제로 트러스트 보안이란 무엇인가요?

Lorna Garey | Senior Writer | 2024년 10월 7일

목차

소프트웨어 보안 분야에 오랫동안 종사한 보안 전문가들은 보안 패러다임의 변화를 여러 차례 목격했습니다. 소프트웨어 보안의 태동기에는 강력한 비밀번호, 방화벽, 바이러스 백신, 지속적인 소프트웨어 패치가 중시되었습니다. 이후 건강보험 양도 및 책임에 관한 법률(HIPAA), 신용카드 업계 데이터 보안 표준(PCI DSS) 등의 요구사항으로 인해 ID 기반 액세스 제어 및 암호화를 비롯한 데이터별 보호 조치로 초점이 옮겨졌습니다. 클라우드 기술 및 모바일 기기로 인한 추가적인 보안 도구, 프로세스, 교육도 필요했습니다.

물론 공격자들의 전략도 진화했습니다. 이에 선제적으로 대응하고자 하는 기업들은 보안 태세를 강화하고 무단 접속 및 조작으로부터 자산을 보호하기 위해 제로 트러스트 원칙을 갈수록 폭넓게 적용하고 있습니다. 철저한 세분화 전략을 바탕으로 공격 표면을 제한하고, 적이 이미 내부에 침입해 있다고 가정하며 '절대 신뢰하지 않고 항상 검증하는' 보안 태세를 유지합니다.

최근 보안 분야의 주안점은 피해 범위를 최소화하는것입니다.

제로 트러스트 보안이란 무엇인가요?

제로 트러스트 보안 모델은 빈번한 사용자 인증과 권한 부여를 통해 자산을 보호하고 침해 징후를 지속적으로 모니터링합니다. 세분화는 엔티티가 재인증 없이 액세스할 수 있는 데이터와 자산의 범위를 제한하는 데 사용됩니다. 제로 트러스트 모델은 위협 에이전트가 이미 네트워크에 침투했다고 가정하고 단순한 경계, 즉 '성곽과 해자' 모델이 아닌 심층적인 보안 조치를 구현합니다.

제로 트러스트 아키텍처, 또는 경계 없는 보안이라고도 부르는 제로 트러스트 보안은 네트워크 내부 또는 외부의 어떤 기기 또는 애플리케이션도 신뢰할 수 없다고 가정합니다. 따라서 지속적인 검증이 필요합니다. 액세스는 관련 요청의 컨텍스트, 신뢰도, 자산의 민감도에 따라 허용됩니다. 제로 트러스트 아키텍처는 클라우드 애플리케이션을 사용하고 많은 원격 근무자 및 근무 위치를 운용하는 기업에 특히 효과적입니다.

제로 트러스트 아키텍처 제로 트러스트 아키텍처는 제한된 시간 동안 제한된 네트워크 세그먼트에 대한 액세스 권한을 부여하기에 앞서 모든 사용자, 서비스, 기기를 검증하는 보안 모델을 사용합니다.

핵심 요점

  • 제로 트러스트 보안은 사이버 방어 태세를 정적인 네트워크 기반 경계에서 사용자, 자산, 리소스에 집중하는 방식으로 전환합니다.
  • 오늘날 대부분의 기업은 제로 트러스트의 기본 원칙인 세분화된 액세스 제어를 강조하는 데이터 개인정보 보호 규정을 준수해야 합니다.
  • 제로 트러스트란 문자 그대로 모든 사용자, 기기, 애플리케이션에 대한 빈번하고 강력한 인증을 요구하는 모델입니다.
  • 네트워크를 통제된 영역으로 나누고 영역 간 이동을 제어하는 마이크로세그멘테이션(microsegmentation)은 제로 트러스트 보안의 성공을 담보하는 핵심 요소입니다.

제로 트러스트 보안 알아보기

미국 국립표준기술연구소(NIST)는 제로 트러스트를 정적인 네트워크 기반 경계에서 사용자, 자산, 리소스에 초점을 맞춰 방어하는, 지속적으로 진화하는 사이버 보안 패러다임으로 정의했습니다. 제로 트러스트는 자산이나 사용자 계정의 물리적 또는 네트워크 위치(로컬 영역 네트워크 대 인터넷), 또는 자산이 기업 소유인지 개인 소유인지 여부를 기준으로 암묵적으로 신뢰해서는 안 된다고 가정합니다.

제로 트러스트 보안은 암묵적인 신뢰 대신 기업이 액세스 권한을 부여한 사람, 기기, 애플리케이션만 시스템과 데이터에 액세스할 수 있도록 허용하는 강력한 ID 및 액세스 관리(IAM) 제어 방식을 사용합니다. 제로 트러스트 보안 접근 방식의 핵심 원칙은 다음과 같습니다.

  • IT 부서는 위협 행위자가 이미 네트워크에서 활동 중이며 네트워크가 침해당했다고 가정해야 합니다.
  • 제로 트러스트 환경에서는 모든 액세스를 일단 거부합니다. 모든 기술 및 인적 자원에는 관련 질의를 거쳐 트랜잭션 단위의 권한 부여/인증이 제공됩니다.
  • 자산 보호 수준은 가치를 기반으로 합니다. 인증 후 필요한 권한이 부여된 경우에만 리소스에 액세스할 수 있습니다. 권한에 대한 지속적인 확인이 이루어져야 하고 불필요한 액세스는 취소되어야 합니다.
  • 네트워크는 세분화되어 있으며 보안이 필요하지 않은 자산이나 공간은 없습니다.
  • AI를 활용하는 경우가 많은 고급 분석 기술로 비정상적인 활동을 발견하고 즉시 조치를 취해 침입자를 차단합니다.

또한 제로 트러스트는 방어에 대한 심층적인 접근 방식을 취합니다. 계층형 보안이라고도 불리는 심층 방어는 기업의 네트워크, 시스템, 데이터를 보호하기 위해 시스템 내의 여러 지점에서 다양한 보안 제어를 구현하는 것입니다. 이는 여러 방어 수단이 설치된 성에 비유할 수 있습니다. 공격자는 해자를 통과하더라도 바로 보석을 얻을 수 없습니다. 성문, 튼튼하게 잠긴 문, 포탑에 배치된 궁수 등을 모두 통과해야만 합니다.

심층 방어 조치는 물리적, 기술적 또는 관리적인 통제 조치를 통해 적용할 수 있습니다. 물리적 보안 조치로는 데이터 센터를 보호하기 위한 울타리, 출입 통제 시스템, 보안 경비원 등이 있습니다. 기술적 조치로는 기술적 장벽을 제공하는 방화벽, 침입 탐지/방지 시스템(IDS/IPS), 데이터 암호화, 맬웨어 방지 소프트웨어 등이 있습니다. 정책, 절차, 보안 인식 교육, 액세스 제어와 같은 관리적 조치는 보안과 관련된 인적 요소를 해결하기 위한 것입니다.

