절대 신뢰하지 말고 항상 검증하라

요즘 화두가 되고있는 보안 모델 제로 트러스트(Zero Trust), 들어 보셨나요?

제로 트러스트는 외부 침입자뿐만 아니라 내부 관계자까지 모두 의심하는 관점에서 네트워크와 시스템을 운영하는 보안 모델로 2010년 세계적인 연구기관 포레스터 리서치(Forrester Research) 보안위협 팀의 존 킨더백(John Kindervag)수석 애널리스트가 처음 제시하였습니다.

최근 보안사고가 급증함에 따라 기존의 보안방식이 아닌 새로운 보안방식이 필요하여 제로트러스트의 개념이 10여년만에 주목받고 있습니다. 특히 코로나 이후 재택·원격 근무 혹은 사무실근무와 재택근무를 병행하는 하이브리드 방식을 채택하는 기업이 많아졌습니다. 따라서 이제는 다양한 장소에서 다양한 디바이스로 업무를 하는 경우가 많기 때문에 중요 데이터 보안에 더욱 주의해야 할 것입니다.

또한 코로나 이후로 다양한 사이버 공격이 급증하였습니다. 실제로 한국인터넷진흥원(KISA)에 따르면 기업의 사이버 침해 신고는 2019년 418건에서 2021년 639건으로 2년만에 53%가량 증가한 것으로 나타났습니다. 실제로 국내 주요 기업의 임직원 계정정보를 확보하여 기업의 내부 정보를 탈취하는 사건이 발생하기도 했습니다.

전통 보안시스템과의 차이점은?

외부 해커들의 공격을 차단하는 것에 중점을 둔 기존 보안 시스템과는 다르게 제로 트러스트는 ‘어느 누구도 믿지 않는다’는 전제를 갖고 있습니다. 따라서 기존 보안 시스템을 통과하더라도 접속권한을 부여하기 전에 반드시 검증을 거쳐야 다음 단계로 넘어갈 수 있습니다. 즉, 이전에는 재택근무시 PC에 ID와 PW를 통해 로그인을 할 수 있었다면, 제로트러스트 방식 하에서는 안전한 PC인지 검증을 먼저 마친 후 로그인이 가능한 것입니다. 또한 제로트러스트에서는 기기와 사용자가 검증되더라도 최소한의 신뢰만 부여합니다. 사용자가 애플리케이션에 대한 접근을 요청한 후 사용자의 신원이 검증되면 해당 애플리케이션에 대한 접근 권한만 부여합니다.

제로트러스트를 실현하기 위한 원칙 7가지

2021년 5월, 미국 조 바이든 대통령은 연방정부의 사이버 보안 현대화를 위해 제로트러스트를 채택하는 행정명령을 발표했는데요, 이 행정명령에 제로트러스트를 무려 11번 언급하여 화제가 되었습니다. 또한 미국 국립표준기술연구소(NIST)에서는 미국내 18개 대형 사이버 보안업체들에게 제로트러스트 시연 요청을 하였으며, 이를 실현하기 위한 기본 원칙을 7가지로 정리하여 발표하였으며 다음과 같습니다.

1. 모든 데이터와 컴퓨팅 서비스는 보호 대상입니다.

2. 모든 네트워크는 내부망/외부망에 관계없이 보호되어야 합니다.

3. 기업의 리소스에 대한 접근을 세션 단위로 허가합니다. 요청자를 평가한 후 접근을 허가하며, 작업을 완료하는 데 필요한 최소한의 권한으로만 접근을 허가해야 합니다.

4. 클라이언트 ID, 애플리케이션/서비스 및 요청 자산의 동적 정책에 따라 접근이 결정되며, 모든 단말기에 설치된 소프트웨어 버전, 네트워크 위치, 요청 시간 및 날짜, 이전에 관찰한 행동처럼 상세한 정보에 기반을 두어야 합니다.

5. 기업은 모든 자산의 무결성/보안 상태를 감시하고 조치해야 합니다.

6. 모든 리소스의 인증/인가를 실시한 후 접근을 허용합니다.

7. 기업은 자산, 네트워크 인프라, 현재 커뮤니케이션의 상태에 대해 가능한 많은 정보를 수집하고, 이를 활용하여 꾸준히 보안 상태를 개선해야 합니다.

점차 IT기술이 발전하고, 접근할 수 있는 방법도 함께 증가함에 따라 사이버 공격 또한 고도화되는데요. 따라서 사이버 보안 시스템 또한 새로운 환경에 맞춰 변화해야 할 것입니다. 이전에는 보안 위협을 예측할 수 있었다면, 지금은 예측할 수 없는 위협이 증가하고 있습니다. 이러한 환경에서 제로트러스트 보안은 앞으로 더 주목받을 수 있을 것입니다.

출처 및 참고자료

Zero trust architecture, NIST Special Publication 800-207