행위

제로 트러스트

라이언의 꿀팁백과

103.159.161.129 (토론)님의 2023년 7월 24일 (월) 09:20 판
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)

절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)’는 새로운 보안개념


기존 경계보안 솔루션은 내부망 접속 시 ‘선 접속, 후 인증’ 체계로 내부인력의 접속 시도에 특별한 경우에만 접근을 차단했다. 하지만 클라우드 기반 비대면 근무가 활발해진 지금은 적합하지 않다는 평가를 받아왔다.


기존 경계 기반 보안모델은 침입자가 내부자와 공모 또는 권한 탈취를 통해 정보시스템에 접속하고 나면 내부의 서버, 컴퓨팅 서비스, 데이터 등 모든 보호 대상에 추가 인증 없이 접속할 수 있다. 악의적 목적을 위해 데이터가 외부로 유출될 수 있기 때문이다. (링크)


---


제로 트러스트는 2010년 포레스터(Forrester) 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 창안했으'아무도 신뢰하지 않는다'는 원칙을 전제로 모든 접근을 잠재적 보안 위협으로 판단하는 개념이다. 기존 경계보안 방식에서 벗어나 분산 방화벽을 이용한 '초세분화(마이크로 세그멘테이션)' 등이 핵심이다.


이날 발족식에서 이석준 가천대 교수는 제로트러스트에 대해 "내부에도 공격자가 존재할 수 있다는 가정을 포함하는 개념"이라며 "공격을 원천 차단하는 것이 아닌 공격이 발생했더라도 파급 효과를 최소화한다는 의미도 포함된다"고 설명했다.

제로 트러스트란 '아무도 신뢰하지 않는다'는 것을 전제로 하는 사이버 보안 모델이다. 사용자나 기기의 접근을 철저히 검증하고 검증 후에도 최소한의 권한만 부여하는 방식이다.


기관·기업 등 조직을 내부와 외부로, 정보통신 서비스 생태계의 주체를 제공자와 이용자로 이분법적으로 나누는 종전까지의 '영역 중심' 보안 패러다임이 최근의 사이버 공격에 대응하기에 적절치 않다는 반성에서 태동된 것이다.


기존처럼 외부 공격을 방어하기 위한 영역보안이 아니라 네트워크 각 단계별 취약요소에 전부 대응할 수 있는 보안 패러다임으로 무게추가 옮겨가야 한다는 데 공감대가 커지고 있다.


미국에서는 연방기관에 SW 내장 제품을 납품할 때 SW 구성요소를 식별하기 위한 명세서인 SBOM(Softeware Bill of Materials)을 의무적으로 제출토록 하는 규제를 시행하기도 한다.

과기정통부, KISA가 산업계·학계 등 전문가들과 '제로트러스트·공급망 보안 포럼'을 꾸린 것도 이같은 동향에 발맞춰 국내 보안 패러다임의 전환을 도모하기 위한 것이다.


제로트러스트·공급망 보안 포럼은 운영위원회, 제로트러스트 분과(2개), 공급망 보안분과(2개)로 구성되며, 각 분과별로 정책·제도, 기술·표준과 산업 등의 관점에서 보안 관련 현안을 정책과제로 정해 관련 기술개발 연구, 실증사업 등을 통해 검증을 진행하고, 최종적으로는 국가 표준화를 목표로 추진할 계획이다.


제로트러스트와 관련해서는 올해 중 또는 내년 초에 걸쳐 국가 제로트러스트 아키텍처 가이드라인 개발을 마치고 지침서를 내년부터 개발한다는 방침이다. 관련 표준화 논의도 진행된다.