제로 트러스트 | 임원이 꼭 알아야 할 정보
"제로 트러스트"란 실제로 무엇을 의미하나요
Forrester Research에서 2010년 만든 신조어인, 제로 트러스트는 엔터프라이즈에서 사용자, 시스템 및 데이터 간에 위험하지만 묵시적으로 신뢰할 수 있는 상호작용을 해소하는 데 활용할 수 있는 사이버보안 모델입니다. 제로 트러스트 모델은 위협이 전 세계 또는 눈에 띄지 않는 곳에서 발생시킨 벡터가 무엇이든 간에 기업이 위협으로부터 스스로를 보호할 수 있는 프로세스를 제공합니다. 이 모델의 이점을 실현하기 위해 따라야 할 기본 원칙은 다음과 같습니다.
- 위치와 관계없이 모든 리소스에 대해 안전하게 액세스되는지 확인합니다.
- 최소 권한 전략을 도입하고 엄격하게 접근을 제어합니다.
- 모든 트래픽을 검사하고 로깅합니다.
11년 후 이러한 아이디어와 원칙은 증가하는 디지털 혁신, 원격 근무 및 BYOD(Bring-Your-Own-Device)의 확산을 맞이하면서 성숙해졌습니다.NIST 800-207 에 명시된 미국 연방 정부의 제로 트러스트 명령을 고려해 새로운 원칙이 개발되었습니다. 자세한 내용은 NCCoE의 제로 트러스트 아키텍처에서 확인하실 수 있습니다. 이러한 원칙은 다음과 같습니다.
- 네트워크 세그먼테이션에서 리소스(예: 자산, 서비스, 워크플로 및 네트워크 계정) 보호로 전환
- 강력한 인증을 통해 모든 세션에서 수행되는 독립 기능을 인증하고 권한 부여(주체/사용자 및 디바이스 모두)
- 지속적인 모니터링
제로 트러스트가 사이버보안에서 중요한 이유
제로 트러스트로의 이전은 비즈니스 보안 접근 방식에서 더 중요한 전환 중 하나였습니다. 제로 트러스트 사고방식을 도입하기 전 대부분의 기업은 보안을 게이트로 제어된 기능으로 관리하려고 했습니다. 게이트로 제어된 영역에서 트랜잭션이 확인되면 해당 트랜잭션은 본질적으로 신뢰할 수 있었습니다.
위협 벡터가 늘 게이트로 제어되는 영역 외부에서 발생하는 것은 아니기 때문에 이러한 접근 방식에는 문제점이 있습니다. 또한 전 세계가 전반적으로 계속해서 디지털 혁신 및 하이브리드 인력을 도입함에 따라 게이트 뒤에만 존재하는 리소스의 개념은 무효화되고 있습니다. 제로 트러스트 방법을 적용하려면 상호작용이 모든 사용자, 시스템, 애플리케이션 및 데이터를 비롯하여 어디서 발생하든 모든 상호작용의 각 요소를 검증해야 합니다. 묵시적 신뢰의 영역은 없습니다.
제로 트러스트를 둘러싼 유행어에는 무엇이 있나요?
오늘날 많은 공급업체는 제로 트러스트가 제품 솔루션이 아니라 모델이자 전략적 프레임워크라는 사실을 인정하기보다는 제로 트러스트를 제품화하고 제품 자체를 "제로 트러스트 솔루션"이라고 부릅니다. 사이버보안 시장을 살펴보면 "제로 트러스트 업체"라는 식의 제목을 붙여 놓은 공급업체를 볼 수 있습니다.