제로 트러스트 모델이 중요한 이유는 무엇인가요?

제로 트러스트 모델이 중요한 이유는 암묵적 신뢰 영역 내의, 또는 VPN을 통해 연결된 사용자 및 기기의 자유로운 액세스를 허용하는 기존의 보안 방식이 더 이상 유효하지 않기 때문입니다. 기업의 경계가 더 이상 온프레미스 시스템에 국한되지 않으므로 구식 경계 방어 모델로는 데이터를 보호할 수 없습니다. 원격 근무자와 모바일 기기는 네트워크 경계 외부에 존재하고, 클라우드 기술의 도입으로 보안 경계가 더욱 확장되고 있습니다. 한편 사이버 공격은 갈수록 복잡해지고 영향력이 강화되고 있습니다. 랜섬웨어 공격이 성공하면 기업의 핵심 기능이 마비되고 민감한 정보가 노출되는 등 심각한 피해가 발생하게 됩니다. 랜섬웨어 공격에는 어떤 조직도 면역이 아닙니다. 공격자들은 이미 대기업, 지방 자치 단체, 심지어 병원까지 성공적으로 랜섬웨어에 감염시켰습니다.

따라서 시스템 및 데이터 보안을 위한 보다 적극적인 접근 방식을 채택하는 것이 필수적입니다.

클라우드 서비스 사용이 급속도로 확대됨에 따라 사이버 범죄자들의 새로운 타깃도 생겨나고 있습니다. 권한이 있는 관리자나 애플리케이션의 자격 증명을 훔치거나 추측해낸 뒤 네트워크를 통해 자유롭게 이동하는 것이 최근 인기 있는 악용 방식입니다. 제로 트러스트를 구현하면 시스템, 네트워크, 데이터에 대한 액세스를 세밀하게 규제할 수 있습니다. 결과적으로 데이터 유출 위험을 줄이고, 사이버 보안 사고를 감지하고, 사이버 공격으로 인한 피해를 방지하기 위해 제로 트러스트 보안 모델로 전환하는 기업이 갈수록 늘어나고 있습니다.

미국 연방정부 제로 트러스트 보안 프레임워크

제로 트러스트는 미국 국방부(DoD) 및 미국 정부 전반의 주요 관심사입니다. 2021년 5월, 백악관은 연방 기관이 보안 모범 사례를 채택하고 제로 트러스트 아키텍처로 전환해 컴퓨터 시스템을 보호하고 보안을 유지할 것을 지시하는 행정 명령 14028호를 발표했으며, 정부 관계자들은 제로 트러스트 아키텍처를 새로운 보안 전략을 구현하기 위한 중요한 도구로 간주하고 있습니다.

제로 트러스트 아키텍처 개발을 지원하는 몇 가지 모델 및 프레임워크가 있습니다. NIST는 Special Publication 800-207을 통해 발표된, 6가지 원칙에 기반한 모델을 고안했습니다. 사이버 보안 및 인프라 보안국(CISA)은 최근 5개의 핵심 요소로 구성된 자체 모델인 Zero Trust Maturity Model 버전 2.0을 발표했습니다.

마지막으로 국방 정보 시스템국(DISA)은 엔터프라이즈 기술을 7가지 핵심 요소와 연계한 레퍼런스 아키텍처를 발표했습니다.

이상의 정부 기관의 목표는 기업이 제로 트러스트 전략을 채택하도록 지원하는 것입니다. 기관의 모델 및 관련 아키텍처는 제로 트러스트 구현을 위한 구조를 제공하고, 성공적인 구현에 필요한 예산 및 자원을 파악하는 데 도움을 줍니다.

제로 트러스트의 작동 방식은 무엇인가요?

제로 트러스트의 작동 방식은 데이터, 애플리케이션 또는 리소스에 대한 요청을 암묵적으로 신뢰하지 않고, 모든 요청자가 악의적인 행위자일 수 있음을 경계하는 것입니다. 이같은 관점을 통해 보안을 위한 도구 및 정책을 더욱 세분화할 수 있습니다. 제로 트러스트 보안 아키텍처 개발은 민감한 데이터, 중요한 애플리케이션, 권한이 부여된 사용자 및 데이터 흐름을 파악하는 것부터 시작됩니다. 정책 컨트롤러로 구성된 컨트롤 플레인이 존재하고, 자동화 및 통합 관리가 필수적입니다. IT팀의 노력만으로는 제로 트러스트에 필요한 수준의 경계를 달성할 수 없습니다. AI/ML뿐만 아니라 통합적인 접근 방식이 필요합니다.

제로 트러스트 아키텍처는 NIST가 제시한 6가지 원칙을 따릅니다.

  • 모든 데이터 소스와 컴퓨팅 서비스는 보안을 고려해야 하는 리소스로 간주됩니다. 단 하나도 보호되지 않은 채로 방치되어서는 안 됩니다.
  • 모든 통신에는 네트워크 위치와 무관한 보안을 적용해야 합니다. 네트워크 위치에 기반한 신뢰 정책을 적용해서는 안 됩니다.
  • 개별 엔터프라이즈 리소스에 대한 액세스 권한은 연결별로 부여되며, 액세스 권한이 부여되기 전에 요청자에 대한 신뢰를 평가합니다.
  • 리소스에 대한 액세스는 사용자의 신원 및 액세스를 요청하는 시스템의 관찰 가능한 상태 등이 규정된 정책에 따라 결정됩니다. 평가 대상에는 다른 행동 기반 속성이 포함될 수도 있습니다.
  • 기업은 소유 및 연결된 모든 시스템이 가능한 한 가장 안전한 상태에 있도록 보장하고, 안전한 상태를 지속적으로 유지할 수 있도록 시스템을 모니터링해야 합니다.
  • 사용자 인증은 동적이며 액세스가 허용되기 전에 엄격하게 시행되어야 합니다. 이는 액세스, 위협 스캔 및 평가, 조정 및 인증이 계속해서 반복되는 작업입니다.
제로 트러스트 아키텍처 제로 트러스트 아키텍처는 제한된 시간 동안 제한된 네트워크 세그먼트에 대한 액세스 권한을 부여하기 전 모든 사용자, 서비스, 기기를 확인하는 보안 모델을 사용합니다.
제로 트러스트 아키텍처는 제한된 시간 동안 제한된 네트워크 세그먼트에 대한 액세스 권한을 부여하기 전 모든 사용자, 서비스, 기기를 확인하는 보안 모델을 사용합니다.

제로 트러스트의 핵심 원칙

제로 트러스트의 핵심 원칙은 영국 정부의 국립사이버안보센터(NCSC)가 발표한 8가지 제로 트러스트 원칙에 잘 정리되어 있습니다. 해당 원칙들은 제로 트러스트 아키텍처 구축을 위한 여정을 시작하는 기업이 고려해 볼 만한 유용한 프레임워크를 제공합니다.

