1. '제로트러스트 가이드라인 1.0'으로 바라본 제로트러스트 구현 전략
- 정보보안 영역에서의 패러다임 대전환으로 제로트러스트가 주목받음
> 비대면ㆍ디지털 전환 가속화: '언제 어디서든 누구나' 사이버 위협이 가능하며, 관리 대상의 증가
> 新환경ㆍ보안위협: 지능화 기술 확산으로 사이버 공격 은밀화ㆍ고도화
> 보안산업 외연 확대: 일상생활 전반에 정보보호 내재화 및 정보보호산업 육성을 위한 국가 차원 전략 마련
> 기존 경계 기반 보안모델의 한계: 최근 해킹 및 랜섬웨어 사례로 경계 기반 보안모델의 한계 부각
∴ 더 세밀한 인증체계, 보호 대상을 각각 분리ㆍ보호하고, 모든 접근 요구를 정확하게 제어하여 최소 권한을 부여할 수 있는 보안 체계 필요
- 제로트러스트
| 구분 | 설명 |
| 개념 | 접속요구가 있을 때 마다 네트워크가 이미 침해된 것으로 간주하고, '절대 믿지 말고, 계속 검증하라는 새로운 보안 개념' ※ 보호해야할 모든 데이터와 컴퓨팅 서비스를 자원으로 분리ㆍ보호하고 각 자원에 접속 요구마다 인증 |
| 핵심원칙 | - 강화된 인증: ID/PW 외 다양한 인증 정보를 활용한 다중 인증 등 지속적 인증 - 마이크로 세크멘테이션: 서버ㆍ컴퓨팅 서비스 등을 중심으로 하는 작은 단위 분리 - 소프트웨어 정의 경계: 소프트웨어 기반으로 보호 대상 분리ㆍ보호 |
| 기본철학 | - 모든 종류의 접근에 대해 신뢰하지 않을 것 (명시적인 신뢰 확인 후 리소스 접근 허용) - 일관되고 중앙집중적인 정책 관리 및 접근제어 결정ㆍ실행 필요 - 사용자, 기기에 대한 관리 및 강력한 인증 - 자원 분류 및 관리를 통한 세밀한 접근제어 (최소 권한 부여) - 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용 - 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰석 지속 검증ㆍ제어 |
| 대응방법 | - 신뢰도 판단 전까지 모든 접근 비신뢰 및 접근 거부 - 내부자 행위 모니터링ㆍ감시ㆍ분석, 명확한 신뢰도 판단에 근거한 최소 권한 부여) |
| 보안원리 | - 해커가 내ㆍ외부 어디든 존재할 수 있으며, 모든 접속 요구는 신뢰할 수 없다는 가정하에 보호해야할 모든 데이터와 컴퓨팅 서비스를 각각의 자원으로 분리ㆍ보호, 인증 강화 |
| 접근제어 원리 | - '제어 영역'과 '데이터 영역'을 구분하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)와 접속을 시행하는 정책시행지점(PEP)를 두고 운영 - 정책결정지점(Policy Decision Point) > 정책엔진(Policy Engine): '신뢰도 평가 알고리즘' 기반으로 접근 주체가 리소스에 접근할 수 있을지를 최종 결정 > 정책관리자(Policy Administrator): 정책엔진의 결정을 정책시행지점에 알려주어 접근 주체와 리소스 사이의 통신 경로를 생성 또는 폐쇄 ※ 신뢰도 평가 알고리즘: 접근정보(OS 버전, S/W, 권한 등), 특정기준, 가중치, 머신러닝 등 다양한 방식으로 신뢰도를 평가하는 알고리즘 - 정책시행지점(Policy Enforcement Point) > 데이터 영역에서 접근 주체가 기업 리소스 접근 시 결정된 정책에 따라 최종적으로 연결-종료 역햘 담당 |
> NIST: 이미 침투당했다는 관점에서 정확한, 최소 권한의, 세션 단위 접근 결정을 강제하여 불확실성을 최소화하기 위해 설계된 개념과 아이디어의 집합
> DoD: 정적ㆍ네트워크 기반 경계로부터 사용자ㆍ자산ㆍ리소스에 중점을 둔 방어로 이동ㆍ진화하는 사이버 보안 패러다임의 집합
> 단순히 제품이나 기술의 구입ㆍ도입만으로는 달성할 수 없으며, 현재 환경의 객관적인 파악과 평가가 선행되어야 함
- 제로트러스트 가이드라인 1.0
> 22.10월 산ㆍ학ㆍ연ㆍ관 전문가들이 참여하는 '한국제로트러스트포럼' 구성
> 23.06월 국내외 기술동향 분석, 토론회 등 전문가 의견을 모아 제로트러스트 가이드라인 1.0 발간
| 구분 | 설명 | |
| 발간목적 | 국내 정부ㆍ공공, 기업 관계자 등이 제로트러스트 아키텍처의 개념을 빠르고 쉽게 이해하여 향후 국내 정보통신 환경에 적합한 제로트러스트 보안체계를 도입할 수 있도록 지원 |
|
| 버전 | 요약본 | - 일반인부터 전문가까지 폭넓은 대상층 - 의사 결정 과정에 포함된 모든 인력의 제로트러스트 이해와 인식 |
| 전체본 | - 보안 전략수립 책임자 및 실무자 - 조직내 사이버보안 계획 수립, 운영 등을 담당하는 보안 담당자의 제로트러스트 전략 수립에 도움 |
|
| 발간원칙 | - 미국 중심으로 논의된 제로트러스트 NIST 문서 등을 최대한 참고하며, 기본 철학 유지 - 국내 환경을 고려하여 핵심 요소(시스템) 및 도입 참조모델(원격근무 및 망분리) 추가 - 도입하고자 하는 환경이 모두 다르므로, 이를 모두 아우를 수 있도록 상위 수준에서 기술 - 조직내 모든 구성원을 대상으로 상세한 기술보다 더 쉽게 개념을 이해할 수 있도록 작성 |
