본문 바로가기
SECURITY ISSUE

제로 트러스트 보안 zerotrust security

by pharmerci 2021. 11. 3.
728x90

요즘 관심을 갖고 있는 보안 솔루션인 제로 트러스트 보안을 소개하려 합니다.

 

제로트러스트의 반대개념인 경계기반모델은 회사 내부 직원임을 인증하면 내부망에서는 원하는 데이터를 쉽게 얻어 작업할 수 있는 모델입니다. 회사 내부에 들어가기만하면 무조건적인 신뢰가 보장되는 것이죠. 그렇다는 것은 악의적인 공격자가 내부자의 계정을 탈취하거나, 악의적인 내부인이 자신의 업무와 관계없는 중요한 데이터에 접근한다면? 기업은 중요한 정보를 잃게 될 것입니다.

 

 

 

 

보안사고의 원인 중 대다수는 직원에 의해서 일어나기 때문에, 무조건적으로 내부 직원을 신뢰해서는 안됩니다. 그래서 최근에 제로트러스트 보안 솔루션이 각광을 받고 있는 것입니다. 코로나19가 도래하며, 많은 기업은 근무형태를 재택근무로 전환하게 되었습니다. 그러면서 기업의 밖에서 여러 디바이스를 통해 회사 내부망에 접속하고 있는 상황이 되었고, 직원들은 기업 통제 밖에 놓이게 되었습니다. 또한 공격자의 내부 침투는 더 정교해졌기 때문에 끊임없이 재인증을 거치도록 해야합니다. 이러한 점에서 제로트러스트 보안은 앞으로 도입되어야 할 보안 솔루션입니다.

 

 

 

 

제로트러스트는 2010년 포레스터 리서치의 수석 analyist 존 킨더박이 제안한 IT보안모델입니다.

제로(0) + 트러스트(trust) 의 합성어로 믿지 않겠다는 뜻입니다.

내부인, 외부인 막론하고 적법한 인증절차 없이는 신뢰하지 않겠다는 것을 바탕으로 구상된 모델입니다. 제로트러스트를 구현하기 위해서 MFA(Multi Factor Authentication), IAM(Identity and Access Management), 접근통제 등의 기술을 사용해야 합니다. 기업의 상황에 따라 제로트러스트를 구현하는 방법에는 차이가 있을 수 있지만, 각 기업의 보안정책, 환경에 따라 최적의 모델을 구현해야할 것입니다.

 

 

 

 

제로트러스트 모델이 성립하기 위해서는 몇가지 필요조건들이 존재합니다.

1. 비즈니스 기반의 데이터 식별

 

2. 보호해야 할 자산과 데이터 기반의 내부 설계

 

3. 최소한의 접근 권한 기반의 권한 설정

그 누구도 믿지 않는다! 이것이 제로트러스트의 기본 개념이므로 직원들에게 최소한의 접근권한만 부여해야합니다. 그리고 이러한 권한 설정을 사전에 해둠으로써 권한을 부여받지 못한 사람은 데이터에 접근할 수 없도록 해야합니다.

 

4. 모든 트래픽에 대한 검사 및 로깅

데이터에 접근하는 행위, 내부망에 접속하는 행위 등 직원의 모든 트래픽을 수집하고 로그를 확인하여야 합니다.

 

 

 

 

이 요건을 충족하게 된다면, 회사에 제로트러스트 모델을 도입했다고 할 수 있습니다. 다만, 요건만 보고 솔루션을 도입하기가 어렵게 느껴질 수 있습니다. 또한 제로트러스트에 대해서 작성한 논문들은 많이 있지만 단일한 정의는 아직 도입되지 않은 실정입니다. NIST에서 제로트러스트의 7원칙을 설명한 NIST SP 800-207 제로트러스트 아키텍처를 참고하면 더 쉽게 제로트러스트 모델을 구현할 수 있을 것입니다.

 

  1. 모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주한다.
  2. 네트워크 위치와 관계없이 모든 통신을 안전하게 만든다.
  3. 개별 엔터프라이즈 리소스에 대한 액세스는 세션 각각으로 승인된다.
  4. 리소스에 대한 액세스는 클라이언트 ID와 애플리케이션, 서비스, 요청 자산의 관측가능한 상태 등 동적 정책에 의해 결정된다. 또 다른 동작, 환경적 속성이 포함될 수 있다.
  5. 기업은 모든 소유 및 관련 자산의 무결성과 보안 상태를 모니터링하고 측정한다.
  6. 모든 리소스 인증 및 권한 승인은 가변적이며 액세스를 허용하기 전에 엄격히 적용한다.
  7. 기업은 자산, 네트워크, 인프라, 통신의 현재 상태에 대한 정보를 가능한 많이 수집하고 이를 활용해 보안 상태를 개선한다.

 

 

 

제로 트러스트는 단순한 보안 기술이 아닌 보안관리 프로세스이기 때문에, 제로 트러스트를 도입했다고 해서 이 프로세스에만 완전히 신뢰하지 말고, 기술 사람 등 여러 요인을 고려해야 할 것입니다.

 

 

 

 

 

728x90
저작자표시

'SECURITY ISSUE' 카테고리의 다른 글

스마트 팩토리 보안 위협 및 대응 방안  (0) 2021.11.10
민간분야 영상정보처리기기(CCTV) 설치 운영과 마스킹 시스템 개발 이슈  (0) 2021.11.04
커넥티드카 개념 및 보안 이슈  (0) 2021.11.01
20211025 KT 네트워크 오류 사태로 보는 디도스 공격과 라우팅  (0) 2021.10.29
양자 컴퓨터의 보안 해결책 양자보안, QKD와 PQC  (0) 2021.10.19

관련글

티스토리툴바