또한 제로 트러스트 보안을 구현하기 위해서는 기업 문화의 상당한 변화가 필요할 수도 있습니다.

1. 사용자, 기기, 서비스, 데이터 등으로 구성된 기존의 아키텍처 파악하기

보안 아키텍처를 설계하기 위해서는 기존의 자산을 충분히 이해해야 합니다. 대부분의 기업은 주기적으로 보호 대상인 사용자, 기기, 서비스, 데이터의 문서화 및 평가 작업을 수행합니다. 제로 트러스트 보안 구현을 위한 자산 검색 활동을 수행하는 과정에서는 순전히 기술적인 작업 뿐만 아니라 프로젝트 문서와 조달 기록을 검토하고 동료와 대화를 나누는 등의 작업이 수반될 가능성이 높습니다. 많은 경우 부서 및 사업부 단위의 자체 시스템을 구현합니다.

2. 사용자, 서비스, 기기의 ID 파악하기

ID는 사람, 애플리케이션 또는 기기에 부여될 수 있습니다. 데이터 또는 서비스에 대한 액세스 권한을 부여할지 여부를 결정하기 위해서는 모든 요소를 식별해야 합니다. 앞서 설명했듯 클라우드로의 점진적 이동은 기존 네트워크 경계의 침식을 가속화했습니다. 최근에는 ID가 새로운 경계로 인식되고 있습니다. ID 플랫폼은 사용자 ID, 속성, 액세스 권한을 관리할 수 있는 기능을 제공합니다. ID 플랫폼이 기본 ID 저장소 역할을 수행할 수 있지만, 많은 기업은 다수의 ID 관리 시스템을 운영하게 될 것입니다. 제로 트러스트 아키텍처 구축을 목표로 하는 기업은 해당하는 모든 ID 관리 시스템을 검색하고 관리해야 합니다.

3. 사용자 행동과 서비스 및 기기 상태 평가

NCSC는 사용자 및 기기의 '건전성 신호'를 지속적으로 모니터링할 것을 권장합니다. 해당 신호들은 정책 엔진이 신뢰도 및 사이버 위생(cyber hygiene) 상태를 평가한 뒤 기준에 따라 액세스 권한 관련 결정을 내릴 수 있는 행동 및 시스템적 지표입니다. 예를 들어, 로그인을 시도하는 노트북 컴퓨터의 지리적 위치를 파악할 수 있습니다. 미국 동부 해안에 있는 사용자가 뉴욕에서 새벽 3시에 로그인을 시도한다면 위험의 징후일 수도 있습니다.

4. 정책을 사용한 요청 승인

제로 트러스트 아키텍처의 장점 중 하나는 정책 엔진에 의해 실행되는 액세스 정책을 정의할 수 있다는 점입니다. 요청자의 신분이 확실하고 기기의 사이버 공간에서의 상태가 양호하다는 확신에 기반한 정책 결정을 수행하기 위해서는 과거 및 실시간 연결 정보를 비롯해 앞서 언급한 건전성 신호를 고려해야 합니다. NCSC는 관리자 수준 사용자의 신규 생성, 고객 목록 다운로드 등 영향력이 큰 작업은 엄격한 정책 요건을 충족해야 하고, 작업 일정 관리와 같이 상대적으로 영향력이 적은 작업은 그렇지 않다고 조언합니다. 제로 트러스트 아키텍처를 위한 기술을 선택할 때는 공급업체가 신호를 수집하고 이를 액세스 제어에 반영하는 방식을 평가해야 합니다. 필수적으로 포함되어야 하는 신호로는 사용자의 역할과 물리적 위치, 인증 요소, 기기 상태, 시간대, 액세스하려는 서비스의 가치, 요청된 작업의 위험성 등이 있습니다.

5. 어디서든 인증 및 권한 부여

네트워크가 적대적이고 공격자가 시스템에 침투해 있다고 가정한다면, 강력한 인증 방법을 마련하고 정책 엔진의 액세스 결정을 수락하는 애플리케이션을 구축해야만 할 것입니다. 강력한 인증이 서비스의 사용성을 방해하지 않는다면 사내 문화 차원에서의 전사적인 수용을 촉진할 수 있습니다. NCSC는 민감한 데이터, 신규 사용자 생성을 비롯한 권한이 필요한 작업 등 요청이 더 큰 영향을 미치는 경우에만 추가 인증 요소를 요청하도록 인증 시스템을 구성할 것을 제안합니다. 모든 서비스에서 강력하고 일관적이고 긍정적인 사용자 경험을 제공하는 통합 인증, 다단계 인증, 비밀번호를 사용하지 않는 인증 등을 고려해 보아야 합니다.

6. 사용자, 기기, 서비스에 모니터링 집중

모니터링 소프트웨어는 기기에 설치해야 하고, 해당 시스템이 생성한 데이터는 VPN과 같은 안전한 전송 메커니즘을 통해 중앙화된 위치로 내보내 분석해야 합니다. 사용자 환경에서 개인 또는 게스트 기기를 허용하는 경우, 그러한 기기를 완전히 모니터링 가능한 기기와 같은 수준으로 신뢰하지 않도록 결정할 수 있습니다.

7. 자체 네트워크를 포함한 모든 네트워크 불신

NCSC는 제로 트러스트는 모든 네트워크를 적대적인 것으로 간주하는 모델이라고 설명하고, 랜을 비롯해 기기와 기기가 액세스하는 서비스 간의 모든 연결을 신뢰하지 말 것을 권고합니다. 데이터 또는 서비스에 액세스하기 위한 통신은 데이터를 암호화하는 전송 계층 보안(TLS) 프로토콜과 같은 보안 전송을 사용해야 합니다. 또한 NCSC는 DNS 스푸핑 및 중간자 공격과 같은 공격에 대한 모니터링, 원치 않는 인바운드 연결 거부, 암호화 및 캡슐화 사용 등을 권장합니다.

8. 제로 트러스트를 위해 설계된 서비스 선택

제로 트러스트 아키텍처에서는 네트워크를 신뢰할 수 없으므로 잠재적인 공격으로부터 자신을 보호할 수 있는 서비스를 설계해야 합니다. 이와 관련해 일부 레거시 시스템은 상당한 비용이 드는 개조 작업이 필요하고, 개조 후에도 여전히 사용성에 문제가 있을 수 있습니다. NCSC는 제로 트러스트 아키텍처를 위해 설계 및 구축된 제품 및 서비스를 선호하며 '기존의 것을 재창조'하지 말 것을 권고합니다. 가능한 한 OpenID Connect, OAuth 2.0, SAML과 같이 상호 운용성을 허용하는 표준 기반 기술을 사용하고 클라우드 서비스 제공업체에 제로 트러스트 지원 여부에 대해 문의해야 합니다.

