‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 뜻의 제로트러스트에 대해 들어보셨나요? 제로트러스트는 명확한 인증을 거치기 전까지는 모든 사용자, 기기를 신뢰하지 않고 신뢰성을 검증하여 기업의 정보를 보호하는 보안모델입니다. 세계 3개 리서치 기업 중 하나인 포레스터 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 최초로 제안하였으며, 최근 사이버 보안업계에서 가장 화두가 되고 있기도 합니다.

전통적인 보안모델에서는 조직의 내·외부를 구분하여 내부자를 신뢰하였습니다. 그러나 제로트러스트는 내·외부 모두 공격자가 존재할 수 있다고 보며 모든 접근을 잠재적 보안 위협으로 바라보는 방식입니다. 따라서 내부 사용자 및 보안 시스템을 통과한 단말기라도 신뢰하지 않는다는 것이 기본 전제입니다.

제로트러스트 도입 현황

가트너에서 실시한 ‘2024년 제로트러스트 도입 현황’에 관한 설문조사 따르면 전세계 기업의 63%가 제로트러스트 전략을 완전히 혹은 부분적으로 도입한 것으로 나타났습니다. 제로트러스트는 세계 각국에서 새로운 보안 패러다임으로 자리잡고 있으며, 이를 가장 빠르게 구현하고 있는 국가는 미국입니다. 미국은 2014년과 2015년도에 두차례 연방정부 인사관리처에서 발생한 대량 개인정보 유출사고를 계기로 제로트러스트 보안 모델을 도입하였습니다. 2019년도에는 미국의 국립표준기술연구소(NIST)에서 제로트러스트의 정의, 원칙 등을 기술한 제로트러스트 아키텍처를 발표하였습니다. 2021년도에 바이든 정부의 행정명령을 통해 연방 부처와 기관에게 제로트러스트 모델을 도입하도록 하며 도입을 본격화하였습니다.

싱가포르는 ‘싱가포르 사이버 보안 전략 2021’을 통해 사이버 보안 현대화 전략으로 제로트러스트 도입원칙을 발표하였습니다. 영국은 2021년 7월 제로트러스트 아키텍처 설계 원칙을 발표하였으며, 일본은 2022년 6월 제로트러스트 아키텍처 적용 정책을 발표하였습니다.

제로트러스트 가이드라인

이처럼 세계 주요 국가에서 적극적으로 제로트러스트의 도입방안을 마련하고 있으며, 우리나라에서도 도입을 위한 가이드라인을 발표하였습니다. 과학기술정보통신부·한국인터넷진흥원(KISA)·한국제로트러스트포럼에서는 이번 12월 가이드라인 2.0을 공개하였습니다. 지난해 7월 공개된 제로트러스트 가이드라인1.0에서는 제로트러스트의 기본 개념과 원리, 핵심 원칙 등에 대한 설명을 통해 도입 필요성을 강조하였습니다. 이번에 발표된 가이드라인2.0에서는 도입을 위한 세부절차, 구체적 방법론 등 기업에서 제로트러스트 도입 시 실질적인 도움이 될 수 있는 내용들로 구성하였습니다.

제로트러스트 아키텍처

기업에서 제로트러스트 도입을 통해 달성하고자 하는 최종적인 목표는 기업망 및 내부 리소스에 대한 보호입니다. 제로트러스트 가이드라인에서는 제로트러스트 아키텍처의 기본 원리를 다음과 같이 정리하고 있습니다.

제로트러스트 아키텍처

제로트러스트 아키텍처 보안모델을 구성하는 논리구성요소인 정책결정지점(정책 엔진 및 관리자), 정책시행지점, 정책정보지점의 기능과 역할은 다음과 같습니다.

정책관리자(PA)는 정책엔진과 함께 정책결정지점(PDP)을 구성하며, PEP에 명령하여 접근주체와 리소스 사이의 통신 경로를 생성하거나 폐쇄합니다. 또한 세션에 대한 인증·인가 토큰을 생성하여 접근주체가 기업 리소스에 접근하는데 사용하도록 합니다. 정책시행지점(PEP)은 접근주체와 기업 리소스를 연결하고 모니터링하며 최종적으로 연결을 종료하는 논리 구성 요소입니다. 정책정보지점(PIP)은 신뢰도 판단에 도움이 될 수 있는 정보를 생성하는 시스템을 뜻합니다. 제로트러스트 아키텍처를 실행하는 기업이 접근 결정을 위해 활용할 수 있는 정보를 생성·전달하는 요소로, 기업 내부에서 운영하는 시스템과 외부 시스템 모두 가능합니다.