그러나 좀 더 자세히 살펴보면 이러한 공급업체는 일반적으로 제로 트러스트의 한 가지 원칙만 다룹니다. 사용자와 애플리케이션 간에 터널링 서비스를 만드는 경우를 예로 들어 보겠습니다. 이는 "최소 권한 전략을 도입하고 엄격하게 접근을 제어한다"라는 두 번째 원래 원칙과 일치합니다. 그러나 이 공급업체가 "위치와 관계없이 모든 리소스에 대해 안전하게 액세스되는지 확인한다"라는 첫 번째 원칙은 따르지 못할 수 있습니다. 이 공급업체는 사용자가 위협 벡터가 아니라는 사실을 암시적으로 신뢰하면 멀웨어 또는 익스플로잇이 있는지 터널 내부를 스캔하지 않습니다.
다른 공급업체는 ID 및 권한 확인으로 제로 트러스트가 되는 것처럼 주장하면서 첫 번째 원래 원칙의 일부 측면만 구현할 수 있습니다. 또한 웹 기반 트래픽만 스캔하면 된다고 제시할 수도 있습니다. 그러나 제로 트러스트의 일부만 다루는 모델을 구현하면 기업에서는 나머지 원칙에서 다루는 취약점에 노출될 수 있는 암시적 신뢰를 생성할 위험이 있습니다.
Palo Alto Networks의 조언: 경영진이 제로 트러스트를 도입할 때 고려해야 할 점
첫 번째 단계는 엔터프라이즈를 보호해야 하는 방법에 대한 사고방식을 게이트로 차단되는 접근 방식에서 모든 상호작용을 지속적으로 확인하는 접근 방식으로 바꿔야 합니다. 이러한 전환을 실현하려면 다음을 수행해야 합니다.
- 회사에서 보호해야 할 리소스, 그리고 해당 리소스의 위치 및 리소스 주위, 리소스 내, 리소스를 통과해 흘러야 하는 상호작용을 정의합니다.
- 사용자, 애플리케이션 및 인프라/디바이스가 생성하는 모든 상호작용에 대해 살펴야 합니다.
- 상호작용이 ID, 액세스, 디바이스/워크로드 및 트랜잭션으로 구성된다는 점을 이해합니다.
다음으로, 엔터프라이즈의 가장 중요한 사용자, 자산 및 상호작용부터 시작하여 계획에 따라 변경 사항을 적용합니다. 이러한 리소스는 가장 중요한 리소스이며 재무 또는 지적 재산과 관련된 것입니다. 그런 다음, 시간이 흐름에 따라 모든 트랜잭션을 포함하도록 범위를 확장합니다. 이러한 계획에는 사용자, 애플리케이션 및 인프라가 리소스를 요청할 때 상호작용의 4가지 각 부분을 거치는 방식을 다뤄야 합니다.
이 전환의 마지막 단계는 반복해서 발생하는 이벤트, 바로 유지관리와 모니터링입니다.
- 지속적인 모니터링을 적용하면 간헐적으로 확인하는 것보다 발생하는 모든 문제를 고려할 수 있습니다.
- 점점 더 많은 상호작용을 살피면서 발전하려면 최신 모델을 표준 모델로 개선할 방법을 찾으세요.
성공적인 제로 트러스트 도입을 위해 팀에 물어야 할 몇 가지 질문
- 시스템에 중요한 데이터 세트, 애플리케이션 및 기능은 무엇인가요?
- 이러한 리소스 요청 대상과 상관없이 해당 리소스에 대한 모든 상호작용의 4가지 부분을 각각 어떻게 보호할 수 있나요?
- 기준을 촉진하고 이상 동작을 감지하기 위해 로그 등과 같은 중요한 이벤트를 어떻게 지속적으로 모니터링할 계획인가요?
- 제로 트러스트 목표와 관련하여 회사에 도움이 될 공급업체를 선정하기 위한 전략은 무엇이고, 제품으로 해결할 수 없는 기타 측면은 어떻게 해야 하나요?
- 한 리소스를 보호하는 데에서 모든 리소스를 보호하는 것으로 전환하기 위한 전략은 무엇이고, 이를 위해서는 제품과 사람에 대해 어떤 종류의 확장성이 필요한가요?