제로 트러스트란?
20여 년 전만 해도 우리의 삶은 훨씬 더 간단했습니다. 네트워크 보안 역시 마찬가지로, 기술의 진화와 함께 데이터 보호의 복잡성도 증가했습니다. 당시에는 네트워크 경계를 중심으로 하는 '신뢰하되 검증하는(trust but verify)' 접근 방식으로도 충분했습니다. 네트워크 내에서 본인의 신원을 입증하기만 하면 누구나 기업 내의 모든 리소스에 액세스할 수 있었습니다. 또한 대부분 비즈니스 활동이 사무실에서 회사의 디바이스에서 이루어졌기 때문에 매우 안정적인 접근 방식이었습니다.
비약적인 성장은 해결 과제도 수반합니다. 특히 네트워크에서는 경계 기반 보안을 능가할 만큼 지능적인 보안 위반이 발생합니다. 클라우드 컴퓨팅이 보급되고 그에 따라 원격 근무가 늘면서 더 많은 문제가 발생했습니다. 기존의 '신뢰하되 검증하는 방식'만으로는 충분하지 않았습니다. 이러한 새로운 보안 문제를 해결하고자 제로 트러스트(Zero trust)라는 '탈경계화' 개념이 등장했습니다.
현대 제로 트러스트의 기초
'절대 신뢰하지 말고 항상 검증(never trust, always verify)'하는 것을 원칙으로 하는 제로 트러스트는 사이버 보안 기업의 토대를 형성합니다. 모든 사용자는 애플리케이션, 데이터 등과 같은 기업의 주요 구성 요소에 액세스하기 위해 필요한 권한을 받기 전에 먼저 신원 검증을 거쳐야 합니다.전략적 계획뿐만 아니라 직원의 협력과 참여가 있어야 성공할 수 있습니다.
하이브리드 및 원격 근무자의 요구 사항, 데이터 스토리지의 복잡성, 여러 플랫폼 및 환경을 보호할 필요성 등으로 인해 비즈니스 복잡성이 계속 증가합니다. 제로 트러스트 아키텍처(ZTA)라고도 하는 구현 방식에는 인식의 전환이 필요합니다. 이를 더 잘 이해하기 위해 제로 트러스트에 관한 몇 가지 핵심 용어를 살펴보겠습니다.
알아두어야 할 용어
- 상시 검증: '절대 신뢰하지 말고 항상 검증'하려면 이 상시 검증 체제가 갖춰져야 합니다. 즉, 모든 리소스에 대해 언제나 모든 디바이스에서 인증 정보를 확인해야 합니다. 상시 검증에서 가장 까다로운 부분은 사용자 경험입니다. 리스크 기준 조건부 액세스를 통해 상시 검증을 관리할 수 있습니다. 리스크 수준이 달라질 때만 사용자의 작업을 중단하고 검증함으로써 더 원활한 직원 경험을 보장합니다.
- 최소 권한 액세스: 생산성의 관점에서 시스템에 액세스하는 데 필요한 최소한의 권한만 부여하면서 보호 범위 내의 데이터를 안전하게 보호합니다.
- ID 관리: 이 보안 제어 방식은 보안 프로토콜에 따라, 그리고 하나 이상의 인증 요소를 사용하여 디바이스 및 사용자의 ID를 디지털 방식으로 확인합니다.
제로 트러스트는 어떤 사용자나 자산에 대해서도 암묵적 신뢰를 허용하지 않음을 전제로 하는 사이버 보안 전략입니다. 여기서는 보안 위반이 발생했거나 발샐할 것으로 가정합니다. 따라서 엔터프라이즈 경계에서 수행되는 한 번의 검증으로 사용자에게 중요 정보에 대한 액세스 권한을 부여하지 않습니다. 그 대신 모든 사용자, 디바이스, 애플리케이션, 트랜잭션을 대상으로 상시 검증을 수행합니다.
제로 트러스트가 아닌 것
제로 트러스트에 관한 몇 가지 오해가 있습니다.
- 제로 트러스트는 어떤 하나의 제품이나 제품군이 아닙니다.
- 획일적인 메트릭을 사용하는, 한 번만 설정하면 되는(set-it-and-forget-it) 운영 방식이 아닙니다.
- 보안 이외의 영역에서도 여러 가지 이점이 있습니다.
- 직원에 대한 불신을 의미하지 않습니다.
제로 트러스트에는 인식의 전환이 필요합니다. 하지만 제대로 구현한다면, 기업의 보안 태세 및 컴플라이언스 전망에 긍정적으로 작용할 뿐만 아니라 장기적으로 복잡성과 비용을 줄이는 효과가 있습니다. 각 기업의 고유한 비즈니스 니즈에 따라 수시로 평가, 조정하고 개선해야 합니다.
제로 트러스트의 핵심 요소
원격 근무자가 늘어나면서 사이버 보안의 과제가 확대됨에 따라, 미국에서는 2021년에 국가 사이버 보안 강화를 위한 행정 명령이 발효되었습니다. 이 명령의 결과로, CISA(National Cybersecurity and Infrastructure Security Agency)에서 최초의 제로 트러스트 성숙도 모델(ZTMM)을 발표했습니다. 2023년에 발표된 이 모델의 최신 업데이트는 제로 트러스트의 5대 핵심 요소를 확장합니다. 제로 트러스트를 구현하는 기업의 성장 여정이 이 핵심 요소로 요약됩니다.
제로 트러스트의 진화를 다음과 같이 설명할 수 있습니다.
- 영구 액세스를 정기적으로 검토하는 장치가 전혀 없는, 기존 솔루션만 있는 상태에서 제로 트러스트의 기초를, 한 번에 하나의 핵심 요소를 구현하기 위한 계획을 세웁니다.
- 그런 다음 초기 자동화 계획 및 구현을 시작합니다. 기초적인 수준의 핵심 요소 간 연계, 그리고 최소 권한(least privileged) 액세스 계획이 수립됩니다.
- 이 자동화 제어가 진일보하여 각 핵심 요소의 라이프사이클 전 범위를 조정하고 최소 권한 액세스 방식을 발전시켜 리스크 및 위치 평가까지 포함합니다.
- 이제 완전 자동화된 계획을 최적화할 차례입니다. 여기서는 동적 최소 권한 액세스 방식을 적용하고, 5가지 핵심 요소 모두 원활하게 조정합니다.
최신 ZTMM 릴리스에서 보여준 대로, '이러한 성숙 단계 및 각 핵심 요소의 세부 사항을 통해 각 기업이 ZTA의 여정에 필요한 투자를 평가, 계획하고 이행'할 수 있습니다.
다음 단계
제로 트러스트 성숙도 모델은 점점 더 발전할 것입니다. 하나의 제품이나 제품군으로 모든 제로 트러스트 요구 사항을 해결할 수 없겠지만, 베리타스와 같은 기술 파트너와 함께한다면 순조로운 제로 트러스트 계획 및 포지셔닝으로 큰 성공을 거둘 수 있습니다.
베리타스의 사이버 레질리언스 솔루션에 관해 자세히 알아보십시오.
