5min. read

"제로 트러스트"란 실제로 무엇을 의미하나요

Forrester Research에서 2010년 만든 신조어인, 제로 트러스트는 엔터프라이즈에서 사용자, 시스템 및 데이터 간에 위험하지만 묵시적으로 신뢰할 수 있는 상호작용을 해소하는 데 활용할 수 있는 사이버보안 모델입니다. 제로 트러스트 모델은 위협이 전 세계 또는 눈에 띄지 않는 곳에서 발생시킨 벡터가 무엇이든 간에 기업이 위협으로부터 스스로를 보호할 수 있는 프로세스를 제공합니다. 이 모델의 이점을 실현하기 위해 따라야 할 기본 원칙은 다음과 같습니다.

  • 위치와 관계없이 모든 리소스에 대해 안전하게 액세스되는지 확인합니다.
  • 최소 권한 전략을 도입하고 엄격하게 접근을 제어합니다.
  • 모든 트래픽을 검사하고 로깅합니다.

11년 후 이러한 아이디어와 원칙은 증가하는 디지털 혁신, 원격 근무 및 BYOD(Bring-Your-Own-Device)의 확산을 맞이하면서 성숙해졌습니다.NIST 800-207 에 명시된 미국 연방 정부의 제로 트러스트 명령을 고려해 새로운 원칙이 개발되었습니다. 자세한 내용은 NCCoE의 제로 트러스트 아키텍처에서 확인하실 수 있습니다. 이러한 원칙은 다음과 같습니다.

  • 네트워크 세그먼테이션에서 리소스(예: 자산, 서비스, 워크플로 및 네트워크 계정) 보호로 전환
  • 강력한 인증을 통해 모든 세션에서 수행되는 독립 기능을 인증하고 권한 부여(주체/사용자 및 디바이스 모두)
  • 지속적인 모니터링

제로 트러스트가 사이버보안에서 중요한 이유

제로 트러스트로의 이전은 비즈니스 보안 접근 방식에서 더 중요한 전환 중 하나였습니다. 제로 트러스트 사고방식을 도입하기 전 대부분의 기업은 보안을 게이트로 제어된 기능으로 관리하려고 했습니다. 게이트로 제어된 영역에서 트랜잭션이 확인되면 해당 트랜잭션은 본질적으로 신뢰할 수 있었습니다.

위협 벡터가 늘 게이트로 제어되는 영역 외부에서 발생하는 것은 아니기 때문에 이러한 접근 방식에는 문제점이 있습니다. 또한 전 세계가 전반적으로 계속해서 디지털 혁신 및 하이브리드 인력을 도입함에 따라 게이트 뒤에만 존재하는 리소스의 개념은 무효화되고 있습니다. 제로 트러스트 방법을 적용하려면 상호작용이 모든 사용자, 시스템, 애플리케이션 및 데이터를 비롯하여 어디서 발생하든 모든 상호작용의 각 요소를 검증해야 합니다. 묵시적 신뢰의 영역은 없습니다.

제로 트러스트를 둘러싼 유행어에는 무엇이 있나요?

오늘날 많은 공급업체는 제로 트러스트가 제품 솔루션이 아니라 모델이자 전략적 프레임워크라는 사실을 인정하기보다는 제로 트러스트를 제품화하고 제품 자체를 "제로 트러스트 솔루션"이라고 부릅니다. 사이버보안 시장을 살펴보면 "제로 트러스트 업체"라는 식의 제목을 붙여 놓은 공급업체를 볼 수 있습니다.

그러나 좀 더 자세히 살펴보면 이러한 공급업체는 일반적으로 제로 트러스트의 한 가지 원칙만 다룹니다. 사용자와 애플리케이션 간에 터널링 서비스를 만드는 경우를 예로 들어 보겠습니다. 이는 "최소 권한 전략을 도입하고 엄격하게 접근을 제어한다"라는 두 번째 원래 원칙과 일치합니다. 그러나 이 공급업체가 "위치와 관계없이 모든 리소스에 대해 안전하게 액세스되는지 확인한다"라는 첫 번째 원칙은 따르지 못할 수 있습니다. 이 공급업체는 사용자가 위협 벡터가 아니라는 사실을 암시적으로 신뢰하면 멀웨어 또는 익스플로잇이 있는지 터널 내부를 스캔하지 않습니다.

다른 공급업체는 ID 및 권한 확인으로 제로 트러스트가 되는 것처럼 주장하면서 첫 번째 원래 원칙의 일부 측면만 구현할 수 있습니다. 또한 웹 기반 트래픽만 스캔하면 된다고 제시할 수도 있습니다. 그러나 제로 트러스트의 일부만 다루는 모델을 구현하면 기업에서는 나머지 원칙에서 다루는 취약점에 노출될 수 있는 암시적 신뢰를 생성할 위험이 있습니다.

Palo Alto Networks의 조언: 경영진이 제로 트러스트를 도입할 때 고려해야 할 점

첫 번째 단계는 엔터프라이즈를 보호해야 하는 방법에 대한 사고방식을 게이트로 차단되는 접근 방식에서 모든 상호작용을 지속적으로 확인하는