제로 트러스트 보안이란 무엇인가요?

많은 기업이 제로 트러스트의 정의를 '아무도, 아무것도 신뢰하지 않음' 또는 '신뢰하지 않고 항상 확인'으로 단순화하지만 이는 다소 협소적인 의미입니다. 대신 제로 트러스트의 핵심 개념은 상호 연결된 시스템의 기본 구성요소를 포함하여 모든 사람 또는 모든 요소를 신뢰하는 것으로 가정하면 상당한 보안 위험이 발생한다는 것입니다. 신뢰는 동적 컨텍스트 보안 정책과 다양한 기술 메커니즘을 사용하여 신뢰를 구축하고 지속적으로 검증되어야 합니다. 

이 접근 방식은 세분화된 정책 제어를 사용하는 마이크로 세분화를 활용하여 네트워크를 더 작은 세그먼트와 격리된 워크로드로 나눕니다. 정책은 ID, 위치, 기기, 액세스되는 콘텐츠, 애플리케이션에 따른 컨텍스트 기반입니다. 정책은 동적이므로 정책을 정기적으로 재평가하고 컨텍스트에 따라 조정됩니다.

데이터와 리소스는 기본적으로 액세스할 수 없으며, 인증 및 승인이 완료된 후에만 연결이 엄격하게 제어됩니다. 이 프로세스는 모든 사용자 또는 연결된 모든 엔드포인트에 적용되며 ID는 지속적으로 인증됩니다. 또한 모든 네트워크 트래픽이 로깅, 모니터링, 보안 침해 신호와 긴밀하게 연관되어 분석됩니다. 

더 간단한 방법으로 생각해 보겠습니다. 네트워크와 인프라를 일급비밀 정부 시설이며 제로 트러스트는 보안 시스템이라고 상상해 보세요. 여기에는 무단 액세스 감지를 위한 표준 경계 보안, 알람, 센서가 포함될 수 있습니다. 

제로 트러스트는 경계 내부의 모든 액세스 포인트에 보안을 추가합니다. 건물의 모든 부속 시설과 각 방은 항상 잠겨 있으며 문은 생체 인식 액세스 시스템을 통해 제어됩니다. 현관의 보안을 통과한 후에도 지문을 스캔하여 각 문에서 본인임을 증명해야 하며 적절한 보안 승인이 되어야만 통과할 수 있습니다. 업무를 완료하는 데 필요한 시간 동안만 필요한 영역에 들어가서 머물 수 있습니다. 

제로 트러스트 모델에는 현재 제로 트러스트 네트워크 액세스(ZTNA), 제로 트러스트 아키텍처(ZTA), 제로 트러스트 에지(ZTE)를 비롯한 여러 구현이 포함되어 있습니다. 하지만 모두 동일한 핵심 개념에 기반합니다. 

모델을 구성하는 3가지 제로 트러스트 원칙은 다음과 같습니다.

1. 모든 네트워크 트래픽을 항상 위협으로 가정합니다. 제로 트러스트는 모든 사용자가 적대적이고 위협은 네트워크 내부와 외부에서 모두 존재한다는 관점을 지닙니다. 따라서 명시적인 권한이 없는 트래픽은 자동으로 거부됩니다. 모든 기기, 사용자, 네트워크 흐름은 지속적으로 액세스를 요청할 때 인증, 승인 및 검증됩니다.
2. 최소 권한의 액세스를 시행합니다. 제로 트러스트 보안 접근 방식은 필요할 때 작업 완료 기능에 영향을 주지 않으면서 최소 권한 액세스, 즉 필요한 리소스에 대한 액세스 권한을 최소로 부여합니다. 최소 권한 액세스는 공격자가 계정 또는 기기의 보안이 침해된 경우 더 중요한 리소스를 측면으로 이동하는 것을 제한하는 데 도움이 됩니다. 
3. 항상 모니터링합니다. 제로 트러스트 모델은 지속적인 모니터링을 지지하고 네트워크에서 활동을 항상 분석 및 관리합니다. 이를 통해 리소스에 액세스하려는 항목을 실시간으로 파악하고 잠재적인 위협, 활성 이슈, 조사해야 하는 이상 상황을 식별할 수 있습니다. 

Forrester에서 처음 설명한 제로 트러스트 원칙은 미국 국립표준기술원(NIST)에서 개발한 제로 트러스트 프레임워크와도 부합합니다. 조직에서 제로 트러스트 보안 모델을 구현하는 데 필요한 실용적인 단계를 알아보려면 NIST의 프레임워크를 읽어 보세요. 