제로 트러스트의 이점

일반적인 네트워크 보안 태세는 네트워크 경계 외부에서 발생하는 위협을 차단하는 데 중점을 두지만, 내부로부터의 데이터 도난에는 취약할 수 있습니다. 경계 보안은 방화벽, VPN, 침입 감지 시스템 등 사이버 범죄자가 침해 방법을 알고 있을 수 있는 기술에 의존합니다. 즉, 올바른 자격 증명을 가진 사람은 모든 네트워크 사이트, 앱 또는 기기에 액세스할 수 있습니다. 반면 제로 트러스트 보안을 사용하면 네트워크 내부 또는 외부의 아무도 신뢰하지 않는 보안 태세가 구축됩니다.

제로 트러스트 보안의 주된 이점은 다음과 같습니다.

  • 공격 표면 감소. 제로 트러스트는 최소 권한 원칙을 적용하므로 실제로는 활성 공격 표면이 더 작아집니다. 모든 사람과 모든 것을 의심하는 모델인 것은 사실입니다. 그러나 각 사용자 및 기기는 작업을 수행하는 데 필요한 최소한의 액세스 권한만 부여받습니다. 따라서 침해로 인한 잠재적 피해가 제한됩니다. 고객이 자유롭게 모든 제품을 살펴볼 수 있도록 하는 대신 한 번에 하나의 제품만 살펴볼 수 있는 권한을 부여하고 면밀히 모니터링하는 부티크를 상상해 보면 최소 권한의 본질을 이해하기 쉬울 것입니다. 모든 자산은 공격 표면이지만 액세스는 크게 제한됩니다.
  • 공격 영향 최소화. 네트워크를 전략적으로 마이크로 세그먼트로 분할해 측면 이동을 차단하므로 공격이 성공하더라도 침해 범위는 소수의 자산으로 제한됩니다. 또한 더 중요한 데이터 및 시스템에는 더 엄격한 액세스 요구 사항을 적용하므로 공격자는 중요한 고객 목록이 아닌 사소한 데이터만 탈취하게 될 가능성이 높습니다.
  • 복구 시간 및 비용 절감. 제로 트러스트 아키텍처는 공격 범위가 줄어들고 억제되므로 복구에 필요한 시간과 비용도 줄어들게 됩니다. 측면 이동을 제한하면 공격자가 보다 낮은 수준의 액세스를 활용해 네트워크를 추가적으로 탐색할 수 없게 되고, 제로 트러스트 원칙은 데이터 손실 방지(DLP) 솔루션과 잘 어우러져 민감한 데이터가 네트워크로부터 유출되는 것을 방지합니다. 또한 제로 트러스트는 많은 비용이 드는 침해 알림 작업의 필요성을 최소화하는 데에도 도움을 줍니다.
  • 액세스 제어. 제로 트러스트를 적용하면 물리적 위치가 아닌 정책을 기반으로 권한이 부여된 사용자와 기기만 액세스를 시도할 수 있으므로 잠재적인 진입 지점의 수가 줄어듭니다. 이같은 접근 방식을 사용하면 제어를 더 쉽게 매핑할 수 있고, 악의적인 공격자가 손상된 자격 증명이나 취약한 기기를 통해 액세스 권한을 얻는 경우 발생 가능한 피해를 최소화할 수 있습니다.
  • 규제 준수 개선. GDPR, HIPAA 등 다수의 규정은 강력한 액세스 제어 메커니즘의 중요성을 강조합니다. 제로 트러스트는 최소 권한 액세스를 적용해 사용자에게 작업에 필요한 최소한의 권한만 부여하므로 민감한 데이터에 대한 액세스를 제한하는 규제 준수 요건에 잘 부합하는 아키텍처입니다.
  • 가시성 및 모니터링 향상. 제로 트러스트는 네트워크 경계 내의 개인 또는 기기를 본질적으로 신뢰한다는 개념을 제거합니다. 위치와 관계없이 액세스를 요청하는 모든 사용자, 모든 항목은 지속적으로 검증되어야 합니다. 이러한 상호 작용을 기록하면 가시성을 극대화하고 모니터링 시스템이 IT 부서에 보안 침해 가능성을 나타내는 이상 징후를 신속하게 알리기 위해 필요한 데이터를 입력할 수 있습니다.

제로 트러스트 사용 사례

제로 트러스트 보안 개념은 최근 몇 년 사이에, 특히 민감한 금융 데이터를 취급하는 은행, 투자 회사 등의 금융 기관과 개인정보 보호 규정이 적용되는 환자 데이터를 대량으로 보유 중인 의료 기관과 같이 사이버 공격의 주요 표적이 되는 조직들로부터 큰 주목을 받고 있습니다. 앞서 언급했듯 정부 기관에서도 데이터와 중요 인프라를 보호하기 위해 제로 트러스트를 사용하고 있습니다. 클라우드 애플리케이션 및 서비스에 크게 의존하거나, 원격 근무 인력을 보유하고 있거나, 크고 복잡한 디지털 인프라를 유지하고 있는 최신 IT 환경을 구축한 기업도 제로 트러스트 보안을 선호합니다.

제로 트러스트가 필요한 세부적인 영역은 다음과 같습니다.

