1. '제로트러스트 가이드라인 1.0'으로 바라본 제로트러스트 구현 전략

- 정보보안 영역에서의 패러다임 대전환으로 제로트러스트가 주목받음

> 비대면ㆍ디지털 전환 가속화: '언제 어디서든 누구나' 사이버 위협이 가능하며, 관리 대상의 증가

> 新환경ㆍ보안위협: 지능화 기술 확산으로 사이버 공격 은밀화ㆍ고도화

> 보안산업 외연 확대: 일상생활 전반에 정보보호 내재화 및 정보보호산업 육성을 위한 국가 차원 전략 마련

> 기존 경계 기반 보안모델의 한계: 최근 해킹 및 랜섬웨어 사례로 경계 기반 보안모델의 한계 부각

∴ 더 세밀한 인증체계, 보호 대상을 각각 분리ㆍ보호하고, 모든 접근 요구를 정확하게 제어하여 최소 권한을 부여할 수 있는 보안 체계 필요

 

- 제로트러스트

구분 설명
개념 접속요구가 있을 때 마다 네트워크가 이미 침해된 것으로 간주하고, '절대 믿지 말고, 계속 검증하라는 새로운 보안 개념'
※ 보호해야할 모든 데이터와 컴퓨팅 서비스를 자원으로 분리ㆍ보호하고 각 자원에 접속 요구마다 인증
핵심원칙 - 강화된 인증: ID/PW 외 다양한 인증 정보를 활용한 다중 인증 등 지속적 인증
- 마이크로 세크멘테이션: 서버ㆍ컴퓨팅 서비스 등을 중심으로 하는 작은 단위 분리
- 소프트웨어 정의 경계: 소프트웨어 기반으로 보호 대상 분리ㆍ보호
기본철학 - 모든 종류의 접근에 대해 신뢰하지 않을 것 (명시적인 신뢰 확인 후 리소스 접근 허용)
- 일관되고 중앙집중적인 정책 관리 및 접근제어 결정ㆍ실행 필요
- 사용자, 기기에 대한 관리 및 강력한 인증
- 자원 분류 및 관리를 통한 세밀한 접근제어 (최소 권한 부여)
- 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용
- 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰석 지속 검증ㆍ제어
대응방법 - 신뢰도 판단 전까지 모든 접근 비신뢰 및 접근 거부
- 내부자 행위 모니터링ㆍ감시ㆍ분석, 명확한 신뢰도 판단에 근거한 최소 권한 부여)
보안원리 - 해커가 내ㆍ외부 어디든 존재할 수 있으며, 모든 접속 요구는 신뢰할 수 없다는 가정하에 보호해야할 모든 데이터와 컴퓨팅 서비스를 각각의 자원으로 분리ㆍ보호, 인증 강화
접근제어 원리 - '제어 영역'과 '데이터 영역'을 구분하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)접속을 시행하는 정책시행지점(PEP)를 두고 운영

- 정책결정지점(Policy Decision Point)
> 정책엔진(Policy Engine): '신뢰도 평가 알고리즘' 기반으로 접근 주체가 리소스에 접근할 수 있을지를 최종 결정
> 정책관리자(Policy Administrator): 정책엔진의 결정을 정책시행지점에 알려주어 접근 주체와 리소스 사이의 통신 경로를 생성 또는 폐쇄
※ 신뢰도 평가 알고리즘: 접근정보(OS 버전, S/W, 권한 등), 특정기준, 가중치, 머신러닝 등 다양한 방식으로 신뢰도를 평가하는 알고리즘

- 정책시행지점(Policy Enforcement Point)
> 데이터 영역에서 접근 주체가 기업 리소스 접근 시 결정된 정책에 따라 최종적으로 연결-종료 역햘 담당

 

> NIST: 이미 침투당했다는 관점에서 정확한, 최소 권한의, 세션 단위 접근 결정을 강제하여 불확실성을 최소화하기 위해 설계된 개념과 아이디어의 집합

> DoD: 정적ㆍ네트워크 기반 경계로부터 사용자ㆍ자산ㆍ리소스에 중점을 둔 방어로 이동ㆍ진화하는 사이버 보안 패러다임의 집합

> 단순히 제품이나 기술의 구입ㆍ도입만으로는 달성할 수 없으며, 현재 환경의 객관적인 파악과 평가가 선행되어야 함

 

