제로 트러스트란?

제로 트러스트란 신뢰할 수 있는 네트워크 경계는 존재하지 않으며, 모든 네트워크 트랜잭션이 이루어지려면 먼저 인증을 받아야 한다고 가정하는 IT 보안 접근 방식입니다.

제로 트러스트는 '신뢰하지 말고 항상 검증할 것'이라는 원칙을 바탕으로 네트워크 세분화 및 엄격한 액세스 제어와 같은 다른 네트워크 보안 방법론을 활용합니다. 제로 트러스트 네트워크는 중요한 데이터, 자산, 애플리케이션 및 서비스로 구성되는 '보호 범위'를 정의하며, DAAS라고도 합니다. 중요한 자산만 포함되므로 대개 보호 범위는 전체 공격 범위보다 상당히 작습니다.

제로 트러스트 보안은 '신뢰할 수 있는' 네트워크의 사용자가 네트워크 전반에서 이동하거나 액세스 가능한 모든 데이터를 외부로 유출할 수 있으므로 기업 네트워크 경계 내의 리소스를 신뢰해야 한다는 기존 가정을 대체하며 신뢰를 취약점으로 간주합니다.

제로 트러스트 아키텍처에서는 신뢰할 수 있는 네트워크를 만들려고 시도하지 않으며 신뢰라는 개념이 완전히 사라집니다. 보호 범위가 결정되면, 네트워크 트래픽이 해당 범위를 이동하는 방법, 보호 자산에 액세스 중인 사용자 파악, 사용된 애플리케이션 및 연결 방법의 분류는 보호되는 데이터에 대한 보안 액세스 정책을 생성하고 적용하기 위한 핵심 요소가 됩니다. 이러한 종속성을 이해하면 보호 범위 가까이에 제어를 배치하여 마이크로 경계를 생성할 수 있으며, 이는 일반적으로 허용된 사용자 및 애플리케이션의 알려진 트래픽만 허용하는 세분화 게이트웨이라고 불리는 차세대 방화벽(NGFW)을 사용하여 이루어집니다. NGFW는 트래픽에 대한 가시성을 제공하며, 주체, 대상, 시기, 위치, 근거 및 방식에 기반하여 액세스 정책을 정의하는 키플링법에 기반한 액세스 제어를 적용합니다. 이렇게 하면 마이크로 경계를 통과할 수 있는 트래픽을 파악하여 승인되지 않은 사용자와 애플리케이션을 차단하고 중요 데이터를 보호할 수 있습니다.

인력이 분산되어 원격으로 근무하기 때문에 제로 트러스트는 특정 위치에 종속되지 않습니다. 자산과 사용자는 직원의 가정이든 IoT 기기든 관계없이 온프레미스, 하나 이상의 클라우드 또는 엣지에 위치할 수 있습니다.

현재 상황에서 제로 트러스트로 나아가는 방법

제로 트러스트 여정 간소화

제로 트러스트의 창시자

제로 트러스트는 Forrester 리서치 부사장 겸 수석 애널리스트인 John Kindervag이 창안한 개념입니다. 그는 기존 보안 모델이 기업 네트워크 내의 모든 요소를 신뢰해야 한다는 오래된 가정에 의존한다는 사실을 깨달으면서 2010년에 이 개념에 대한 모델을 제시했습니다. 그리고 2013년에 Google이 자체 네트워크에 제로 트러스트 보안 정책을 구현하겠다고 발표하면서 제로 트러스트 모델의 도입이 가속화되었습니다. 2019년에 Gartner는 제로 트러스트를 보안 액세스 서비스 엣지 솔루션의 핵심 구성 요소로 선정했습니다.

제로 트러스트 아키텍처를 구현하는 방법

구현하기 복잡하고 비용이 많이 든다고 인식되는 경우가 많지만, 제로 트러스트는 전면적인 업그레이드 방식이 아니라 기존 네트워크 아키텍처를 사용합니다. 제로 트러스트 제품이라는 것은 없으며, 제로 트러스트 아키텍처 및 환경과 호환되는 제품과 그렇지 않은 제품이 있을 뿐입니다.

