것이다.

 

1.1 제로 트러스트 보안의 기본 원칙

제로 트러스트 보안 모델의 기본 철학은 '신뢰하지 않고, 항상 확인'이라 할 수 있다. 모든 액세스 요청은 액세스 권한을 부여하기 전에 완전히 인증, 승인 및 암호화된다. 이 전략은 손상된 사용자 또는 장치로 인해 발생할 수 있는 잠재적 피해를 제한하여 데이터 침해 및 사이버 공격을 예방하는 데 도움이 된다. NIST 800-207에 따르면, 제로 트러스트 모델은 다음과 같은 필수 가정을 고려해야 한다. 

① 지속적인 검사 및 모니터링: 항상 모든 리소스에 대한 액세스를 확인한다. 
② 항상 피해 범위를 제한: 내부자 또는 외부 위반이 발생할 경우, 피해를 최소화한다.
③ 컨텍스트 수집 및 반응 자동화: 가장 정확한 결과를 얻기 위해 행동 데이터를 고려하고, 전체 IT 스택(ID, 엔드포인트, 워크로드 등)에서 컨텍스트를 얻는다.

 

2. 제로 트러스트 모델의 요소

① 모든 사용자 확인: 우리는 네트워크 내에서 알 수 없거나 알려진 사용자로부터 받는 모든 요청을 지속적으로 확인해야 한다. Single Sign On과 같은 하나의 인증 기술에만 의존하는 기업은 분명 문제에 직면하게 된다. 언제 직면하는지 시간의 문제일 뿐인 것이다. 이를 방지하려면 Single Sign On이 멀티 팩터 인증(MFA)과 같은 다른 기술과 균형을 이루어야 한다.

② 모든 장치 검증: 실제 안전을 보장하려면 장치에는 멀티 계층 보호를 위한 적응형 검증도 있어야 한다.

③ 지능적으로 액세스 제한: 누가 조직의 리소스를 활용하는지 이해하는 것이 제로 트러스트의 최종 구성 요소이다. 누가 얼마나 많은 리소스를 어떤 장치에서 활용하고 있는지를 파악하여 사용자가 제대로 작동하고 필요한 계정에 액세스할 수 있는지, 장치가 구성되었는지 확인한다. 그리고 그 장치들은 처음부터 올바른 클라이언트로 구성되어 있다. 사용자들이 위치를 바꾼다면, 그들의 로그인 자격 증명은 즉시 철회될 것이고, 네트워크에 더 이상 접근할 수 없도록 세션은 종료될 것이다.

 

3. 제로 트러스트 보안의 구현

제로 트러스트 보안 모델의 구현에는 다양한 전략과 기법이 포함된다. 제로 트러스트 보안을 구현하기 위한 몇 가지 필수 작업은 다음과 같다.

① 자산 식별 및 분류: 민감한 데이터, 애플리케이션 및 시스템과 같은 조직의 중요 자산을 식별하는 것부터 시작하여 민감도 수준과 잠재적인 보안 침해를 기준으로 분류한다.
② 네트워크 매핑: 모든 사용자, 장치 및 앱을 포함한 네트워크 구성 요소의 상세 다이어그램을 매핑하여 각 액세스 지점 및 연결에 대한 평가 경로를 쉽게 확인한다.
③ 네트워크 세그먼트화: 네트워크를 더 작은 조각으로 나누고, 검증을 한 사용자와 장치만 한 영역에 액세스할 수 있도록 하고, 데이터가 손상되는 동안 더 많은 보안을 위해 다른 영역을 분리하여 분리된 네트워크를 종료할 수 있다. 부서, 기능 또는 사용자 역할은 네트워크를 세분화하는 데 사용할 수 있는 다양한 기준 중 일부에 불과한 것으로 이해할 수 있다.
④ 액세스 제어 구성: 네트워크 및 네트워크 리소스에 액세스할 수 있는 사용자를 제한하는 액세스 제어를 구성한다. 권한 있는 사용자와 장치만 이를 수행할 수 있어야 하며, 역할 기반 액세스 제어(RBAC) 및 다중 요소 인증(MFA)과 같은 강력한 인증 방식을 더한다.
⑤ 사용자와 기기 동작 모니터링: 그늘진 활동과 잠재적인 보안 문제를 항상 주시해야 한다. 이는 보안 분석, 침입 탐지 시스템(IDS), 보안 정보 및 이벤트 관리(SIEM) 등의 기술을 통해 수행할 수 있을 것이다.
⑥ 피드백 시스템을 통해 항상 개선 및 조정: 제로 트러스트 보안 모델은 일회성 작업이 아니라 지속적인 개발과 조정이 필요한 프로세스이다. 공격자의 방식은 언제나 발전하기 마련이고, 그렇기에 새로운 위협에 맞서기 위해서는 보안 정책, 프로세스 및 기술을 꾸준히 점검하고 업데이트해야 한다.

 

4. 제로 트러스트의 장점

각종 글로벌 연구에 따르면, 제로 트러스트 기법으로 인해 기업은 통합 시스템에서의 기술 사용을 40% 줄이고 위반을 50% 줄인 것으로 나타났다. Forrester 조사에 따르면, 제로 트러스트를 사용한 기업은 새로운 비즈니스 전략과 고객 경험을 촉진할 수 있는 능력에 대해 두 배의 신뢰를 가지고 있다고 응답했다. 괜히 24년의 보안 트렌드에 제로 트러스트가 포함되는 것이 아니다.