  • 애플리케이션 액세스. 과거의 애플리케이션은 일반적으로 로컬 사무실의 서버와 같이 정의된 네트워크 경계 내에 상주했습니다. 직원들에게는 기업의 로컬 Wi-Fi 네트워크와 같이 위치에 따른 액세스 권한이 부여되었습니다. 그러나 오늘날의 직원들은 원격으로 일할 수 있고, 애플리케이션은 어디든 존재할 수 있습니다. 액세스를 보다 간단히 관리하기 위해 IT는 종종 신뢰 브로커(trust broker)로도 불리는 중앙 제어 시스템을 배포해 애플리케이션 액세스를 요청하는 사용자를 인증하고, 기기의 보안을 확인하고, 최소 권한 원칙에 따라 사용자에게 필요한 특정 리소스에 대한 액세스만을 부여할 수 있습니다.
  • 클라우드 보안. 제로 트러스트는 클라우드 리소스를 사용하는 모든 기업에게 적합한 전략입니다. 직원들은 다단계 인증을 사용하는 강력한 인증 프로세스를 통해 어디서든 액세스 권한을 얻을 수 있습니다. 시스템은 사용자 역할, 기기, 위치, 특정 클라우드 리소스 등의 요소를 고려해 액세스 권한을 부여할지 여부를 결정합니다. 이와 같은 방식을 통해 클라우드 자격 증명이 손상될 경우 발생할 수 있는 잠재적 피해를 최소화할 수 있습니다.
  • 데이터 보호. 사용자 이름과 비밀번호와 같은 기본적인 보호 기능만 사용하는 네트워크 중심 보안 모델의 데이터 보안은 취약합니다. 공격자들은 그러한 조치를 우회할 수 있음을 입증했습니다. 데이터 중심 정책과 보호에 중점을 둔 제로 트러스트 프레임워크는 전송 중인 데이터에 대한 추가 암호화 계층 등의 방어벽을 추가합니다. 또한 IT 부서는 속성 기반 액세스 제어(ABAC)를 사용하는 동적 보안 정책을 설정할 수 있습니다. 기존의 액세스 제어가 관리자, 편집자 등 사전 정의된 역할을 활용하는 경우가 많았던 반면, ABAC는 부서, 위치, 직위, 보안 권한, 데이터 유형, 문서 소유자, 액세스 방법, 기기의 물리적 위치 및 유형과 같은 속성에 중점을 둡니다. 따라서 조직이 정의한 속성을 기반으로 액세스 권한을 매우 정확하게 정의할 수 있습니다. 이는 매우 세분화된 보호 체계이며 애플리케이션 코드를 변경해야 하는 경우가 많습니다.
  • 엔드포인트 보안. 제로 트러스트 플랫폼은 사용자 기기의 엔드포인트 보안 소프트웨어와의 사전 예방적 통신을 통해 보안 상태를 평가함으로써 자산을 보호합니다. 운영 체제에 최신 업데이트가 적용되었나요? 맬웨어가 감지되었나요? 개인 소유인가요 아니면 기업 소유인가요? 제로 트러스트 플랫폼은 수집된 데이터를 기반으로 액세스를 허용하거나 거부합니다. 제로 트러스트 플랫폼은 사용자의 활동과 기기의 상태를 지속적으로 모니터링해 의심스러운 활동을 확인합니다.
  • ID 및 액세스 관리. IAM은 CISA의 제로 트러스트 모델의 핵심으로서, 어떤 사용자가 어떤 리소스에 액세스할 수 있는지 정의해 제로 트러스트 아키텍처의 기반을 마련합니다. IAM에는 민감한 데이터를 보호하기 위한 다단계 인증을 비롯한 강력한 인증 방법, 역할 기반 액세스 제어(RBAC) 및 권한 있는 액세스 관리와 같은 사용자 프로비저닝 및 액세스 제어 메커니즘이 포함되어 있습니다.
  • 사물인터넷(IoT) 보안. IoT 프로그램을 운영하는 많은 기업은 제로 트러스트 보안이 멀리 떨어진 위치에 있고 민감한 데이터를 수집하는 수많은 기기를 보호하기 위한 매우 중요한 모델이라고 생각하고 있습니다. 기존의 경계 기반 보안 기술은 사용자 인터페이스가 제한적이고, 자동화된 프로세스에 의존하는 IoT 기기에 적합한 기술이 아니므로 기존의 인증 방법으로는 어려움을 겪을 수 있습니다. 제로 트러스트는 액세스를 요청하는 모든 엔티티를 지속적으로 검증하므로 권한이 부여된 IoT 기기만 네트워크에 연결할 수 있습니다. 또한 최소 권한 원칙에 따라 IoT 기기가 작동하는 데 필요한 최소한의 액세스 권한만 부여합니다. 따라서 기기가 손상될 경우 발생할 수 있는 잠재적 피해가 최소화됩니다. 제로 트러스트 접근 방식은 대규모 IoT 환경을 수용하기 위해 확장할 수도 있습니다.
  • 네트워크 세분화. 기존의 네트워크 보안이 네트워크 경계를 보호하는 데 중점을 둔 반면, 제로 트러스트는 네트워크를 작은 영역으로 세분화하고 그 사이의 트래픽 흐름을 제어하는 보다 세밀한 접근 방식을 사용합니다. 나아가 최신 제로 트러스트 전략은 영역 크기를 더욱 줄이는 마이크로세그멘테이션 기술을 사용합니다. 이는 세그먼트 사이의 라우터가 아닌 방화벽을 사용해 수행됩니다. 결과적으로 보안은 향상되지만 성능이 저하될 수 있습니다. 세그먼트의 크기는 보안 요구 사항과 방화벽 성능에 따라 결정됩니다.
  • 권한 액세스 관리(PAM). 제로 트러스트와 PAM은 서로 잘 어울리는 별개의 보안 개념입니다. PAM 시스템은 특히 권한 있는 계정, 즉 중요한 시스템과 데이터에 대한 액세스 권한을 가진 사용자 계정을 보호하는 데 중점을 둡니다. 이러한 계정은 공격자의 주요 표적입니다. 모든 재무 및 은행 기록에 액세스할 수 있는 CFO나 고위급 시스템 관리자가 그 좋은 예입니다. PAM은 멀티팩터 인증, 꼭 필요한 시간 동안만 권한 있는 액세스를 부여하는 적시 도구, 특정 순간에 권한 있는 사용자가 수행하는 작업을 정확히 기록해 의심스러운 행동을 포착하는 세션 모니터링 및 저널링이라는 세 가지 요소를 활용합니다.
  • 원격 액세스. 원격 업무가 증가 중인 상황에서 제로 트러스트에 유리한 상황이 조성되고 있습니다. 더 이상 네트워크 경계가 존재하지 않고, VPN은 그와 관련된 자체적인 문제를 야기하기 때문입니다. 제로 트러스트 전략은 강력한 인증 방법을 통해 사용자의 개입 없이 사용자를 지속적으로 검증하고, 원격 사용자에게 업무 수행에 필요한 최소한의 액세스 권한만 부여하므로 원격 액세스 권한을 더욱 안전하게 부여할 수 있습니다. 기업은 최소한의 액세스가 무엇인지 정의하는 정책을 직접 작성할 수 있습니다. 또한 제로 트러스트는 요청의 컨텍스트를 반영하므로 액세스 권한을 결정하는 과정에서 사용자 신원, 기기 보안 상태, 위치, 액세스하는 특정 리소스 등의 요소를 고려합니다.
  • 서드파티 액세스. 제로 트러스트 환경에서 제3자에게 액세스 권한을 부여하기 위해서는 기존의 접근 방식에서 '절대 신뢰하지 않고 항상 검증'하는 방식으로 전환해야 합니다. 앞서 설명한 원격 액세스 원칙 외에도 기업은 타사 사용자 ID 및 액세스를 관리하기 위한 IAM 시스템을 설정할 수도 있습니다. 각각의 파트너사를 기준으로 계정의 생성, 프로비저닝, 해지에 대한 정책을 개발할 수 있습니다. 전체 네트워크에 대한 액세스 권한을 부여하지 않고 특정 리소스에 대한 보안 터널을 프로비저닝하고자 하는 경우 제로 트러스트 네트워크 액세스(ZTNA) 시스템을 고려해 볼 수 있습니다. 권한 있는 내부 사용자용으로 사용되는 적시 및 세션 모니터링 도구는 파트너사를 대상으로도 유용하게 사용 가능합니다.

