제로 트러스트란?
제로 트러스트는 특정한 기술이나 정책, 전략이라기보다는 ‘원칙’이라고 표현하는 것이 더 적절할 것입니다.
말 그대로 제로 트러스트, 아무것도 믿지 않는 원칙에 입각한 새로운 보안 전략 수립을 제로 트러스트라고 할 수 있습니다.
코로나19로 인해 제로 트러스트에 대한 관심이 높아지고 있습니다.
재택/원격 근무와 클라우드의 확산으로 모든 것을 총괄하는 제로 트러스트(Zero Trust)가 주목받고 있다.
제로 트러스트는 한국에서도 빠르게 화제가 되었습니다.
한국인터넷진흥원은 우리나라 실정에 맞는 제로 트러스트 기술을 연구·개발하고 가이드라인을 발간해 가이드라인을 제시할 계획이다.
미국 국립표준기술연구소(NIST)가 2020년에 발표한 제로 트러스트 원칙.
1. 모든 데이터 소스 및 컴퓨팅 서비스는 “리소스”입니다.
2. 모든 통신은 위치에 관계없이 안전해야 합니다.
3. 개별 리소스에 대한 액세스 권한은 각 세션에 대해 검증된 후 부여됩니다.
4. 리소스에 대한 액세스는 동적 정책에 따라 결정되며 다음과 같은 세부 정보를 기반으로 해야 합니다.
B. 모든 최종 장치에 설치된 소프트웨어 버전, 네트워크 모니터링, 요청 시간 및 날짜 및 이전에 관찰된 동작.
5. 조직은 모든 소유 및 관련 자산의 무결성 및 보안 상태를 지속적으로 모니터링하고 측정합니다.
6. 모든 인증 권한 및 권한 부여는 동적이며 액세스 권한이 부여되기 전에 철저하게 적용됩니다.
7. 조직은 자산, 네트워크 인프라 및 현재 통신 상태에 대해 가능한 한 많은 정보를 수집하고 사용하여 보안 상태를 지속적으로 개선합니다.
새로운 보안 모델로 급부상하는 제로 트러스트, 우리나라?
제로 트러스트가 보안 분야에서 화제가 되고 있습니다.
하지만 정치와 민간의 온도차가 상당히 크기 때문에 실제 기업이 제로 트러스트를 계획하는 경우는 많지 않다.
그 이유는 간단합니다.
제로 트러스트 보안 전략은 매우 포괄적이기 때문에 어디서부터 시작해야 할지 모릅니다.
구체적인 지침이나 기준을 세우는 것이 어려우므로 만족스러운 제로 트러스트 보안 환경이 구현되기까지는 아직 갈 길이 멀다고 할 수 있습니다.
확실한 것은 제로 트러스트가 전 세계적으로 빠르게 진화하고 있는 보안정책이기 때문에 장기적으로 달성해야 할 정책임에 틀림없다.
제로 트러스트 구현 전
제로 트러스트에 대한 오해를 멈춰야 합니다.
제로 트러스트를 구현하면 내부 통제가 과도할 때 업무 효율성이 떨어질 수 있기 때문입니다.
나. 일부 방법만 강조하거나 내부자 전원이 수상한 경우 다.
전염병을 예방하기 위해 개인 위생을 실천하는 것처럼 제로 트러스트를 구현하기 전에 먼저 취약한 취약점을 제거하고 비즈니스에 영향을 미치지 않으면서 공격으로부터 신속하게 복구할 수 있는 환경을 조성해야 합니다.
간단한 방법으로는 컴퓨터에 최신 운영체제 업데이트 설치, 자동 업데이트 설정, 중요 백신 설치 및 주기적인 패턴 업데이트, 스팸으로 의심되는 메일은 읽지 않고 즉시 삭제, 인터넷에서 불명확한 링크 실행 시 주의, 정기적인 백업 등이 있습니다.
비즈니스 파일 등 이 작업을 수행해야 합니다.