- 제로트러스트 가이드라인 1.0

> 22.10월 산ㆍ학ㆍ연ㆍ관 전문가들이 참여하는 '한국제로트러스트포럼' 구성

> 23.06월 국내외 기술동향 분석, 토론회 등 전문가 의견을 모아 제로트러스트 가이드라인 1.0 발간

구분 설명
발간목적 국내 정부ㆍ공공, 기업 관계자 등이 제로트러스트 아키텍처의 개념을 빠르고 쉽게 이해하여
향후 국내 정보통신 환경에 적합한 제로트러스트 보안체계를 도입할 수 있도록 지원
버전 요약본 - 일반인부터 전문가까지 폭넓은 대상층
- 의사 결정 과정에 포함된 모든 인력의 제로트러스트 이해와 인식
전체본 - 보안 전략수립 책임자 및 실무자
- 조직내 사이버보안 계획 수립, 운영 등을 담당하는 보안 담당자의 제로트러스트 전략 수립에 도움
발간원칙 - 미국 중심으로 논의된 제로트러스트 NIST 문서 등을 최대한 참고하며, 기본 철학 유지
- 국내 환경을 고려하여 핵심 요소(시스템) 및 도입 참조모델(원격근무 및 망분리) 추가
- 도입하고자 하는 환경이 모두 다르므로, 이를 모두 아우를 수 있도록 상위 수준에서 기술
- 조직내 모든 구성원을 대상으로 상세한 기술보다 더 쉽게 개념을 이해할 수 있도록 작성
핵심요소 - 해외사례, 금융망 및 국가 기반시설ㆍ공공 클라우드 보안 인증기준 등을 고려해 국내 환경에 적합한 핵심요소 6종 도출
① Identity&User: 사람, 서비스, IoT 기기 등을 고유하게 설명할 수 있는 속성(속성의 집합)
② Device&Endpoint: 네트워크에 연결하여 데이터를 주고 받는 모든 하드웨어 장치
③ Network: 데이터를 전송하기 위해 사용되는 모든 형태의 통신 매체
④ System: 응용 프로그램을 구동하거나 중요 데이터를 저장하고 관리하는 서버
⑤ Application&Workload: 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서 실행되는 서비스
⑥ Data: 기업(기관)에서 가장 최우선적으로 보호해야 할 자원
성숙도 모델 - 국내 환경에 적합한 성숙도 3단계 모델과 함께 핵심요소별 성숙도 모델 제시
① 기존(Traditional)
> 아직 제로트러스트 아키텍처를 적용하지 않은 수준
> 대체로 네트워크 방어에 초점을 맞춘 경계 기반 보안모델이 적용되어 있는 상태
> 정교한 공격, 내부자 공격 등 일부 취약성을 지님

② 향상(Advanced)
> 제로트러스트 철학을 부분적으로 도입한 수준
> 제로트러스트 원칙이 보안 아키텍처에서 핵심 기능이 되는 상태
> 최소 권한 접근, 네트워크 분할, 로깅 및 모니터링 등 부분적으로 적용되어 기존보다 높은 보안성 달성

③ 최적화(Optimal)
> 제로트러스트 철학이 전사적으로 적용된 상태
> 자동화 운영, 네트워크 세분화, 지속 접근 제어 등 보안성이 크게 개선

 

- 제로트러스트 도입

> 많은 자원, 시간, 소요예산 등이 필요한 작업으로 충분한 검토 및 체계적인 준비가 필요하며, 도입 계획 수립 필요

> 보유 자원에 대한 보안 위협을 줄이기 위한 절차로 위험 관리 프레임워크(NIST)와 연계하여 검토 가능

 

2. 제로 트러스트 아키텍처의 핵심 솔루션 ‘Micro Segmentation’

- 제로트러스트 도입 근거

> 현대화된 Hybrid Cloud Infrastructure: On-Prem 환경에서 Cloud 환경으로 이전 또는 혼용

> 확인되지 않는 Attack 시퀀스: 공격의 지능화 및 고도화로 공격의 순서도를 파악하기 어려움

 

- 제로트러스트 관련 솔루션

> Micro Segmentation: East-West Traffic 보호

> ZTNA(ZeroTrust Network Access): North-South Traffic 보호

> MFA: 다중인증 

> SWG(Secure Web Gateway): Internet Access 보호

 

- Micro Segmentation

> 제로트러스트의 핵심 솔루션으로, 랜섬웨어 확산 방지의 장점을 지님

> Gartner: 제로트러스트 구축시 가장 초기 단계 중 하나로 워크로드 세그먼테이션 강조

> Forrester: 마이크로세그멘테이션은 제로트러스트 필수 요소

> 과학기술정보통신부: 제로트러스 구현 핵심원칙으로 마이크로 세그멘테이션 강조

 

※ 단계 예시

① Environment Segmentation (망분할)

② Critical Application Ring-Fencing (중요 어플리케이션 분할)