제로 트러스트 구현의 7가지 단계

제로 트러스트를 달성하는 것은 일회성 프로젝트가 아닌 지속적인 여정입니다. 모든 요소를 직접 개발할 필요는 없습니다. NIST, CISA, DISA, NCSC의 모델 중 하나를 기술적 로드맵으로 사용하는 것을 고려해 볼 수 있습니다. 프로젝트 수준에서는 제로 트러스트의 단계적 구현 계획을 통해 혼란을 최소화하고 직원, 파트너, IT 담당자의 적응을 도울 수 있습니다. 이해관계자에게 제로 트러스트의 근거를 명확하게 전달하고 우려 사항을 투명하게 해결해야 합니다. 또한 기업의 성장에 맞춰 확장 가능하고 보안 분야의 변화에도 원활히 적응할 수 있는 보안 제품을 신중하게 선택해야 합니다.

제로 트러스트의 성공적인 구현을 위한 7가지 단계는 다음과 같습니다.

1. 자산 식별 및 우선순위 지정. 제로 트러스트 보안 접근 방식은 중요하고 가치 있는 데이터를 보호하기 위한 것입니다. 그 첫 단계는 보유 중인 자산을 파악하는 것입니다. 파악한 내용이 곧 제로 트러스트 계획의 기반이 됩니다.

2. 사용자 정보 및 사용자 요구 사항 파악. 제로 트러스트 모델을 사용하려면 사용자 정보를 수집하고, 사용자 ID를 관리하고, 액세스 권한을 구성해야 합니다. 자산에 액세스하는 모든 사람과 시스템을 매핑해 불필요한 권한을 파악합니다.

3. 제로 트러스트 전략 계획. 자산 및 사용자를 기반으로 위험을 완화하기 위한 아키텍처를 설계할 방법을 계획합니다. 각 단계별 일정을 결정할 때는 예산, IT 리소스, 인프라의 복잡성을 고려해야 합니다.

4. 데이터 분석. 시스템이 데이터 액세스와 관련된 이상 징후를 식별하고, 정책을 벗어난 시스템 액세스 시도를 감지하면 해당 데이터를 면밀히 분석해야 합니다. 거의 모든 활동이 반복적으로 이루어지므로 이상 징후는 데이터 도난 시도를 알리는 초기 지표가 되는 경우가 많습니다. 해당 정보를 활용해 데이터를 방어할 수 있습니다.

5. 트래픽 흐름 매핑. 데이터 종속성에 집중하는 단계입니다. 민감한 데이터가 포함된 데이터베이스에 액세스할 수 있는 모든 사람 및 시스템에 해당 정보가 정말 필요한지 여부를 따져 보아야 합니다.

6. 가능한 부분의 자동화. 프로세스 개선 및 도구로 부족한 부분을 보완할 수 있습니다. 예를 들어, 리소스 및 활동에 대한 모니터링을 자동화하지 못하는 기업은 제로 트러스트를 성공적으로 구현하기 어려울 것입니다. 관련 작업을 제대로 수행하기 위해서는 사용자 ID와 액세스 권한에 대한 중앙화된 관리를 지원하는 강력한 IAM 시스템, 모든 액세스 시도를 검증하는 다단계 인증(MFA)을 비롯한 최신 보안 도구들이 필요합니다. 미사용 및 이동 중인 데이터의 암호화는 무단 액세스로부터 민감한 데이터를 보호하기 위한 핵심적인 요소입니다.

7. 메트릭 설정. 제로 트러스트 구현의 성공 여부를 측정할 방법을 정의합니다. 주요 성과 지표로는 액세스 권한의 감소, 다단계 인증 사용 증가, 경영진 및 사업부 단위 리더들의 승인 등이 있습니다.

11가지 제로 트러스트 모범 사례

CISA는 자체 제로 트러스트 모델을 통해 연방 정부를 포함한 대부분의 대기업이 공통적인 문제에 직면해 있다고 지적했습니다. 레거시 시스템은 많은 경우 '암묵적 신뢰'에 의존하고, 고정된 속성을 기반으로 액세스 및 권한 부여를 평가하는 경우는 드뭅니다. 이를 변경하기 위해서는 경영진, 파트너, 공급업체를 포함한 다양한 이해관계자의 동의 및 상당한 투자가 필요할 수 있습니다. 제로 트러스트의 모범 사례는 다음과 같습니다.

1. 검증 및 인증. 제로 트러스트의 기본은 시스템, 네트워크, 데이터에 대한 액세스를 요청할 때마다 모든 사용자와 기기에 대해 검증된 인증을 요구하는 것입니다. 해당 프로세스에는 특정 시스템에 대한 신원 및 관련 액세스 권한의 유효성 검사가 포함되어 있습니다. 예를 들어, 직원은 제한된 기간 동안만 유효한 토큰을 발급하는 OAuth 등의 인증 서비스를 사용해 아침에 정해진 시간 동안의 인증을 받을 수 있습니다. 직원이 데이터베이스에 액세스하는 시점에 해당 시스템에 대한 사용 권한이 토큰으로 확인됩니다. 또한 제로 트러스트는 활동 분석과 같은 고급 기기 제어 체계를 권장합니다. 이와 더불어 로그 및 저널은 IT 부서가 활동을 추적하고, 보고서를 작성하고, 정책을 시행하는 데 도움을 줍니다.

2. 마이크로세그멘테이션 사용. 성능 저하가 없는 한 측면 이동은 세밀하게 제한할수록 좋습니다. CISA는 분산형 수신/송신 마이크로페리미터, 동적 적시 접속 및 충분한 연결성을 갖추고 애플리케이션 아키텍처에 기반한 광범위한 마이크로세그멘테이션을 권장합니다. 그러나 모든 곳에 방화벽을 설치할 필요는 없습니다. 마이크로세그멘테이션 기법으로는 애플리케이션별 가상 머신, 이스트-웨스트 트래픽 암호화, 물리적 네트워크 내에 소프트웨어 정의 네트워크를 생성해 개별 세그먼트를 효과적으로 격리하고 보호하는 것 등이 있습니다. 지능형 라우팅 알고리즘은 트래픽 흐름을 최적화하고 지연 시간을 줄일 수 있습니다. 네트워크 성능 및 보안의 균형을 맞추기 위한 세분화 전략의 정기적 모니터링 및 미세 조정도 필수적입니다.

3. 지속적인 모니터링. 제로 트러스트를 위해서는 사용자 활동과 시스템 상태를 모니터링하고 기록하는 시스템을 구현해야 합니다. 알려진 침해 지표를 기반으로 네트워크를 모니터링하고, 시간 경과에 따라 프로세스를 개선해 가시성 격차를 해소해야 합니다. AI를 활용하는 시스템은 정상적인 동작이 어떤 모습인지 학습해 이상 징후를 감시하고 경고합니다.

