탐방 기술 분야

제로트러스트: 기존 보안을 넘어서 새로운 접근

초보항해사 2024. 11. 11. 13:37

IT, 특히 보안쪽은 너무 어렵습니다.

몇가지 자료를 보고 이해하려 해도 겉핥기 식의 이해정도 밖에 하지 못하겠으나,

이해한 만큼 작성해보았습니다.

 

우리는 스마트폰, 사물인터넷(IoT), 클라우드 환경이 일상적으로 사용되는 세상에 살고 있습니다. 여기에 코로나19로 비대면 근무와 원격 근무가 확산되면서 기존의 네트워크 보안 방식은 점점 더 한계를 드러내고 있습니다. 이러한 변화 속에서 기존의 보안 체계와는 근본적으로 다른 '제로트러스트(Zero Trust)'라는 새로운 보안 모델이 등장하게 되었습니다.

기존 보안 체계의 문제점

전통적인 보안 체계는 회사 내부와 외부의 네트워크를 구분하고, 외부에서 내부로 들어오는 접근을 차단하는 방화벽을 중심으로 구성되어 있습니다. 이는 내부 사용자는 신뢰하고 외부 사용자는 신뢰하지 않는 '경계 보안 모델'을 따릅니다. 그러나 이 접근은 다음과 같은 문제를 가지고 있습니다:

  1. 암묵적 신뢰: 내부 네트워크에 접속한 사용자와 기기는 높은 신뢰를 부여받습니다. 하지만 최근의 많은 공격들은 이러한 내부 신뢰를 악용하여 일어나고 있습니다. 공격자가 내부 시스템에 침투한 후 권한을 탈취해 다른 중요한 시스템으로 접근하는 '횡적 이동(Lateral Movement)' 공격이 대표적인 예입니다.
  2. 복잡한 접근 관리: 네트워크 경계가 점점 모호해지고, 사용자, 기기, 위치가 다변화하면서 기존의 경계 보안은 모든 접근을 안전하게 통제하기 어렵습니다. 특히 원격근무와 모바일 기기의 사용이 증가하면서 이런 문제는 더 두드러지고 있습니다.

제로트러스트의 개념

'제로트러스트'는 이름 그대로 "절대 신뢰하지 않고, 항상 검증한다(Never Trust, Always Verify)"는 철학을 중심으로 합니다. 제로트러스트 모델은 모든 네트워크 요청을 신뢰하지 않으며, 데이터와 컴퓨팅 자원 각각을 별도로 보호하고, 매번 인증을 요구합니다. 즉, 내부 사용자라도 접근 시에는 끊임없이 신뢰도를 평가하고 인증을 해야 하는 방식입니다.

출처 : 제로트러스트 가이드라인 1.0

제로트러스트의 보안 원리

제로트러스트 보안 모델은 기존의 경계 보안과는 다르게 다음과 같은 원칙을 따릅니다:

  • 최소 권한 부여(Least Privilege): 사용자는 오직 필요한 자원에만 접근할 수 있도록 권한이 제한됩니다.
  • 지속적 인증 및 모니터링: 각 접근 시마다 인증이 이루어지고, 이상 행동이 감지되면 추가 인증을 요구합니다.
  • 자원의 분리 및 보호: 보호할 모든 자원을 세분화하여 각각 별도로 보호하고, 접근 시마다 인증을 통해 보안을 유지합니다​

글로벌 제로트러스트 도입 현황

미국은 2021년 바이든 행정부가 "국가 사이버 보안 개선을 위한 행정 명령(Executive Order 14028)"을 통해 연방정부 차원의 제로트러스트 도입을 공식화했습니다. 이에 따라 2024년까지 연방정부의 모든 시스템에 제로트러스트 보안 체계를 도입하는 목표를 세웠습니다. 이러한 움직임은 많은 글로벌 기업들에도 영향을 미쳤습니다.

  • 구글(Google): 'BeyondCorp'이라는 제로트러스트 아키텍처를 구축해 내부 네트워크 없이도 안전한 접근이 가능하도록 했습니다.

출처 : 제로트러스트 가이드라인 1.0

  • 마이크로소프트(Microsoft): 제로트러스트 전략 도입을 위한 배포센터를 운영하며, 고객의 환경에 맞춘 단계별 도입 지침을 제공하고 있습니다​

출처 : 제로트러스트 가이드라인 1.0

시장의 반응

제로트러스트는 기존 보안 솔루션의 한계를 극복하고자 하는 많은 기업과 정부 기관에서 큰 관심을 받고 있습니다. 특히, 클라우드 환경의 확대와 원격 근무의 일반화로 인해 제로트러스트에 대한 수요는 지속적으로 증가하고 있습니다. 글로벌 보안 솔루션 기업인 팔로알토 네트웍스(Palo Alto Networks), 시스코(Cisco), 오카타(Okta) 등도 제로트러스트 보안 모델을 도입하고 있습니다.

결론

제로트러스트는 기존의 경계 보안 모델이 가진 취약점을 극복하고자 등장한 새로운 보안 패러다임입니다. 네트워크 내부와 외부의 경계를 없애고, 모든 접근 요청을 철저히 검증함으로써 보안성을 크게 향상시킵니다. 미국과 같은 주요 국가들의 정책적 지원과 글로벌 기업들의 도입으로 제로트러스트는 앞으로 사이버 보안의 표준이 될 가능성이 높습니다.

 

요즘같은 AI시대에 제로트러스트 보안기술이 어떻게 적용되는지 지켜보는 것도 재미 있을 것 같습니다.

반응형