제로 트러스트란?

제로 트러스트(ZT)는 신뢰가 확립되고 유지될 때까지 모든 트랜잭션, 엔터티 및 ID를 신뢰할 수 없다고 가정하는 네트워크 보안에 대한 아키텍처 접근 방식 및 목표입니다. 제로 트러스트 전략은 보안 시스템이 위반을 식별하지 않는 한 네트워크가 안전하다는 기존 관점과 대조됩니다.

새로운 보안 모델

지난 10여 년 동안 기업은 점점 더 디지털화되었습니다. 이제 클라우드 아키텍처가 포함되고, 원격 작업이 더 많이 통합되며, 다른 혁신적 변화 중 서비스형 솔루션이 추가되었습니다. 보안 팀은 이에 따라 네트워크 보안을 확장했으며, 네트워크를 더 작은 영역으로 세분화하여 보안을 강화했습니다.

안타깝게도 이 전략은 공격자들에게 더 많은 기회를 만들어 주었습니다. 공격자가 사용자의 로그인 정보에 액세스하면 네트워크를 통해 좌우로 이동해 랜섬웨어를 퍼뜨리고 이동하면서 권한을 획득할 수 있습니다.

MFA(다중 인증)는 인증 등급을 향상시켰지만 인증 계층을 하나만 추가했습니다. 한 번 접속해도 해커들은 로그아웃하거나 시스템이 로그아웃할 때까지 계속 접속할 수 있습니다.

BYOD(Bring Your Own Device), 원격 작업 및 클라우드 아키텍처를 비롯한 새로운 작업 방식이 새로운 취약점을 추가했습니다. 그러나 향상된 가시성을 갖춘 새로운 사이버 보안 보호는 엔터프라이즈 네트워크의 에지에서 끝납니다.

제로 트러스트 보안 모델

사이버 보안에 대한 제로 트러스트 접근 방식은 기존 패러다임을 뒤집습니다. 사이버 보안은 더 이상 네트워크 세그먼트나 엔터프라이즈 네트워크 경계 내에서 정의되지 않습니다. 신뢰는 연결이나 자산이 기업이나 개인이 소유하는지 여부에 따라 결정되지 않습니다. 또한 물리적 또는 네트워크 위치(인터넷 또는 근거리 통신망)에 기반하여 허가되지 않습니다.

대신 제로 트러스트는 누가 소유하고 어디에 위치하는지에 관계없이 리소스, 사용자 및 자산에 개별적으로 초점을 맞춥니다. 사용자에게 액세스 권한이 부여되기 전에 엔터프라이즈 리소스에 대해 인증이 개별적으로 수행됩니다.

궁극적인 목표는 검증될 때까지 모든 네트워크 요소를 제로 트러스트 상태로 만드는 것입니다.

제로 트러스트 표준

제로 트러스트 인증 및 표준에 대한 정답은 없습니다. 국립표준기술원(National Institute of Standards and Technology, NIST)은 1901년에 설립되어 현재는 미국 상무부의 일부로, 미국에 기술, 측정 및 표준 정보를 제공합니다. NIST의 목표는 기술 경쟁력을 높이는 것입니다.

NIST는 통신, 기술 및 사이버 보안 관행에 대한 표준을 만듭니다. 이 그룹은 아직 제로 트러스트에 대한 표준이나 인증을 만들지 않았지만 제로 트러스트의 아키텍처 목표를 논의하는 특별 간행물(SP)을 만들었습니다.

이 논문의 요약은 제로 트러스트에 대해 다음과 같이 설명합니다. “제로 트러스트는 정적인 네트워크 기반 경계에서 사용자, 자산 및 리소스에 초점을 맞추는 일련의 진화하는 사이버 보안 패러다임을 의미합니다.” 이 문서에서는 제로 트러스트 방식을 심도 있게 설명합니다.

