기사

제로 트러스트 보안 가이드: 제로 트러스트란?

Zero trust
소요 시간: 7 분

제로 트러스트란?

제로 트러스트란 기업 네트워크 내부와 외부에 존재하는 모든 아이덴티티(사람, 기기, 사용자로 지정된 모든 엔티티)가 데이터와 애플리케이션에 액세스하기 전, 그리고 액세스되어 있는 도중에도 인증, 승인을 완료하고 지속적으로 검증을 받아야 하는 IT 보안 프레임워크입니다. 이는 로컬, 클라우드, 하이브리드 조직 네트워크 모두와 전 세계에 위치한 모든 사용자에게 적용됩니다.

기존 IT 네트워크 보안은 네트워크 내부에 들어온 모든 아이덴티티를 신뢰하므로, 이에 의존하는 기업은 오늘날의 사이버 환경에서 다음과 같은 취약성을 갖게 됩니다.

  • 원격, 하이브리드 및 비직원(도급업체 및 기타 제삼자) 액세스
  • 다양한 데이터, 애플리케이션, 네트워크 기기 및 위치
  • 클라우드로의 마이그레이션
  • 데이터 유출 및 랜섬웨어 공격

네트워크 내부로 침투한 악의적인 내부자는 횡적 이동을 통해 각종 리소스에 쉽게 액세스할 수 있습니다. 하지만 제로 트러스트를 채택하면 네트워크 내부의 사용자조차 신뢰를 받지 못하며, 지속적으로 검증을 받아야만 원래 부여된 애플리케이션과 데이터에 계속 액세스할 수 있습니다.

제로 트러스트는 기업이 항상 내외부 위협에 노출되어 있다고 가정합니다. 이러한 가정으로부터 위협을 완화하기 위한 계획적이고 체계적인 접근법이 도입됩니다. 조직 리소스에 대한 기존의 액세스 권한을 보유한 사용자를 포함해 그 누구도 신뢰하지 않는 제로 트러스트 모델은 현대 기업에 보안 기반을 제공합니다.

제로 트러스트 및 NIST

제로 트러스트 아키텍처를 주제로 하는 미국 국립표준기술원(NIST)의 특별 간행물 800-207은 ‘엔터프라이즈 환경으로 제로 트러스트 보안 개념을 마이그레이션하고 배포하기 위한 로드맵을 제공합니다(p. iii).’ 해당 자료는 조직이 참고할 수 있는 표준을 제공하지만, ‘[제로 트러스트 아키텍처]에 관한 유일의 배포 계획을 제시하려는 목적은 아닙니다(p. iii).’

이 글을 작성하고 있는 현재 NIST의 특별 간행물 1800-35는 초안 형식으로 제공되고 있으며 의견 수렴을 진행하고 있습니다. 해당 간행물은 제로 트러스트 아키텍처로 전환하고자 하는 전략을 수립 중인 독자를 위한 참고 자료입니다. 해당 가이드의 각 섹션은 IT 리더십부터 관리자 및 전문가에 이르는 다양한 조직 내 역할에 맞게 구성되어 있습니다.

NIST 표준은 자체 매뉴얼을 따르는 여러 전문가의 피드백을 기반으로 계속해서 진화하고 있습니다. 이는 모든 공급업체에 적용되며 광범위하지만, 모든 사용 사례를 다룰 순 없으므로 포괄적인 표준은 아닙니다. NIST의 제로 트러스트 표준은 정부 기관뿐만 아니라 모든 조직을 지원하는 데 사용할 수 있습니다.

NIST NCCoE(National Cybersecurity Center of Excellence)의 목표는 제로 트러스트 개념을 이해하고 일반적인 비즈니스 사례에서 제로 트러스트 아키텍처를 구현하는 데 따른 어려움을 완화하는 것입니다. NCCoE는 제로 트러스트의 다음과 같은 측면에 초점을 맞춥니다.

  • 네트워크 경계를 기반으로 내부의 모든 사용자에게 액세스 권한을 제공하는 기존 보안 접근법에서, 리소스 위치와 관계없이 제한적이고 변경 가능하며 위험에 따라 액세스를 제어하는 방식으로 전환
  • 조직의 투자 우선순위 평가, 사용자 경험에 미치는 영향 평가 등 제로 트러스트 아키텍처 실행과 관련된 문제를 파악하고 관리
  • 원격 팀 지원, 내부자 위협 및 데이터 유출 완화, 가시성 향상 등 제로 트러스트 구현을 통해 기업이 누릴 수 있는 이점 실현

제로 트러스트 운영 방식

제로 트러스트 모델은 아무도 믿지 않는다는 간단한 원칙을 기본 전제로 합니다. 위에서 설명한 대로 이는 기존의 모델, 즉 네트워크 경계를 중심으로 구축되어 액세스 권한이 부여되는 자격 증명을 보유한 사용자는 안전하다고 가정하는 모델에서 근본적으로 변화한 모델입니다. 제로 트러스트 모델은 네트워크 내부의 아이덴티티를 포함한 모든 아이덴티티를 위협으로 간주합니다.