제로트러스트 아키텍처 보안 모델 및 논리 구성 요소

기업이 제로트러스트를 도입해야 하는 이유

제로트러스트 가이드라인에서는 기업이 제로트러스트를 도입해야 하는 이유에 대해서 다음과 같이 설명하고 있습니다.

      1. 안전한 비즈니스 목표 달성

기업에서는 보안성을 유지하면서도 새로운 비즈니스 모델에 유연한 제로트러스트 아키텍처를 설계·도입함으로써 안전한 비즈니스 목표를 달성할 수 있습니다. 지속적으로 변화하는 IT환경, 원격·재택근무의 증가, 클라우드환경의 확대 등의 급변하는 상황에서 보안을 유지하는 것은 중요합니다. 제로트러스트 아키텍처를 통해 안전한 환경을 제공하면서도 비즈니스 목표를 달성할 수 있도록 도움을 줄 수 있습니다.

       2. 비용 절감 효과 및 ROI(투자 대비 수익)

기업에 제로트러스트 아키텍처를 도입하는 경우 초기에는 투자 및 관리비용이 필요합니다. 그러나 장기적인 관점으로 볼 때 기업의 중요한 정보 및 디지털자산을 보호하고 보안사고를 대비할 수 있을 뿐만 아니라 인적자원 및 보안 관리비용을 절감할 수 있습니다.

       3. 현재 보안 환경의 취약점 및 한계 개선을 통한 위험 관리

미국 연방정부에서는 연방 인사관리처의 개인정보 유출 사고를 계기로 지속적인 검증을 통해 대응 능력을 강화하는 보안체계가 필요함을 확인하였습니다. 제로트러스트 아키텍처는 내부시스템이 공격받더라도, 접근에 대한 접속IP주소, 접속시간 등을 분석하여 비정상적 접근을 차단할 수 있습니다. 이러한 방식으로 제로트러스트는 기존의 보안체계의 한계를 보완할 수 있으며, 미래에 발생할 수 있는 보안사고에 대한 대응이 가능합니다.

      4. IT환경 변화에 대한 적응력

제로트러스트는 기업이 다른 환경에 빠르게 적응하고 변화할 수 있는 환경을 만들어줄 수 있습니다. 제로트러스트에서는 데이터에 대한 접근제어, 접근 기록 유지, 지속적 모니터링 등을 중요시하기 때문에, 이를 통해 법적 규제 및 보안 통제에서의 요구사항을 준수할 수 있습니다. 개인정보보호와 데이터 보안 규제들이 강화되고 있는 상황에서 규제 및 법에 대한 기업의 적응력과 신뢰성을 높일 수 있습니다.

      5. 기업 이미지 개선

기업은 제로트러스트 아키텍처를 도입함으로써 주요 정보를 보호할 수 있을 뿐만 아니라 이를 통해 기업에 대한 고객 신뢰도를 강화하고 긍정적인 이미지를 구축할 수 있습니다.

마치며

클라우드, 빅데이터, AI, IoT 등 핵심 IT기술들의 발전에 따라 보안의 중요성도 함께 확대되고 있습니다. 특히 비대면, 원격접속, 클라우드의 등장으로 보안 경계가 확대되었고, 검증된 대상에게만 최소 권한을 허용하는 제로 트러스트가 주목받고 있습니다. 제로트러스트 보안모델은 등장한지 14년이 지났지만 여전히 중요성이 확대되고 있으며, 사이버보안 분야에서 가장 주목받고 있는 개념입니다. 세계 주요 국가뿐만 아니라 우리나라에서도 기업·기관들의 제로트러스트의 적용을 권하고 있습니다. 기업에서는 제로트러스트의 적용을 통해 보안문제 해결 뿐만 아니라 비용절감과 비즈니스 목표까지 달성할 수 있을 것입니다.

출처 및 참고자료

국회입법조사처, 제로트러스트 새로운 보안 패러다임으로의 전환

과학기술정보통신부, KISA한국진흥원, 제로트러스트 가이드라인2.0