IT보안에 관심이 있으신 분들이라면 '제로 트러스트' 라는 말을 많이 들어보셨을 텐데요.
제로 트러스트는 단순히 사이버 보안 제품이나 솔루션을 의미하는 것이 아니라 보안 패러다임의 변화를 의미합니다.
최근 업무 환경의 변화와 모바일, 클라우드 등 새로운 기술의 등장으로 네트워크가 복잡해지면서 사이버 공격에 취약해진 것은 사실입니다.
기존의 보안 아키텍처에서의 문제점을 보완하고 어떻게 성공적인 제로 트러스트 보안로 향해 나아갈 수 있는지 알아보겠습니다.
💡제로 트러스트란?
"절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"
신뢰할 수 있는 네트워크라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고,
명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않습니다.
또한 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미합니다.
🔍제로 트러스트의 등장 배경
기존에 사용하던 보안 모델은 경계 기반 보안 모델인데요!
이 모델은 네트워크 접속 지점을 단일화 시켜 단일 접속 지점에만 강력한 보안 통제를 적용하는 구조입니다.
이러한 구조 하에, 네트워크 트래픽을 감시하고 대응하는 시스템을 적용하였습니다.
그러나 경계 기반 보안은 기업 외부망에서 내부망으로 접속을 통제하는 데 강력한 보호 기법을 제공하지만,
보안 통제가 집중되어 있는 경계만 넘어서 내부 망으로 들어오게 된다면 더이상의 통제를 적용하지 않기 때문에
공격자가 내부에 침입하는 데만 성공한다면 다른 중요 서버에 침투 할 수 있는 횡적 이동 공격이 가능하게 됩니다.😨
이를 해결하기 위해서 등장한 개념이 바로 제로 트러스트입니다!
제로 트러스트 모델에서는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하며,
기업망 내외부에 언제나 공격자가 존재할 수 있고, 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않습니다.
또한 네트워크 혹은 물리적 위치, 접속 기기에 상관없이 기본적으로 ‘비 신뢰’에서 출발하여
강화된 인증 및 지속적인 모니터링 등을 통하여 계속 검증한 후 신뢰도가 일정 수준을 넘어갈 때,
기업망 혹은 기업 데이터를 접근할 수 있는 권한을 부여하는 것이 제로트러스트의 원칙이 됩니다.
🚀 제로 트러스트 모델 구현 단계
제로 트러스트 아키텍처는 구현 원칙과 마이크로 세그먼테이션을 반영하여 기업의 환경에 맞춰서 구현이 필요합니다.
준비 : 제로 트러스트 도입 전 기업 망 핵심 요소를 파악하고 이를 중심으로 현재 보안 대상, 수준을 평가합니다.
설계 : 비즈니스 프로세스의 접근 주체와 리소스 상태를 파악하고, 중요한 자산과 리소스를 결정하여 데이터 등급 분류를 통해 보안 정책을 수립합니다.
구현 : 주요 자원의 위치, 프로토콜, 서비스 등을 고려하여 각 기업의 업무 환경에 적합한 솔루션을 검토하고 구현합니다.
운영 : 제로 트러스트 솔루션 도입 후 정책 설정 및 시행하고 자산 및 리소스 액세스 패턴을 파악한 후 점진적으로 정책을 개선합니다.
피드백/개선 : 제로 트러스트 아키텍처를 개선하기 위해 지속적인 평가와 재식별 수행을 통한 수준 고도화를 진행합니다.
📌제로 트러스트 기본 구성 요소
일반적으로 기업의 리소스에 접근하고자 하는 주체는 네트워크의 위치 등에 관계없이 기본적으로 신뢰할 수 없는 것으로 가정하고 있으며,
인증 등의 과정을 거쳐 신뢰도를 추론하여 접근을 허용하는 결정 과정 진행합니다.
이와 더불어 기업과 조직에서는 다음과 같은 기본 원리를 준수하는 형태로 제로 트러스트 아키텍처를 설계, 구현하여야 합니다.
- 모든 데이터 소스 및 서비스는 리소스로 간주
- 네트워크 위치와 관계없이 모든 통신 보호
- 기업 리소스에 대한 접근을 세션 단위로 승인
- 동적 정책으로 리소스 접근 결정
- 모든 자산의 무결성 및 보안 상태 감시, 조치
- 모든 리소스의 인증·인가를 강력하게 점검 후 접근 허용
- 자산, 네트워크 인프라, 통신 등 현 상태에 대해 가능한 한 많은 정보 수집
📌제로 트러스트 도입 전략
제로트러스트를 완전히 도입하는 것은 많은 시간과 비용이 소요됩니다.