아이덴티티 검증을 보안의 기반으로 삼을 때 온프레미스, 퍼블릭 클라우드, 하이브리드를 포함하는 모든 환경의 보안이 강화됩니다.

제로 트러스트를 도입하면 애플리케이션과 서비스가 네트워크를 통해 안전하게 통신할 수 있습니다. 또한 비즈니스 정책을 바탕으로 인간, 기기, 애플리케이션을 비롯한 모든 아이덴티티에 필요한 데이터와 애플리케이션에 대한 액세스를 부여할 수 있습니다. 제로 트러스트 아키텍처는 다음과 같은 컨텍스트를 바탕으로 액세스 정책을 적용함으로써 승인되지 않은 액세스와 공격자의 횡적 이동을 방지합니다.

  • 사용자의 역할과 위치
  • 사용자의 기기
  • 사용자가 요청하는 데이터

제로 트러스트 프레임워크를 구현하면 다단계 인증, 아이덴티티 보안, 엔드포인트 보안, 동적 클라우드 기반 서비스와 같은 정교한 도구를 결합하여 기업의 사용자, 데이터, 시스템을 모든 액세스 지점에서 보호할 수 있습니다.

제로 트러스트 아키텍처

제로 트러스트 아키텍처는 기업의 가장 중요한 리소스를 보호하는 일반 프레임워크입니다. 이는 모든 연결과 엔드포인트를 위협으로 간주함에 따라 다음과 같이 운영됩니다.

  • 네트워크 액세스 관리 및 제한
  • 기본적으로 애플리케이션과 데이터에 액세스할 수 없게 함
  • 액세스 허용이 기업의 보안 정책에 부합하느냐에 따라 모든 연결을 검증하고 승인
  • 파일 전송 도중에 파일을 검사하기에 감염된 파일을 뒤늦게 감지할 수 있는 방화벽과는 달리, 전송하기 전에 연결을 종료한 다음 파일을 평가하는 방식을 사용
  • 최대한 많은 데이터 소스의 컨텍스트를 활용하여 모든 조직 네트워크 트래픽을 기록, 검토, 모니터링
  • 네트워크 자산에 대한 검증 및 보호

제로 트러스트 아키텍처는 직무 수행에 필요한 정도로만 사용자 액세스를 허용하는 최소 권한 액세스 원칙을 따릅니다. 예를 들어 마케팅 부서 소속 직원은 기업의 고객 관계 관리(CRM) 소프트웨어상의 민감한 고객 데이터에 꼭 액세스해야 할 필요는 없습니다.

제로 트러스트 사용 사례

제로 트러스트는 수년간 권장되어 온 모델로서, 사이버 위협이 늘어나고 기업이 안전한 디지털 전환 환경을 마련해야 할 필요성이 증가함에 따라 지속해서 발전 및 체계화되고 있습니다. 제로 트러스트의 주요 사용 사례는 다음과 같습니다.

  • 규제 컴플라이언스 및 관련 감사 과제, 사이버 보안 보험 유지의 어려움, 보안 운영 센터(SOC) 문제, 다단계 인증으로 인한 사용자 경험 저하와 같은 조직의 당면 과제 해결
  • 강력한 인증 및 권한 부여 프로토콜을 갖추지 못했거나 네트워크 및 리소스 통신 방식에 대한 가시성을 확보하지 못했거나 과도한 소프트웨어 및 서비스 프로비저닝으로 어려움을 겪는 기업의 조직적 위험 완화
  • 다중 아이덴티티, 클라우드, 멀티 클라우드, 하이브리드 환경 및 SaaS 애플리케이션, 레거시 시스템, 관리되지 않는 기기가 존재하는 인프라 모델 보호
  • 신입 직원의 온보딩과 오프보딩을 빠르고 안전하게 처리하고, 사용자의 역할이 바뀔 때 액세스 권한을 원활하게 부여하고 취소함
  • 원격 작업 작업은 물론, 조직의 IT 팀에서 관리하지 않는 컴퓨터를 사용하는 도급업체 및 기타 제삼자와 같은 비직원의 보안까지 지원
  • 데이터 유출, 랜섬웨어, 내부자 위협, 섀도 IT 또는 공급망 공격과 같은 기존의 위협 해결