제로 트러스트 아키텍처는 2010년도에 Forrester에서 설명한 5단계 방법론을 사용하여 간편하게 배포하고 유지 관리할 수 있습니다.

중요 데이터 및 애플리케이션을 포함한 보호 범위를 파악합니다. Forrester는 공개, 내부 및 기밀이라는 카테고리를 사용하는 간단한 3등급 모델을 권장합니다. 그런 다음 보호가 필요한 데이터를 마이크로 경계로 분류하여 서로 연결함으로써 더 광범위한 제로 트러스트 네트워크를 생성할 수 있습니다.

모든 중요 데이터의 트랜잭션 흐름을 매핑하여 사용자, 애플리케이션, 그리고 비즈니스 파트너/고객과의 외부 연결 간에 데이터가 이동하는 방식을 파악합니다. 그러면 네트워크 및 시스템 객체의 종속성을 확인하고 보호할 수 있습니다. 이 실습을 통해 데이터 흐름을 최적화하여 전반적인 성능과 보안을 개선할 수 있습니다.

기업 전체(및 외부 파트너)의 데이터 및 트랜잭션 흐름 방식에 따라 각 마이크로 경계에 대해 제로 트러스트 아키텍처를 정의합니다. 소프트웨어 정의 네트워크(SDN)와 실제 또는 가상 NGFW를 사용하는 보안 프로토콜을 활용하여 이를 정의할 수 있습니다.

네트워크 설계가 완료되면 제로 트러스트 정책을 생성합니다. 많은 조직에서 정책과 네트워크의 주체, 대상, 시기, 위치, 근거 및 방식을 다루는 키플링법을 활용합니다. 이를 통해 세분화된 레이어 7 적용 정책을 구현하여 알려지고 허용된 애플리케이션이나 사용자만 보호 범위에 액세스하도록 할 수 있습니다. 회사 소유 또는 BYOD 여부에 관계없이 모든 개인용 기기가 안전하지 않다고 가정합니다.

자동화, 모니터링 및 유지 보수 작업을 통해 주변 활동을 모니터링하여 이상 트래픽이 흐르는 위치를 파악합니다. 이상 활동이 발생하는 위치를 파악하고 모든 주변 활동을 모니터링합니다. 로그 트래픽의 검사 및 분석을 자동화하여 운영에 영향을 주지 않고 데이터가 이동하도록 할 수 있습니다.

제로 트러스트의 핵심 원칙이 어떻게 됩니까?

“신뢰하지 말고 항상 검증할 것”입니다. 제로 트러스트의 핵심 원칙은 네트워크 내의 모든 요소가 안전하다는 오래된 믿음을 버리는 것입니다. 인력의 특성 변화, 거의 모든 곳의 구성 요소가 포함될 수 있는 마이크로 서비스 기반 애플리케이션의 도입, 그리고 비즈니스 프로세스의 협업이 증가함에 따라 안전한 경계란 더 이상 없습니다. 원격으로 근무하는 직원들은 더 이상 방화벽의 보호를 받지 못하며 VPN으로 접속하는 직원도 마찬가지입니다. 안전한 기기는 없으며 스마트폰, 데스크톱도 안전하지 않습니다.

제로 트러스트는 기술이나 제품이 아니라 비즈니스 크리티컬 자산을 유출과 멀웨어 공격으로부터 보호하는 방법입니다. 제로 트러스트는 NGFW와 같은 제품, 다단계 인증, 마이크로 세분화 및 최소 권한 원칙을 통해 실현됩니다.

제로 트러스트를 위한 획일화된 접근 방식이나 기술은 없습니다. 아키텍처는 보호 범위의 규모와 그에 따른 마이크로 세분화에 따라 달라지며, 아키텍트는 영향을 받는 애플리케이션, 데이터베이스 및 기타 리소스와 관련한 사용자 경험에 제로 트러스트 정책이 미칠 영향을 고려해야 합니다.