4. 컨텍스트가 반영된 로깅. 로그 항목에는 액세스 시도 및 상황별 정보(예: 사용자 신원, 기기 세부 정보, 액세스한 리소스)가 포함됩니다. 이같은 로그 데이터는 포괄적인 분석을 가능케 하고, 잠재적인 보안 사고 또는 의심스러운 활동을 식별하는 데 도움을 줍니다. 모니터링 시스템은 데이터 액세스 추적이 필요한 규제 준수 입증에 기여하는 상세한 감사 로그를 생성합니다. 여기서도 AI 지원 도구는 감지율 향상에 기여합니다.

5. 광범위한 암호화. 데이터는 대부분의 기업의 가장 중요한 자산이며, 미사용, 전송 중, 사용 중인 데이터를 보호하기 위해서는 무단 액세스 시도를 탐지할 수 있는 광범위한 암호화와 활동 모니터링이 필요합니다.

6. 최소 권한 액세스. 최소 권한 액세스는 설명이 필요 없는 제로 트러스트의 핵심 원칙입니다. 모든 사용자, 애플리케이션, 기기에는 작업을 수행하는 데 필요한 최소한의 액세스 권한만 부여해야 합니다. 이는 직원을 신뢰할 수 없다는 의미가 아닙니다. 악의적인 공격자가 도난당한 자격증명, 손상된 기기 또는 취약점 등을 통해 액세스 권한을 얻는 경우 발생할 수 있는 피해를 최소화하기 위한 것입니다.

7. 기기의 신뢰성 검증. 제로 트러스트 원칙에 기반한 네트워크는 경계 내부에 있든, 회사 소유이든, 이전에 액세스 권한을 부여받았든 상관없이 어떤 기기도 본질적으로 신뢰하지 않습니다. 이는 권한이 부여되고 규제를 준수하는 기기의 액세스만을 허용하기 위한 것입니다. 규제 준수 대상에는 업데이트된 소프트웨어, 바이러스 백신 보호 및 기타 모니터링 소프트웨어 설치와 같은 보안 태세 요건이 포함될 수 있습니다.

8. 보안 액세스 제어. 제로 트러스트는 오늘날 많은 기업에서 사용 중인 클라우드 기반 애플리케이션 및 업무 공간까지 확장될 수 있습니다. 제로 트러스트 아키텍처는 그와 같은 애플리케이션들 또한 잘 알려지고 승인된 보안 태세를 갖추고 액세스를 제어할 것을 요구합니다.

9. 제로 트러스트 네트워크 액세스(ZTNA). '소프트웨어 정의 경계'로도 불리는 ZTNA는 사용자가 확인되면 전체 네트워크에 대한 액세스 권한을 부여하는 기존 VPN보다 더욱 세분화된 방식으로 내부 애플리케이션 및 리소스에 대한 액세스를 제어하는 보안 접근 방식입니다. ZTNA는 리소스에 대한 액세스가 요청될 때마다 보안 자격 증명을 평가합니다. 시스템은 컨텍스트를 고려해 부분적인 액세스만 허용할 수 있습니다. 액세스가 허용되면 액세스를 요청한 엔티티와 특정 자산 간의 보안 세션을 통한 액세스가 진행됩니다. 이후 위협의 징후일 수 있는 비정상적인 활동을 찾기 위해 활동 및 기기 상태를 지속적으로 모니터링합니다.

10. 엔드포인트 보안. 소프트웨어 버전 또는 멀웨어 시그니처 업데이트를 늦게 하거나 개인 기기에 보안 소프트웨어를 설치하는 것을 거부하는 사용자가 있나요? 제로 트러스트는 정책에 정의된 보안 프로필이 없는 엔드포인트에는 액세스 권한을 부여하지 않으므로 그러한 사용자들도 결국 고집을 꺾을 수 밖에 없습니다. IT 부서는 기업 소유 기기의 엔드포인트 보안을 관리해야 하고, 새로운 세션이 시작되면 규제 준수를 확인해야 합니다.

11. 사용자 교육 및 인식. 직원들이 제로 트러스트 원칙에 거부감을 느끼는 것은 자연스러운 일입니다. 적어도 초반에는 그렇습니다. 교육 세션을 제공하고 이 아키텍처가 회사의 비용과 평판 손상을 어떻게 줄일 수 있는지에 대한 구체적인 예를 제시하면 거부감을 누그러뜨리는 데 도움이 될 수 있습니다.

원활한 문화 전환을 위한 전략

기존의 네트워크 보안 모델은 네트워크 경계 안에 들어온 사용자는 특정 수준까지는 신뢰할 수 있다고 가정하는 경우가 많습니다. 반면 이같은 보안 방식에 도전하는 제로 트러스트는 네트워크 내에서의 자유로운 액세스에 익숙했던 IT 직원 및 사용자의 사고방식을 크게 전환할 수 있습니다.

또한 제로 트러스트는 더 엄격한 비밀번호 정책, 다단계 인증, 사용자 ID 및 액세스 권한 관리에 대한 보다 중앙화된 접근 방식 등 강력한 ID 및 액세스 관리 관행을 강조합니다. 다시 말하지만, 그간 덜 엄격한 액세스 제어에 익숙했던 사람들은 이러한 변화를 불편하게 느낄 수 있습니다. 제로 트러스트는 사용자 활동과 기기의 상태를 더 면밀히 조사할 것을 요구하므로 자신의 행동이 너무 면밀히 모니터링되고 있다고 느끼는 일부 직원들은 개인정보 보호에 대한 우려를 제기할 수 있습니다. 일부 직원은 개인 기기에 필수 소프트웨어를 설치하는 것을 거부할 수도 있습니다. 귀사의 대응책은 무엇인가요? 심지어 보안, 네트워크 운영, 애플리케이션 개발 전문가들도 제로 트러스트에 반발할 수 있습니다.

한 마디로 제로 트러스트는 기업의 문화적 변화이고, 사용자들의 협조가 성공 여부를 좌우합니다. 제로 트러스트로의 원활한 전환을 위한 전략은 다음과 같습니다.

제로 트러스트를 채택하는 이유를 명확하게 전달하고 보안 및 규제 준수 개선의 이점을 강조합니다. 직원들이 가질 수 있는 개인정보 관련 우려를 공개적으로 불식시키고, 제로 트러스트가 실질적으로 데이터를 어떻게 보호하는지 설명합니다.

직원, 파트너, IT 담당자가 새로운 보안 조치에 점진적으로 적응할 수 있도록 단계적인 롤아웃을 실시합니다. 가능한 한 워크플로 중단을 최소화하고 긍정적인 사용자 경험을 유지할 수 있는 방향으로 제로 트러스트를 구현해야 합니다. 클라우드 기반 기술이 많은 도움이 될 수 있습니다.