단 기간에 제로트러스트를 최적화 수준으로 적용하는 것은 불가능하기 때문에 장기간의 계획으로 도입 전략을 수립해야 합니다.
먼저 아래 전략을 통해 도입을 시작하여 점진적으로 나아가는 것이 바람직합니다.
1. 기업망 핵심 요소 중 특정요소(ex. 식별자)부터 도입을 시작하는 것
특정 핵심 요소에서 일정 수준의 제로 트러스트 목표를 달성할 경우, 다른 핵심 요소로 이동하면서 각 성숙도 수준을 같이 끌어올리는 전략입니다.
2. 도입 전략은 특정 비즈니스 프로세스부터 시범적으로 제로트러스트를 도입하는 것
도입하고자 하는 비즈니스 프로세스와 관련한 사용자, 기기, 대상 리소스, 정책 등을 명확히 파악하는 것을 우선시 합니다.
그리고 이 프로세스에서 필요한 인증, 마이크로 세그멘테이션 등 필요 기능을 정의하고, 워크플로우 연동 시나리오를 정립해야 합니다.
이후, 정립한 기능이 구현되어 있는 보안 솔루션을 도입하여 직접 실행·운영하는 과정에서 각 기능들을 검증합니다.
🔦제로 트러스트 보안 도입 효과
- 강력한 사용자 인증과 강화된 다중 인증을 요구하여 기존 기업망 환경보다 안정성이 더욱 높아집니다.
- 사용자 행위에 대한 지속적인 모니터링을 통해 비정상적인 동적 접근을 제한하여 피해 범위를 줄이고 신속한 대응이 가능합니다.
- 허가되지 않은 접근은 모두 차단되어 외부 악성코드 및 해킹을 차단하여 기업 내부의 정보 유출을 예방할 수 있습니다.
- 네트워크 위치에 관계없이 리소스 접근을 통제/관리하여 임직원들에게 안전하고 유연한 업무 환경을 제공 할 수 있습니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
🙌 기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
출처 : 김민규, 강찬영, 이석준. 제로트러스트 동향 분석 및 기업 보안 강화 연구. 2023
과학기술정보통신부. 제로 트러스트 가이드라인 1.0 . 2023
이석준. 제로트러스트, 보안 패러다임의 전환. 2023
IT보안에 관심이 있으신 분들이라면 '제로 트러스트' 라는 말을 많이 들어보셨을 텐데요.
제로 트러스트는 단순히 사이버 보안 제품이나 솔루션을 의미하는 것이 아니라 보안 패러다임의 변화를 의미합니다.
최근 업무 환경의 변화와 모바일, 클라우드 등 새로운 기술의 등장으로 네트워크가 복잡해지면서 사이버 공격에 취약해진 것은 사실입니다.
기존의 보안 아키텍처에서의 문제점을 보완하고 어떻게 성공적인 제로 트러스트 보안로 향해 나아갈 수 있는지 알아보겠습니다.
💡제로 트러스트란?
"절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"
신뢰할 수 있는 네트워크라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고,
명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않습니다.
또한 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미합니다.
🔍제로 트러스트의 등장 배경
기존에 사용하던 보안 모델은 경계 기반 보안 모델인데요!
이 모델은 네트워크 접속 지점을 단일화 시켜 단일 접속 지점에만 강력한 보안 통제를 적용하는 구조입니다.
이러한 구조 하에, 네트워크 트래픽을 감시하고 대응하는 시스템을 적용하였습니다.
그러나 경계 기반 보안은 기업 외부망에서 내부망으로 접속을 통제하는 데 강력한 보호 기법을 제공하지만,
보안 통제가 집중되어 있는 경계만 넘어서 내부 망으로 들어오게 된다면 더이상의 통제를 적용하지 않기 때문에
공격자가 내부에 침입하는 데만 성공한다면 다른 중요 서버에 침투 할 수 있는 횡적 이동 공격이 가능하게 됩니다.😨
이를 해결하기 위해서 등장한 개념이 바로 제로 트러스트입니다!
제로 트러스트 모델에서는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하며,
기업망 내외부에 언제나 공격자가 존재할 수 있고, 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않습니다.
또한 네트워크 혹은 물리적 위치, 접속 기기에 상관없이 기본적으로 ‘비 신뢰’에서 출발하여
강화된 인증 및 지속적인 모니터링 등을 통하여 계속 검증한 후 신뢰도가 일정 수준을 넘어갈 때,
기업망 혹은 기업 데이터를 접근할 수 있는 권한을 부여하는 것이 제로트러스트의 원칙이 됩니다.