제로 트러스트를 위해 기업은 각 자산을 보호하는 방법을 재평가해야 할 수 있습니다. 정책의 적용 대상이 네트워크 경계가 아닌 보호 범위 내의 개별 시스템 및 애플리케이션으로 바뀌기 때문입니다. 제로 트러스트는 요청을 보낸 위치와 네트워크의 보안 여부를 확인하는 대신 특정 사용자와 기기를 인증하여 본인 여부를 확인합니다. 이를 위해서는 제공된 다른 인증을 기반으로 기기에 신뢰를 부여할 수 있어야 합니다. 예를 들어, 적절한 사용자 ID와 암호를 제공하는 경우 '알려진' 스마트폰에서는 토큰을 요구하지 않는 것입니다.

제로 트러스트는 액세스를 제한하며, 업무 수행에 필요하지 않은 애플리케이션에 비정기적으로 액세스하는 사용자를 번거롭게 한다는 이유로 부담이 될 수 있습니다. 제로 트러스트 네트워크의 필요성과 이점에 대한 적절한 교육과 훈련은 초기 배포와 신규 사용자의 온보딩에 중요한 역할을 합니다.

제로 트러스트는 원격 인력의 보안과 관련하여 어떤 역할을 합니까?

전 세계적인 코로나 바이러스 팬데믹으로 인해 재택 근무하는 직원의 수가 크게 증가했으며, 많은 애널리스트가 위협이 사라진 후에도 다수의 조직에서 업무 수행을 위해 출근할 필요가 없는 직원을 대상으로 재택 근무(WFH)를 장려할 것으로 전망합니다.

원격으로 시스템에 액세스하는 사용자의 수가 증가함에 따라 원격 작업자와 기기를 대상으로 하는 사이버 공격과 원격 작업자를 통해 기업 시스템에 접근하는 사이버 공격도 증가할 것입니다.

그 결과, 기업 네트워크는 원격 인력의 증가로 인해 사이버 범죄 및 랜섬웨어에 노출될 가능성이 점점 커지고 있습니다.

재택 근무하는 직원의 수가 증가함에 따라 원격 작업자를 대상으로 하는 공격과 이들을 매개로 한 공격이 계속 증가할 가능성이 높습니다. 사이버 범죄자는 큰 폭으로 늘어난 재택 근무자를 악용할 채비를 갖추고 있으며, 이로 인해 기업 네트워크와 데이터는 평소보다 훨씬 더 높은 수준의 리스크에 노출됩니다. 많은 조직이 제로 트러스트 보안 모델을 도입했거나 도입할 예정이며, 이를 통해 각 사용자와 이들이 액세스에 활용하는 기기를 인증하는 한편, 각 사용자의 권한을 업무 수행에 필요한 최소한의 수준으로 줄이고자 합니다.

제로 트러스트는 달리 입증되지 않는 한 직원들이 본질적으로 안전하지 않다고 가정하기 때문에 보안 스택의 상당 부분에 대한 직원의 책임을 줄여줍니다. 지극히 작은 규모의 조직이라도 내부 및 외부의 모든 사용자에게 다단계 인증을 요구하는 등의 제로 트러스트 보안 정책을 도입할 수 있습니다.

증가하는 원격 인력으로 인해 어려움을 겪고 있는 많은 조직에서는 보호 범위에 액세스할 때 접속 위치에 관계없이 모두 통과해야 하는 웹 기반 게이트웨이 프론트엔드를 사용하여 제로 트러스트 보안 정책을 구현합니다. 이러한 게이트웨이는 인증 작업을 수행할 수 있으며, 기기와 OS에 최신 보안 패치가 적용되어야만 액세스 권한을 부여할 수도 있습니다.

WFH 직원은 일반적으로 업무 수행을 위해 2개 이상의 기기를 사용하므로 제로 트러스트 보안이 기기와 네트워크에 구애받지 않아야 한다는 점이 매우 중요합니다. 원격 근무가 일상화됨에 따라 새로운 기기와 알 수 없는 기기를 통한 안전한 연결을 지원하는 제로 트러스트는 비즈니스의 지속적인 성장에 중요한 역할을 할 것입니다.

관련 솔루션 및 제품

마이크로 세분화

클라우드 전반에서 네트워크 보안 정책을 정의하고 적용합니다.

Workspace ONE

제로 트러스트를 실현하는 디지털 워크스페이스 플랫폼입니다.

VMware 보안

축소된 툴과 사일로, 향상된 컨텍스트와 보안으로 제로 트러스트를 구현합니다.