노출된 취약성에 대해 이러한 다음 자산을 식별하고 관리해야 합니다.
일명 끝점. 기업이 관리해야 하는 자산에는 PC와 서버뿐만 아니라 응용 프로그램, 데이터베이스와 데이터, 가상 머신과 컨테이너, 사무 자동화 장치, 스마트 빌딩의 에어컨, 원격 근무자가 사용하는 BYOD 장치가 포함됩니다.
제로 트러스트에 필요한 기술
1.ZTNA
재택근무 확산으로 VPN의 문제점이 드러나면서 ZTNA가 해결책으로 떠올랐다.
ZTNA는 VPN 대체품으로 볼 수 있지만 VPN 제공업체는 제로 트러스트로 ZTNA를 완성한다고 주장합니다.
특히 국내에서는 공공기관 재택근무 지침에 따라 VPN을 통해서만 외부에서 업무망 접속이 가능해 VPN을 이용한 ZTNA 방식이 주목받고 있다.
2. 선제적 차단 기술
공격이 발생하기 전에 차단하는 오랜 시간 동안 검증된 보안 기술입니다.
Endpoint EPP, EDR, Network Firewall, IPS, Web Security용 Web Firewall, SWG, WAAP, DDoS Mitigation, DNS Security, 이메일 위협을 사전에 탐지하는 Email Security, 글로벌 위협 인텔리전스를 수집하여 알림 사이버 위협 인텔리전스(CTI) 모두 선제적 차단에 필요한 기술입니다.
3. 이메일 보안
많은 공격이 이메일을 통해 이루어집니다.
합법적인 이메일로 위장한 악성 이메일은 사용자가 아무리 조심해도 완벽하게 차단할 수 없습니다.
따라서 악성메일을 사전에 탐지하고 위험에 대응할 수 있는 다양한 솔루션의 도입이 필요하다.
4. 인텔리전스를 통한 예방 효율성 증대
CTI, 다크웹 모니터링 통해 시장 주목 다크웹에서 거래되는 개인정보 및 기업기밀정보를 모니터링하여 영향을 받는 기업에 알려주는 서비스입니다.
공격이 발생하기 전에 대응할 수 있도록 도와드립니다.
5. 지속적인 모니터링
제로 트러스트는 인증과 보안 액세스에만 초점을 맞추면 실패할 수밖에 없습니다.
제로 트러스트를 달성하려면 사전 액세스 인증 및 지속적인 사후 액세스 모니터링이 필요합니다.
6. 암호화/키 관리를 통한 제로 트러스트 데이터 보호
데이터는 사이버 보안의 핵심이며 공격자에게 인기 있는 먹잇감입니다.
가장 강력한 제로 트러스트 원칙을 따라야 하는 영역입니다.
물론 암호화와 키 관리가 가장 중요하고 이를 안전하게 관리하고 보호할 수 있는 자동화 시스템을 갖추는 것이 중요하다.
7. SW 공급망 보호
제로 트러스트 원칙을 완벽하게 준수하는 전략을 회사에서 수립하더라도 외부 파트너나 공급망 회사의 공격을 차단하지 못하면 소용이 없습니다.
가장 위험한 공급망 공격 중 하나는 소프트웨어 코드의 취약성을 악용합니다.
대부분의 소프트웨어는 오픈 소스 라이브러리 또는 개발자 커뮤니티에서 제공되기 때문에 이러한 파일에는 취약점이 있으며 이러한 취약점을 통한 공격이 가능합니다.
이러한 공격은 또한 방어하기 어렵습니다.
따라서 소프트웨어 공격 체인 공격을 방지하기 위해서는 소프트웨어의 전체 수명주기에 대한 보안성을 검토하고 개발에서 배포, 운영에 이르는 전 과정에서 보안 취약점을 제거하기 위한 노력이 필요하다.
출처: Datanet, Zero Trust 실행 계획 기사 / CONCERT 2023 FORECAST 보고서 참조