③ Critical Application Micro Segmentation (어플리케이션 자체 분할)

④ Third-Party Access Control (협력사)

⑤ Identity-Based Access Control (사용자)

 

※ Micro Segmentation 구현을 위한 Forrester 5단계

① Sensitive Data 식별: 중요 데이터 식별

② Sensitive Data Flow의 도식화: 데이터 흐름 시각화

③ Zero Trust 마이크로 경계 설계: 최적의 경계 설계

④ 보안분석을 통한 Zero Trust 생태계의 지속적인 모니터링: 설계된 경계에서 발생하는 보안 인벤트 모니터링

⑤ Security 자동화 및 오케스트레이션 수용: Third-Party 연동

 

> 도입효과

① 기술적 관점: 대부분의 보안 사고(85%)는 내부에서 발생 (Cisco 연구 조사 결과)

② 비즈니스적 관점: 공격 표면 감소, 비용 절감, 일관된 정책 구축, 비즈니스 연속성 보장, 운영 효율성 향상, 안전한 디지털 전환

'대외활동' 카테고리의 다른 글

네이버 프라이버시 세미나 - 2023 네이버 프라이버시 백서 주제 발표  (0) 2024.02.01
소프트웨이브 2023  (0) 2023.11.30
제7회 금융보안원 논문공모전  (0) 2023.09.01
제2회 사이버안보 정책 포럼  (0) 2023.07.25
제22회 세계 보안 엑스포(SECON 2023)  (0) 2023.03.31
요약 - 2022.12.05 페이코(PAYCO)에서 서명키가 유출 및 2022.12.06 저녁 신규 서명키가 적용된 페이코 앱의 업데이트를 완료
※ NHN에서 결제수단을 사전에 등록해두고 등록한 결제수단을 통해 신속하게 결제하는 간편결제 서비스
 서명키: 안드로이드 앱을 제공하는 구글 플레이(Google Play)에서 사용자 기기로 전달되는 APK 서명에 사용하는 키
내용 - NHN페이코는 2022.12.05일 홈페이지에 공지 게시
> ‘구글 서명키 관련 보도에 대해 안내 드립니다’
> 구글 플랫폼에서 운영되는 페이코 서명키가 외부로 유출
> 스토어를 통해 정상적으로 페이코 앱을 다운받은 회원의 개인정보 및 결제정보 유출은 전혀 없음
> 현재까지 해당 사안과 관련된 피해 사례도 확인된 바 없음
> 사안 인지 후 서명키 변경 작업 및 신규 서명키를 적용한 최신 버전 업데이트를 제공할 예정_2022.12.06 완료

- 보안 솔루션 기업 에버스핀이 주요 고객사에 페이코 서명키 유출로 인한 악성 애플리케이션 제작 및 유포 주의를 당부하면서 알려짐
> 해당 서명키 유출은 지난 8월 1일부터 11월 30일까지 무려 4개월 동안 이어짐
> 이 기간에 유출된 서명키를 통해 생성된 악성코드는 5,144건 탐지 및 유출 경로는 확인되지 않음
> 해당 서명키로 제작된 악성 앱의 숫자는 100여개로 추정

- 구글 서명키는 앱 개발사들이 플레이스토어에 앱을 등록하고 배포할 때 특정 개발사 앱임을 증명하는 도구
> 앱 이용자의 개인정보와는 관련이 없음
> 서명키 유출에 따른 악성앱 관련 피해는 문자나 메신저 등 비정상적 경로를 통해 설치된 경우 발생할 수 있는 문제
> 정상적인 경로로 내려받아 설치한 앱은 이번 서명키 유출과 관계없이 안전

- NHN페이코는 8월 구글 서명키 유출을 인지한 직후부터 유출된 서명키로 생성되는 앱의 악성행위 여부를 탐지할 수 있게 조치하고 있었음
> 고객의 불안감을 해소하기 위해 서비스 공지사항과 앱 내 배너 등을 통해 기존 앱을 삭제하고 재설치 적극 권장
> 스토어에 등록된 정식 앱 외에 기존 서명키로 제작된 모든 앱을 악성 앱으로 탐지 및 차단하는 방안 추가 검토
결과 - 금융보안원이 일부 보안기업과 서명키 유출에 대한 패턴을 공유
> 이는 서명키 유출에 대한 블랙리스트 패턴을 긴급하게 등록해 확산을 방지하기 위한 적절한 긴급조치