데이터 백업, 신용카드 정보, 개인 데이터와 같은 민감한 정보를 중심으로 경계를 구축하는 제로 트러스트 마이크로세그멘테이션을 통해 데이터 유형을 적절하게 분류하고, 감사 및 데이터 침해 발생 시 향상된 가시성과 관리 기능 제공
제로 트러스트 모델의 핵심 원칙

지속적인 모니터링과 검증

제로 트러스트의 핵심 개념은 애플리케이션을 신뢰해도 좋다고 가정할 수 없으므로 지속적인 런타임 모니터링을 통해 동작을 검증해야 한다는 것입니다. 지속적인 검증이란 기업이 모든 리소스에 대한 액세스를 지속적으로 인증해야 한다는 의미로서, ‘신뢰할 수 있는’ 자격 증명, 영역, 기기는 존재하지 않는다고 간주하는 것입니다.

광범위한 리소스를 지속적으로 검증하려면 위험 수준이 달라질 때만 워크플로가 중단되도록 하는 위험 기반 조건부 액세스를 통해 사용자 경험을 저해하지 않으면서 지속적인 검증을 수행해야 합니다. 또한 기업은 사용자, 정보, 워크로드의 빈번한 이동해 대비하여 위험, 컴플라이언스, IT 관련 고려 사항을 반영해 확장성을 갖춘 유동적 정책 모델을 배포해야 합니다.

마이크로세그멘테이션

마이크로세그멘테이션이란 보안 경계를 작은 섹터들로 분리해 각 네트워크 구역에 대한 별도의 액세스를 만드는 프로세스입니다. 이때 특정 구역에 액세스할 수 있는 사용자나 애플리케이션은 추가 권한을 받지 않는 한 다른 구역에 액세스할 수 없습니다.

횡적 이동 방지

제로 트러스트의 핵심 중 하나는 횡적 이동을 방지하는 것입니다. 횡적 이동이란 네트워크에 진입한 사이버 공격자가 네트워크 내의 다른 지점으로 옮겨가는 것을 말합니다. 이 경우 공격자가 네트워크의 다른 영역에 이미 침투한 상태이기 때문에 진입 지점을 감지하더라도 추적하기가 어려울 수 있습니다.

제로 트러스트는 마이크로세그멘테이션을 통해 네트워크에 대한 액세스를 작은 영역들로 분할하여 사이버 공격자가 다른 영역으로 횡적 이동을 하지 못하게 차단합니다.

덕분에 특정 구역에 고립된 공격자를 더욱 쉽게 찾아낼 수 있으며, 공격을 가하는 사용자, 애플리케이션, 기기를 격리하여 다른 구역에 액세스하지 못하도록 막을 수 있습니다.

기기 액세스 관리

제로 트러스트 모델에서는 조직의 네트워크 공격 표면을 제한하기 위해 기기 액세스를 다음과 같은 방식으로 엄격하게 관리합니다.

  • 네트워크에 액세스를 시도하는 기기의 개수를 기록
  • 각 기기의 승인 여부 확인
  • 기기의 해킹 여부 확인

최소 권한 액세스의 원칙

최소 권한의 원칙은 사용자 권한을 신중하게 관리하여 사용자에게 정확히 필요한 만큼의 액세스 권한만 부여함으로써 각 사용자가 취약한 네트워크 세그먼트에 노출되는 것을 최소한으로 줄입니다. 최소 권한 액세스 원칙과 마이크로세그먼테이션을 함께 활용하면 횡적 이동을 최소화할 수 있습니다.

최소 권한 액세스는 JIT(Just-In-Time) 프로비저닝, JEA(Just-Enough-Administration), 위험 기반의 적응형 정책, 데이터 보호를 통해 사용자 액세스를 제한하여 정보 보안을 강화하고 효율성을 크게 높입니다. 최소 권한 원칙의 제약에 따라 액세스를 모니터링하는 기업은 분석 및 보고 기능을 통해 비정상적 패턴을 즉시 식별하여 대응할 수 있습니다.

다단계 인증(MFA)

다단계 인증(MFA) 또한 제로 트러스트 모델의 핵심 원칙입니다. MFA는 두 가지 이상의 보안 메커니즘을 결합하여 IT 리소스에 대한 액세스를 부여합니다.