제로 트러스트 혼란

제로 트러스트가 무엇인지에 대해 사이버 보안 업계에서는 약간의 혼란이 있습니다. 일부 공급업체는 혼란을 이용하여 제로 트러스트 제품으로 태그가 지정된 제품을 판매하고 있습니다. 정보가 없는 경우 제로 트러스트가 제품 기반이라는 오해로 이어질 수 있습니다.

제로 트러스트는 특정 제품에 관한 것이 아니지만 새로운 레거시 제품이 제로 트러스트 아키텍처의 빌딩 블록이 될 수 있습니다. 제로 트러스트는 사이버 보안에 대한 혁신적인 접근 방식입니다. 오늘날 기업과 직원들이 연결되고 함께 일하는 방식의 현실에 확고하게 자리잡고 있습니다.

제로 트러스트로의 전환

기업이 인프라를 처음부터 구축하는 경우 필수 워크플로 및 구성 요소를 식별하고 순수한 제로 트러스트 아키텍처를 구축하는 것이 가능할 수 있습니다. 비즈니스 및 인프라가 변경됨에 따라 성장은 장기적으로 제로 트러스트 원칙을 계속 준수할 수 있습니다.

실제로 대부분의 제로 트러스트 구현은 프로세스입니다. 기업은 시간이 지남에 따라 제로 트러스트와 경계 기반 보안의 균형을 유지하면서 점진적으로 현대화 이니셔티브를 구현합니다.

제로 트러스트 아키텍처를 완전히 구축하는 데에는 몇 년이 걸리고 제로 트러스트라는 궁극적인 목표에 도달하기 전에 여러 프로젝트가 포함될 것입니다. 그러나 제로 트러스트에는 ‘도착’이 없습니다. 미래의 비즈니스 및 인프라 변경 사항을 고려하여 시간이 지남에 따라 제로 트러스트 전략을 구현하고 시행하는 것입니다.

조치를 취하기 전에 계획을 수립하면 프로세스를 더 작은 부분으로 나누고 시간이 지남에 따라 성공을 입증할 수 있습니다. 주제, 비즈니스 프로세스, 트래픽 흐름 및 종속성 맵의 철저한 카탈로그로 시작하여 대상 주제, 자산 및 비즈니스 프로세스를 다룰 수 있도록 준비합니다.

제로 트러스트로의 전환

기업이 인프라를 처음부터 구축하는 경우 필수 워크플로 및 구성 요소를 식별하고 순수한 제로 트러스트 아키텍처를 구축하는 것이 가능할 수 있습니다. 비즈니스 및 인프라가 변경됨에 따라 성장은 장기적으로 제로 트러스트 원칙을 계속 준수할 수 있습니다.

실제로 대부분의 제로 트러스트 구현은 프로세스입니다. 기업은 시간이 지남에 따라 제로 트러스트와 경계 기반 보안의 균형을 유지하면서 점진적으로 현대화 이니셔티브를 구현합니다.

제로 트러스트 아키텍처를 완전히 구축하는 데에는 몇 년이 걸리고 제로 트러스트라는 궁극적인 목표에 도달하기 전에 여러 프로젝트가 포함될 것입니다. 그러나 제로 트러스트에는 ‘도착’이 없습니다. 미래의 비즈니스 및 인프라 변경 사항을 고려하여 시간이 지남에 따라 제로 트러스트 전략을 구현하고 시행하는 것입니다.

조치를 취하기 전에 계획을 수립하면 프로세스를 더 작은 부분으로 나누고 시간이 지남에 따라 성공을 입증할 수 있습니다. 주제, 비즈니스 프로세스, 트래픽 흐름 및 종속성 맵의 철저한 카탈로그로 시작하여 대상 주제, 자산 및 비즈니스 프로세스를 다룰 수 있도록 준비합니다.

제로 트러스트 원칙

제로 트러스트 아키텍처는 구현하는데 시간과 주의를 기울여야 하는 목표이자 접근 방식입니다. 배포하고 다음으로 넘어갈 수 있는 일회성 설치가 아닙니다. 네 가지 기본 원칙이 뒷받침하는 사이버 보안 철학입니다. 특정 원칙은 ID를 위한 MFA와 같은 특정 보안 기술에 의존할 수 있지만 시간이 지남에 따라 사용되는 기술은 변경될 수 있습니다.