- 금융보안원은 이번 페이코 서명키 도난사건의 경우 8월경 정보를 확인
> 해당 정보를 보안기업들에게 공유해 공격에 대비

- NHN페이코
> 8월에 서명키 탈취 사실을 인지하고 계속 교체 작업을 진행
> NHN이 서비스하는 전체 서명키를 교체

- 정식 서명키를 획득하거나 탈취하려는 해커들의 움직임은 2023년에 보다 거세질 것
> 2022.12에 알려진 NHN페이코의 서명키 유출사건과 마이크로소프트의 디지털 서명 도난사건
> 마이크로소프트의 디지털 서명 도난사건
  NHN페이코 사건과는 비교되지 않을 정도로 미칠 파장이 크고, 이에 따른 보안 위협은 현재진행형
  악성 드라이버 인증 > 인증을 받아 보안 솔루션들 우회 및 악성 드라이버들이 랜섬웨어 등 사이버 공격 정황 포착

> 소프트웨어에 디지털 서명을 하거나 정식 서명키를 보유 = 신뢰가능한 제품을 인증
> 운영체제(OS)가 이 서명을 보고 해당 소프트웨어의 실행을 허용할지 말지를 결정
> 때문에, 불법 소프트웨어라고 하더라도 정상 서명키만 보유하고 있으면 보안 검사 통과

> 정상 서명키를 악용한 사이버 공격이 증가할 것이라는 전망은 다크웹 시장에서도 미리 예측 가능
> 올해(2022) 중반부터 각종 소프트웨어의 정상 서명키들이 다크웹에서 활발하게 거래되는 정황을 파악

∴ 해커들이 보안 감시망을 유유히 뚫을 수 있는 최고의 수단으로 정식 서명키가 가장 효과적이라는 사실을 인식
> 기업 입장에서는 ‘제로트러스트(Zero Trust)’에 대한 관심과 인증 보안 강화 이슈가 더욱 커질 것
※ 제로트러스트(Zero Trust)
    2010년 포레스터 리서치 보안위협팀의 존 킨더백 수석 애널리스트가 제안한 모델
    '신뢰하지 말고 항상 검증할 것'이라는 원칙을 바탕
    사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략
    보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제
    모든 유효성을 다 입증한 다음에 최소한의 권한만을 부여해 접근을 허용
> 2단계 인증을 기본으로 사용자 인증과 검증을 강화하는 인증 보안체계 확립이 보안 강화를 위한 숙제

 

보안뉴스

 

NHN 간편결제 앱 페이코 서명키 유출... “개인정보 유출은 없어”

NHN에서 결제수단을 사전에 등록해두고 온라인 쇼핑 때마다 등록한 결제수단을 통해 신속하게 결제하는 간편결제 서비스인 페이코(PAYCO)에서 서명키가 유출됐다.

www.boannews.com

 

NHN페이코, “6일자로 신규 서명키 적용 페이코 앱 업데이트 완료”

간편결제 서비스를 제공하고 있는 NHN페이코는 7일 신규 서명키가 적용된 페이코 애플리케이션의 업데이트가 완료됐다고 밝혔다. 앞서 지난 5일부터 페이코 앱의 구글 서명키가 유출돼 이를 활

www.boannews.com

 

NHN페이코의 서명키 유출 둘러싼 오해와 진실... ‘공포마케팅’ 논란 커져

NHN페이코 서명키 유출사건과 관련한 E사의 연이은 보도자료 발표와 관련해 <보안뉴스>에서 보안전문 기업 및 보안전문가들을 대상으로 취재해본 결과, E사의 주장과는 다른 부분이 많았다. 심지

www.boannews.com

 

[2023 보안 핫키워드-10] NHN페이코와 MS의 서명키 탈취 사건, 2023년의 서막일 뿐?

해커들이 촘촘한 보안 감시망을 유유히 뚫을 수 있는 최고의 수단으로 정식 서명키가 가장 효과적이라는 사실을 절실히 인식하게 된 셈이다. 이 때문에 정식 서명키를 획득하거나 탈취하려는

www.boannews.com

'보안뉴스' 카테고리의 다른 글

LG유플러스, 디도스 공격으로 또 인터넷 장애... 11만명 개인정보 유출도 추가 확인 외 3건  (3) 2023.02.05
하이브 랜섬웨어 일망타진한 국제 수사기관들, 피해자들도 구제  (1) 2023.02.04
[긴급] 중국 해커조직, 한국 정부·공공기관 타깃 대규모 해킹 작전 선포 외 10건  (0) 2023.01.27
노턴 라이프락 계정에 대한 크리덴셜 스터핑 공격, 통했다  (0) 2023.01.16
PyPI 통한 공급망 공격이 성공하여 파이토치에까지 멀웨어 심겨져  (0) 2023.01.04

+ Recent posts

티스토리툴바