🚀 제로 트러스트 모델 구현 단계
제로 트러스트 아키텍처는 구현 원칙과 마이크로 세그먼테이션을 반영하여 기업의 환경에 맞춰서 구현이 필요합니다.
준비 : 제로 트러스트 도입 전 기업 망 핵심 요소를 파악하고 이를 중심으로 현재 보안 대상, 수준을 평가합니다.
설계 : 비즈니스 프로세스의 접근 주체와 리소스 상태를 파악하고, 중요한 자산과 리소스를 결정하여 데이터 등급 분류를 통해 보안 정책을 수립합니다.
구현 : 주요 자원의 위치, 프로토콜, 서비스 등을 고려하여 각 기업의 업무 환경에 적합한 솔루션을 검토하고 구현합니다.
운영 : 제로 트러스트 솔루션 도입 후 정책 설정 및 시행하고 자산 및 리소스 액세스 패턴을 파악한 후 점진적으로 정책을 개선합니다.
피드백/개선 : 제로 트러스트 아키텍처를 개선하기 위해 지속적인 평가와 재식별 수행을 통한 수준 고도화를 진행합니다.
📌제로 트러스트 기본 구성 요소
일반적으로 기업의 리소스에 접근하고자 하는 주체는 네트워크의 위치 등에 관계없이 기본적으로 신뢰할 수 없는 것으로 가정하고 있으며,
인증 등의 과정을 거쳐 신뢰도를 추론하여 접근을 허용하는 결정 과정 진행합니다.
이와 더불어 기업과 조직에서는 다음과 같은 기본 원리를 준수하는 형태로 제로 트러스트 아키텍처를 설계, 구현하여야 합니다.
- 모든 데이터 소스 및 서비스는 리소스로 간주
- 네트워크 위치와 관계없이 모든 통신 보호
- 기업 리소스에 대한 접근을 세션 단위로 승인
- 동적 정책으로 리소스 접근 결정
- 모든 자산의 무결성 및 보안 상태 감시, 조치
- 모든 리소스의 인증·인가를 강력하게 점검 후 접근 허용
- 자산, 네트워크 인프라, 통신 등 현 상태에 대해 가능한 한 많은 정보 수집
📌제로 트러스트 도입 전략
제로트러스트를 완전히 도입하는 것은 많은 시간과 비용이 소요됩니다.
단 기간에 제로트러스트를 최적화 수준으로 적용하는 것은 불가능하기 때문에 장기간의 계획으로 도입 전략을 수립해야 합니다.
먼저 아래 전략을 통해 도입을 시작하여 점진적으로 나아가는 것이 바람직합니다.
1. 기업망 핵심 요소 중 특정요소(ex. 식별자)부터 도입을 시작하는 것
특정 핵심 요소에서 일정 수준의 제로 트러스트 목표를 달성할 경우, 다른 핵심 요소로 이동하면서 각 성숙도 수준을 같이 끌어올리는 전략입니다.
2. 도입 전략은 특정 비즈니스 프로세스부터 시범적으로 제로트러스트를 도입하는 것
도입하고자 하는 비즈니스 프로세스와 관련한 사용자, 기기, 대상 리소스, 정책 등을 명확히 파악하는 것을 우선시 합니다.
그리고 이 프로세스에서 필요한 인증, 마이크로 세그멘테이션 등 필요 기능을 정의하고, 워크플로우 연동 시나리오를 정립해야 합니다.
이후, 정립한 기능이 구현되어 있는 보안 솔루션을 도입하여 직접 실행·운영하는 과정에서 각 기능들을 검증합니다.
🔦제로 트러스트 보안 도입 효과
- 강력한 사용자 인증과 강화된 다중 인증을 요구하여 기존 기업망 환경보다 안정성이 더욱 높아집니다.
- 사용자 행위에 대한 지속적인 모니터링을 통해 비정상적인 동적 접근을 제한하여 피해 범위를 줄이고 신속한 대응이 가능합니다.
- 허가되지 않은 접근은 모두 차단되어 외부 악성코드 및 해킹을 차단하여 기업 내부의 정보 유출을 예방할 수 있습니다.
- 네트워크 위치에 관계없이 리소스 접근을 통제/관리하여 임직원들에게 안전하고 유연한 업무 환경을 제공 할 수 있습니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
🙌 기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
출처 : 김민규, 강찬영, 이석준. 제로트러스트 동향 분석 및 기업 보안 강화 연구. 2023
과학기술정보통신부. 제로 트러스트 가이드라인 1.0 . 2023
이석준. 제로트러스트, 보안 패러다임의 전환. 2023