MFA는 비밀번호에 더해 보안 토큰, 모바일 기기의 인증 애플리케이션, 지문 스캔과 같은 보조 메커니즘을 추가로 사용하는 2단계 인증(2FA)과 유사합니다. 다만 MFA는 보안을 강화하기 위해 아이덴티티를 확인하는 보조 메커니즘을 두 개 이상 사용할 수 있다는 것이 가장 큰 차이점입니다.

제로 트러스트 구현

제로 트러스트 아키텍처를 구현하려는 기업은 다음을 수행해야 합니다.

  • 제로 트러스트에 역량을 집중하고 체계적인 전략과 로드맵 수립
  • IT 인프라 및 정보 리소스 문서화
  • 잠재적 공격 경로를 비롯한 조직의 취약성 분석
  • 목표로 하는 비즈니스 결과를 달성하기 위한 보안 도구 선택 및 도입
  • 우선순위, 속성 및 권한 할당 정책, 정책 집행에 관해 보안 팀들을 조율
  • 데이터 암호화, 이메일 보안, 애플리케이션에 연결하려는 리소스 및 엔드포인트 검증을 고려
  • 환경 내 서로 다른 영역 간의 트래픽 조사 및 검증
  • 각 보안 도메인 간의 데이터 연결

보안을 확보해야 하는 연결 지점은 다음과 같습니다.

  • 사용자 및 사용자 세그먼트
  • 계정
  • 데이터
  • 기기 및 기기 세그먼트
  • 애플리케이션
  • 워크로드
  • 네트워크 및 네트워크 세그먼트

제로 트러스트 아키텍처로 전환한 기업은 기존의 네트워크 세그멘테이션이 아닌 마이크로세그멘테이션을 통해 정보, 워크플로, 서비스를 보호합니다. 이를 통해 리소스가 데이터 센터에 있든 분산된 하이브리드 및 멀티 클라우드 환경에 있든 네트워크 위치와 관계없이 보안을 유지할 수 있습니다. 제로 트러스트 아키텍처 솔루션을 구현하기 위해서는 추가로 오버레이 네트워크, 소프트웨어 정의 경계(SDP), 정책 기반 액세스 제어(PBAC) 및 아이덴티티 거버넌스 등이 필요합니다.

제로 트러스트 아키텍처를 구현하는 과정이 다소 번거롭게 느껴질 수 있습니다. 하지만 이는 계속해서 진화하는 공격 표면에 대한 가시성과 이해도를 높일 뿐만 아니라, 사용자 경험 향상, 보안 복잡성 경감, 운영 오버헤드 절감과 같은 효과를 가져올 수 있습니다.

컨텍스트 수집 및 대응을 자동화하면 인간 및 비인간 사용자, 워크로드, 엔드포인트(물리적 기기), 네트워크, 아이덴티티 공급자, 보안 및 이벤트 관리(SIEM), 싱글 사인온(SSO), 위협 인텔리전스, 데이터 등의 소스에서 수집한 데이터를 바탕으로 신속하게 양질의 의사결정을 내릴 수 있습니다.

제로 트러스트가 중요한 이유

제로 트러스트는 오늘날의 사이버 환경에 적합하며 모든 액세스 지점에서 사용자, 데이터, 시스템을 보호해야 하는 현대 기업을 위한 보안 아키텍처를 제공합니다. 제로 트러스트는 사용자가 원하는 기기에서 필요한 리소스에 적시에 액세스할 수 있도록 보장함으로써 하이브리드 업무 환경을 뒷받침하는 동시에, 조직이 보안을 최신 상태로 유지하고 새롭게 발생하는 위협과 디지털 변환에 적응할 수 있도록 돕습니다.

제로 트러스트는 최신 보안 모델을 제공할 뿐만 아니라 다음과 같은 기업의 진화하는 비즈니스적 요구를 지원합니다.

  • 혁신적인 디지털 경험을 바라는 고객의 선호 사항 및 기대
  • 점점 증가하는 추세인 IT 팀 통제 권한 밖의 기기에서 액세스하는 리소스
  • 오래된 보안 솔루션, 진화하는 사이버 위협, 강화된 글로벌 규정으로 인해 IT 팀이 수작업에 소요하는 시간 관리
  • 보안 정책 및 위협 대응과 관련한 가시성과 인사이트를 경영진에 제공

제로 트러스트의 이점

기업은 제로 트러스트를 구현하여 다음과 같은 이점을 누릴 수 있습니다.