오늘날 가장 많이 발생하는 정보 유출 사건 중 하나는 공격자가 네트워크 경계를 침입할 수 있는 방법을 찾음으로 인한 것이 아닙니다. 클라우드 컴퓨팅과 원격 근무 인력이 부상하면서 많은 조직이 점점 더 분산된 환경과 다방면의 경계를 방어하는 데 어려움을 겪고 있습니다. 이제 데이터는 여러 서비스, 기기, 애플리케이션, 사용자에 걸쳐 생성, 저장, 공유되며 세계 각지에서 액세스할 수 있습니다.

많은 위협 행위자가 하이브리드 클라우드 환경에서 네트워크의 약점과 격차를 악용하는 것이 수익성이 있는 비즈니스라는 사실을 알았습니다. 소셜 엔지니어링 및 기타 정교한 기술, 우발적 또는 의도적인 내부 위협, 서드 파티 공급업체의 취약한 보안을 통해 도용된 계정의 결과로 심각한 침해가 점점 더 많아지고 있습니다. 

이제 보안팀은 위협이 네트워크 외부에서 발생할 수 있는 것처럼 내부에서 비롯될 수 있다는 가능성도 인지하고 있습니다. 

조직은 심층 방어 보안 조치를 구현하려 하고, 오류가 발생할 경우를 대비해 중복과 백업 보안을 제공하는 것을 목표로 합니다. 하지만 이 방법은 구현, 관리, 유지보수에 비용이 많이 들고 복잡하며, 특히 새로운 시스템, 사람, 서비스, 기기가 도입될 때마다 모든 것을 지속적으로 수정 및 수정해야 합니다.  

제로 트러스트는 심층 방어 전략을 통합하지만, 잠재적인 위협을 모두 식별하고 완화하지 않고도 위협 영역을 최소화하고 본질적으로 안전한 환경을 빌드하는 것이 목표입니다. 중요한 애셋에 대한 액세스를 중지하고 공격자가 네트워크를 통해 실시간으로 측면 이동하는 것을 방지하는 데 중점을 둡니다. 제로 트러스트는 포괄적이고 조정 가능한 분산 환경을 보호하는 동시에 안전한 액세스를 허용하는 통합 보안 접근 방식을 제공합니다.  

다음은 제로 트러스트를 사용할 때 발생하는 가장 큰 어려움 중 일부입니다.

• 일관성 유지하기 올바로 실행된 제로 트러스트는 광고에 명시된 대로 탁월한 보안을 제공할 수 있습니다. 하지만 조직이 전략과 일관되어야 합니다. 대부분의 조직은 기존 보안 솔루션에서 벗어나면서 단계적으로 변경해야 하지만 그 과정에서 격차가 생기지 않도록 해야 합니다. 
• 생산성 방해. 제로 트러스트는 대부분의 워크플로에 추가적인 보안 단계를 추가하며 잘못 구현될 경우 생산성에 영향을 미칠 수 있습니다. 핵심은 업무 지원과 강력한 보안 상태 달성 사이에서 전략 간에 적절한 균형을 찾는 것입니다. 프로세스가 과하게 지장을 주는 경우 개인은 이를 회피하려고 할 수 있습니다. 
• 내부자 위협에 맞서기 제로 트러스트는 최소 권한 액세스를 통해 내부자 위협을 완화하는 데 도움이 될 수 있지만 반드시 필요한 것은 아닙니다. 공격자는 피싱이나 사용자를 속여 민감한 정보를 공유하게 하는 허구 같은 수법으로 사용자 인증 정보를 훔쳐 액세스 권한을 얻는 방법을 자주 찾습니다. 또는 최악의 경우 권한 악용을 목적으로 하는 악의적 의도자와 상대하게 될 수도 있습니다. 제로 트러스트가 내부자 위협에 효과적으로 대응하려면 조직 전체에서 패턴 이상을 모니터링하고 감지할 수 있어야 합니다.
• 정책 및 아키텍처 유지관리. 비즈니스가 계속 성장하고 발전하기 때문에 제로 트러스트 정책과 권한 구조도 지속적으로 업데이트되어야 합니다. 제로 트러스트 모델은 정확하게 정의된 정책과 효과적인 정책 관리에 의존하므로 침해를 방지하기 위해 사전에 유지관리하고 구성해야 합니다.