제로 트러스트 원칙, 액세스 제어 절차, 새로운 환경에서 리소스를 안전하게 사용하기 위한 모범 사례 등에 대한 포괄적인 교육을 제공합니다.

제로 트러스트와 관련된 문화적 변화를 인정하고, 적응을 위한 직원들의 노고에 감사를 표한다면 제로 트러스트를 성공적으로 도입하고 보다 안전하고 탄력적인 IT 환경을 조성하는 데 큰 도움이 될 것입니다.

제로 트러스트 보안의 역사

제로 트러스트의 개념은 2004년 Jericho Forum 행사에 참가한 Paul Simmonds의 프리젠테이션에서 유래했습니다. Simmonds는 '탈경계화(deperimeterization)'라는 용어를 만들었고 대부분의 악성 행위자들이 경계 보안을 간단히 통과한다는 사실을 근본적으로 인정하는 새로운 모델을 제안했습니다. 또한 침입 탐지 기술은 경계에서 거의 또는 전혀 이점이 없고, 데이터에 가까워질수록 데이터 보호가 용이해지고, 강화된 경계 전략은 지속 가능하지 않다고 덧붙였습니다.

2011년, Google은 제로 트러스트를 구현하기 위해 BeyondCorp를 만들었습니다. 원격 근무를 지원하고 VPN 사용을 없애기 위해 개발되었던 BeyondCorp는 단일 제품이 아니라 다양한 도구와 모범 사례의 집합입니다. Google Cloud는 BeyondCorp 보안 태세를 달성하기 위해 구현할 수 있는 다양한 서비스를 제공합니다.

그 후 2020년 8월, NIST는 제로 트러스트 아키텍처(ZTA)에 대한 추상적인 정의, 제로 트러스트로 정보 기술 보안 태세를 개선할 수 있는 배포 모델 및 사용 사례를 담은 Zero Trust Architecture 문서를 발표했습니다. 2021년 5월, 백악관은 제로 트러스트를 명문화한 국가 사이버 보안 개선에 관한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)을 발표했고, 같은 해 9월에는 미국 관리예산실의 연방 제로 트러스트 전략을 보완하기 위해 CISA의 제로 트러스트 성숙도 모델 버전 1.0(Zero Trust Maturity Model Version 1.0)이 발표되었습니다. CISA의 ��델은 미국 연방 기관에 제로 트러스트 환경을 구축하기 위한 로드맵과 리소스를 제공하며 기업도 사용할 수 있습니다.

2022년 1월, 미국 관리예산실은 '제로 트러스트 사이버 보안 원칙을 향한 미국 정부의 움직임(Moving the U.S. Government Toward Zero Trust Cybersecurity Principles)'이라는 제목의 메모 M-22-09를 연방 기관들에 발행했습니다. 7월에는 DISA와 국가안보국(NSA)의 제로 트러스트 엔지니어링 팀에서 준비한 미국 국방부(DoD) 제로 트러스트 참조 아키텍처가 발표되었습니다. 해당 아키텍처는 사이버 보안을 강화하고 기존 역량을 데이터 중심 전략에 집중하도록 유도하기 위한 최종적인 비전, 전략, 프레임워크를 제공했습니다. DISA 아키텍처는 클라우드로 이전하는 모든 조직이 채택할 만한 탁월한 모델입니다.

Oracle Cloud Infrastructure(OCI)로 제로 트러스트 도입하기

제로 트러스트 원칙 구현을 지원하는 Oracle의 보안 최우선 접근 방식은 Oracle Cloud Infrastructure(OCI)로의 액세스 허용과 관련된 명시적 정책을 요구합니다. 즉, 각 구성 요소는 OCI 내의 리소스로 간주되고 모든 액세스는 반드시 명시적으로 허용되어야 합니다. OCI 내의 모든 통신은 암호화되고, 액세스 권한은 관련 정책과 비교해 검증됩니다. 해당하는 액세스 정책은 동적 액세스 구현을 비롯해 각각의 리소스에 대한 매우 세분화된 액세스 제어를 부여하도록 구성할 수 있습니다.

OCI는 클라우드 리소스에 대한 모니터링 및 감사를 구현합니다. 사용자는 기존의 객체 스토리지를 사용해 분석을 수행하거나 원하는 보안 정보 및 이벤트 관리(SIEM) 도구를 사용할 수 있습니다. Oracle Cloud Guard Instance Security는 트리거된 이벤트에 대한 자동화된 대응을 제공해 잠재적 위협에 대한 대응 시간을 단축할 수 있도록 지원합니다.

기업이 제로 트러스트를 구현하는 이유는 기존의 보안 전략으로는 오늘날의 위협을 따라잡지 못한다는 사실을 인식하고 있기 때문입니다. 모든 이해관계자들이 교육을 통해 공격자가 이미 네트워크 내부에 존재할 수 있다는 사실을 이해하게 되면 공격 성공의 위험을 최소화하고, 민감한 정보를 더 잘 보호하고, 파트너 및 고객과의 신뢰를 구축할 수 있는 보다 엄격한 통제가 더 순조롭게 받아들여지는 경향이 있습니다.

귀사의 AI 전문가 집단(center of excellence, CoE)은 AI 에이전트의 롤아웃을 감독하고 관리하는 과정에서 중추적인 역할을 수행해야 합니다. 아직 AI CoE를 확보하지 못한 상태인가요? e-book을 통해 그 확보 방법을 지금 바로 확인해 보세요.

제로 트러스트 보안 FAQ

제로 트러스트의 5가지 핵심 요소는 무엇인가요?

미국 사이버보안 및 인프라 보안국이 최근 발표한 제로 트러스트 성숙도 모델 버전 2(Zero Trust Maturity Model Version 2)에 기반한 제로 트러스트의 5가지 핵심 요소는 ID, 기기, 네트워크, 애플리케이션 및 워크로드, 데이터입니다. 이 5가지 요소는 함께 맞물려 작동하며 모든 사용자, 기기, 애플리케이션, 접속 요청을 지속적으로 확인하는 것을 전제로 하는 포괄적인 보안 전략을 구성합니다. 이러한 계층화된 접근 방식은 공격의 여지가 있는 부분을 극단적으로 최소화하기 위해 설계되었습니다.

제로 트러스트의 4가지 목표는 무엇인가요?

제로 트러스트 보안의 4가지 주요 목표는 공격 표면을 제한하는 것, 강력한 인증, 최소 권한 액세스 제어, 지속적 모니터링을 통해 기업의 보안 태세를 강화하는 것, 클라우드 서비스를 비롯한 직원 및 파트너사가 필요로 하는 도구들을 모든 기기를 통해 안전하게 제공하는 것, 규제 준수를 개선하는 것입니다.