  • 다양한 클라우드와 엔드포인트를 활용하며 데이터가 확산되어 있는 현대 IT 생태계에 반드시 필요한 효과적 클라우드 보안을 통해 보안 팀의 가시성과 효율성 향상
  • 공격 발생 시 그 범위를 단일 마이크로세그먼트로 제한하여 조직의 공격 표면을 축소함으로써 피해 및 관련 복구 비용을 절감
  • 서브넷 트래픽 감소, 로깅 및 모니터링 간소화, 네트워크 오류 관리 기능 개선으로 네트워크 성능 향상
  • MFA를 요구하여 사용자 자격 증명 도난 및 피싱 공격의 영향을 줄이고, 경계에 집중하는 기존의 보호 방식을 일반적으로 우회할 수 있는 위협을 완화
  • 모든 액세스 요청에 대해 인증을 진행하여 보호 및 업데이트가 까다로운 사물 인터넷(IoT) 기기를 비롯한 각종 기기와 관련된 위험 축소

제로 트러스트의 간략한 역사

Forrester Research의 애널리스트인 존 킨더버그가 2010년에 제로 트러스트 모델에 대한 프레젠테이션을 진행하며 ‘제로 트러스트’라는 용어를 최초로 사용했습니다. 위에서 언급된 NIST 특별 간행물 800-207은 2018년에 출판되었습니다.

2019년에 Gartner는 자사의 보안 액세스 서비스 에지(SASE) 솔루션에 제로 트러스트를 포함시켰으며, 영국의 국가 사이버 보안 센터(NCSC)는 네트워크 아키텍트로 하여금 새로운 IT 배포, 특히 클라우드 서비스가 포함된 배포에서 제로 트러스트 모델을 고려할 것을 권고했습니다.

앞서 언급한 것처럼 NIST 특별 간행물 1800-35는 초안 형식으로 제공되며 이 글을 작성하고 있는 현재 관련 의견을 수렴하고 있습니다. 제로 트러스트는 다양한 사용 사례와 산업의 요구에 맞춰 지속적으로 발전하고 있습니다.

제로 트러스트 네트워크 액세스(ZTNA)란?

제로 트러스트 네트워크 액세스(ZTNA)는 기업이 제로 트러스트 보안 모델을 채택할 수 있도록 하는 핵심 기술입니다. ZTNA는 지정된 액세스 제어 정책에 따라 기기와 필요한 리소스 간에 일대일 암호화된 연결을 구축해 액세스를 기본적으로 차단하며 명백히 허가된 경우에만 서비스에 대한 액세스를 허용합니다. 이때 사용자는 암호화된 터널을 통해 인증을 마친 후 보안 액세스를 제공받습니다.

제로 트러스트 시작하기

제로 트러스트 아키텍처, 기술, 프로세스는 누구로부터 무엇을 보호할 것인지에 관한 기업의 전략적 목표에 기반을 두어야 합니다. 해당 목표를 설정한 뒤 제로 트러스트를 성공적으로 구현한 기업은 간소화된 네트워크 인프라, 향상된 사용자 경험, 강화된 사이버 방어 태세의 이점을 누릴 수 있습니다.

모든 조직은 산업, 성숙도, 기존 보안 전략, 비즈니스 목표에 따라 나름의 어려움을 겪습니다. 아이덴티티 기반의 제로 트러스트 모델은 IT 인프라 전반의 사용자 액세스와 이동에 대한 관리 및 감독 기능을 강화합니다. 데모를 예약하여 SailPoint가 기업의 제로 트러스트 여정에 어떻게 날개를 달아주는지 확인해 보세요. 

관련 자료

세일포인트 아이덴티티 보안 클라우드

세일포인트의 대표적인 통합 클라우드 솔루션으로 중요한 데이터와 애플리케이션에 올바른 액세스를 제공해 보세요.

더 알아보기

아이덴티티 보안을 활용한 사이버 보안 위험 완화

강력한 보안 태세는 기업과 자산에 액세스할 수 있는 모든 아이덴티티를 보호하는 것에서 시작됩니다.

더 알아보기
세일포인트 아이덴티티 보안 클라우드 제품군

세일포인트 아이덴티티 보안 클라우드 제품군

세일포인트 아이덴티티 보안 클라우드로 기업을 보호할 수 있는 가장 알맞은 솔루션을 찾아 보세요.

더 알아보기

시작하기

세일포인트 아이덴티티 보안 클라우드를 어떻게 활용할 수 있는지 알아보세요

세일포인트 솔루션이 어떻게 오늘날의 기업이 생산성과 혁신을 저해하지 않고 리소스에 안전하게 액세스할 수 있도록 지원하는지 알아보세요.

데모 신청문의하기