|
| 핵심요소 | - 해외사례, 금융망 및 국가 기반시설ㆍ공공 클라우드 보안 인증기준 등을 고려해 국내 환경에 적합한 핵심요소 6종 도출 ① Identity&User: 사람, 서비스, IoT 기기 등을 고유하게 설명할 수 있는 속성(속성의 집합) ② Device&Endpoint: 네트워크에 연결하여 데이터를 주고 받는 모든 하드웨어 장치 ③ Network: 데이터를 전송하기 위해 사용되는 모든 형태의 통신 매체 ④ System: 응용 프로그램을 구동하거나 중요 데이터를 저장하고 관리하는 서버 ⑤ Application&Workload: 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서 실행되는 서비스 ⑥ Data: 기업(기관)에서 가장 최우선적으로 보호해야 할 자원 |
|
| 성숙도 모델 | - 국내 환경에 적합한 성숙도 3단계 모델과 함께 핵심요소별 성숙도 모델 제시 ① 기존(Traditional) > 아직 제로트러스트 아키텍처를 적용하지 않은 수준 > 대체로 네트워크 방어에 초점을 맞춘 경계 기반 보안모델이 적용되어 있는 상태 > 정교한 공격, 내부자 공격 등 일부 취약성을 지님 ② 향상(Advanced) > 제로트러스트 철학을 부분적으로 도입한 수준 > 제로트러스트 원칙이 보안 아키텍처에서 핵심 기능이 되는 상태 > 최소 권한 접근, 네트워크 분할, 로깅 및 모니터링 등 부분적으로 적용되어 기존보다 높은 보안성 달성 ③ 최적화(Optimal) > 제로트러스트 철학이 전사적으로 적용된 상태 > 자동화 운영, 네트워크 세분화, 지속 접근 제어 등 보안성이 크게 개선 |
|
- 제로트러스트 도입
> 많은 자원, 시간, 소요예산 등이 필요한 작업으로 충분한 검토 및 체계적인 준비가 필요하며, 도입 계획 수립 필요
> 보유 자원에 대한 보안 위협을 줄이기 위한 절차로 위험 관리 프레임워크(NIST)와 연계하여 검토 가능
2. 제로 트러스트 아키텍처의 핵심 솔루션 ‘Micro Segmentation’
- 제로트러스트 도입 근거
> 현대화된 Hybrid Cloud Infrastructure: On-Prem 환경에서 Cloud 환경으로 이전 또는 혼용
> 확인되지 않는 Attack 시퀀스: 공격의 지능화 및 고도화로 공격의 순서도를 파악하기 어려움
- 제로트러스트 관련 솔루션
> Micro Segmentation: East-West Traffic 보호
> ZTNA(ZeroTrust Network Access): North-South Traffic 보호
> MFA: 다중인증
> SWG(Secure Web Gateway): Internet Access 보호
- Micro Segmentation
> 제로트러스트의 핵심 솔루션으로, 랜섬웨어 확산 방지의 장점을 지님
> Gartner: 제로트러스트 구축시 가장 초기 단계 중 하나로 워크로드 세그먼테이션 강조
> Forrester: 마이크로세그멘테이션은 제로트러스트 필수 요소
> 과학기술정보통신부: 제로트러스 구현 핵심원칙으로 마이크로 세그멘테이션 강조
※ 단계 예시
① Environment Segmentation (망분할)
② Critical Application Ring-Fencing (중요 어플리케이션 분할)
③ Critical Application Micro Segmentation (어플리케이션 자체 분할)
④ Third-Party Access Control (협력사)
⑤ Identity-Based Access Control (사용자)
※ Micro Segmentation 구현을 위한 Forrester 5단계
① Sensitive Data 식별: 중요 데이터 식별
② Sensitive Data Flow의 도식화: 데이터 흐름 시각화
③ Zero Trust 마이크로 경계 설계: 최적의 경계 설계
④ 보안분석을 통한 Zero Trust 생태계의 지속적인 모니터링: 설계된 경계에서 발생하는 보안 인벤트 모니터링
⑤ Security 자동화 및 오케스트레이션 수용: Third-Party 연동
> 도입효과
① 기술적 관점: 대부분의 보안 사고(85%)는 내부에서 발생 (Cisco 연구 조사 결과)
② 비즈니스적 관점: 공격 표면 감소, 비용 절감, 일관된 정책 구축, 비즈니스 연속성 보장, 운영 효율성 향상, 안전한 디지털 전환
'대외활동' 카테고리의 다른 글
| 네이버 프라이버시 세미나 - 2023 네이버 프라이버시 백서 주제 발표 (0) | 2024.02.01 |
|---|---|
| 소프트웨이브 2023 (0) | 2023.11.30 |
| 제7회 금융보안원 논문공모전 (0) | 2023.09.01 |
| 제2회 사이버안보 정책 포럼 (0) | 2023.07.25 |
| 제22회 세계 보안 엑스포(SECON 2023) (0) | 2023.03.31 |