제로 트러스트 접근 방식의 기초가 되는 세 가지 기본 기능이 있습니다.

  • 태세 – 제로 트러스트 이전 경계 기반 보안에서 신원 확인은 흑백이든, 안전하든, 안전하지 않든 발생하지 않습니다. 제로 트러스트 접근법은 신원, 장치, 애플리케이션 및 데이터 사용량에 대한 가능한 위험과 급성 위험을 평가하는 것을 의미합니다. 태세는 질적이며 전체 그림을 살핍니다.
  • 지속적인 평가 – 제로 트러스트 접근 방식은 모든 거래를 지속적으로 평가하는 것입니다. 이전 접근 방식인 NAC(네트워크 승인 제어)는 비슷한 수준의 단일 관문이었고 더 적은 수의 기준을 확인한 후 신뢰를 부여했습니다. 제로 트러스트 아키텍처는 모든 액세스 시도를 초크포인트로 간주합니다.
  • 침해 추정 – SOC(보안 운영 센터) 팀은 종종 ‘확인 후 신뢰’ 정책에 따라 운영됩니다. 보안 시스템이 경보를 발령할 때까지 모든 것이 정상이라는 가정입니다. 제로 트러스트는 아무것도 안전하지 않으며 모든 것이 명확해질 때까지 아무것도 진행되어서는 안 된다는 가정에서 시작합니다.

제로 트러스트 여정

제로 트러스트는 점진적으로 구현되고 지속적으로 시행되어야 합니다. 네트워크 수명 동안 제자리에 배치되는 완전한 교체나 일회성 배포가 아닙니다. 이는 네트워크의 여러 측면을 포함하는 다년 및 다중 프로젝트 증분 프로세스이며 작업 습관, 기술 및 위협이 변경됨에 따라 지속적인 평가가 필요합니다.

기업에서 제로 트러스트 접근 방식을 구현하는 방법은 작업에 따라 다릅니다. 가장 가치 있는 자산부터 시작하는 것이 좋습니다.

제로 트러스트 전환 과정에는 네 가지 구성 요소가 포함됩니다.

  • ID 및 액세스 관리(IAM) – 사용자는 단일 사인온(SSO)을 원하고 관리자는 통합된 사용자 관리를 원합니다. IAM 프로젝트가 성공하기 위해서는 기업의 보안 요구와 가용성, 유용성 및 비용 효율성의 균형을 맞춰야 합니다. 먼저 어떤 사용자가 어떤 리소스에 액세스해야 하는지 매핑하고 리소스가 특히 중요한 경우 MFA를 추가합니다.
  • 권한 있는 액세스 관리(PAM) - 가장 중요한 리소스의 경우 CyberArk, BeyondTrust 또는 Tycotic과 같은 PAM 도구가 보안 수준을 추가합니다. 보안이 강화되고 가시성이 향상됩니다.
  • 암호 – 암호 철학은 시간이 지남에 따라 변화하며 NIST는 최근 새로운 지침을 발표했습니다. 그들의 분석에 기초하여, 그들은 기억하기 어려운 임의의 문자 그룹 대신 익숙한 단어를 사용하여 긴 암호를 추천합니다. 또한 악의적인 사용자는 손상된 암호를 빠르게 사용하며, NIST는 90일마다 암호를 변경한다고 해서 위험이 낮아지는 것이 아니라 MFA가 위험을 낮추는 것으로 보고 있습니다.
  • 지속적인 모니터링 – 시간, 새로운 리소스 요청, 리소스 수정 또는 이상을 기반으로 하는 액세스에 대한 조직의 정책을 정의합니다. 액세스가 허용되기 전에 인증 및 권한 부여가 엄격하게 시행되어야 합니다.

관련 연구

관련 기사