제로 트러스트 보안이란 무엇입니까?

제로 트러스트 보안은 ‘아무것도 신뢰하지 않는다’는 하나의 원칙을 적용하는 상황별 IT 보안 모델입니다. 제로 트러스트 모델 또는 아키텍처는 사용자 또는 기기가 조직에 소속된 경우라 하더라도 조직의 네트워크, 업무 공간 또는 기타 자료에 대한 기본 액세스 권한을 가지지 않아야 한다는 의미입니다. 승인된 사용자는 신원, 액세스 시간 및 기기 태세와 같은 기준을 근거로 액세스 권한을 부여받기 전에 보안 프로토콜을 통과해야 합니다. 제로 트러스트 아키텍처에는 맬웨어, VPN 침해로 인한 데이터 누출 및 중요 데이터에 대한 그 외 공격을 방지하기 위한 액세스 제어, 사용자 신원 확인 및 안전한 업무 공간이 포함될 수 있습니다.

제로 트러스트 보안이 중요한 이유는 무엇입니까?

제로 트러스트 보안이 중요한 이유는 오늘날 IT 부서는 우수한 사용자 경험을 전달해야 하는 동시에, 더욱 증가하고 있는 다양한 공격으로부터 조직을 보호해야하기 때문입니다. 직원들이 개인 기기에 의존하여 업무 공간, 클라우드 앱 및 기업 자료에 원격으로 액세스하고 있기 때문에, 데이터 손실의 가능성은 이전 어느 때보다도 높아졌습니다. 더욱이, 데이터 침해가 1건만 발생해도 그로 인해 발생하는 비용은 평균 392만 달러이며, 평균적으로 25,575개의 기록이 도난을 당합니다. 최근 20년간 데이터 침해 사건 중 가장 큰 규모였던 상위 2건의 사건만으로도, 35억 명 이상의 사람들이 자신의 정보를 도난당했습니다.

제로 트러스트 아키텍처는 이 심각한 문제에 대한 진지한 접근 방식입니다. 이 방식은 일부 중요 데이터를 노출하는 정보 보안 모델이 모든 중요 데이터를 노출시킬 가능성이 있음을 인정합니다. 이것은 마치 우리가 가진 모든 자산을 하나의 은행 금고에 넣어 두는 것과 같습니다. 침입자가 액세스 권한을 갖게 되면 모두 훔쳐갈 수 있습니다. 이러한 위험을 해결하기 위해, 제로 트러스트 네트워크 액세스는 엔드포인트와 사용자를 위한 액세스 보안과 관련해 고삐를 강하게 죕니다. 좀 더 포괄적인 제로 트러스트 보안의 경우, 조직들은 직원들에게 보호 상태 하에 있는 디지털 업무 공간에 대한 보안 액세스를 제공할 수 있습니다. 이를 통해 사용자에게 필요한 모든 앱, 도구 및 데이터에 대한 보안 액세스를 부여하면서도 조직을 불필요한 위험에 노출시키지 않아 전반적인 위험을 완화할 수 있습니다.

기존의 정보 보안과 제로 트러스트 아키텍처의 차이점은 무엇입니까?

정보 보안에 대한 기존의 접근 방식은 중요 데이터에 대해 로그인과 방화벽으로 보호되고 있는 데이터 센터를 울타리처럼 두르는 일이 관련됩니다. 기존의 이 방식은 조직 내의 모든 사람이 권한을 갖고 있으며 이를 믿을 수 있다고 추정했습니다. 사용자 이름과 암호를 알고 있는 사람은 아무런 문제도 제기 받지 않고 조직의 네트워크에 있는 모든 자료에 액세스할 수 있었습니다. 이것은 또한 Castle-and-moat 접근 방식이라고도 일컬어집니다. 성(Castle)은 데이터를 보유하고 있는 기업을 의미하며 해자(Moat)는 그 데이터 주변에 마련해 둔 방어책과 억제책을 의미합니다.

하지만 이러한 접근 방식은 최근의 사이버 보안 위협에 적합하지 않습니다. 대부분의 조직이 클라우드에서 업무를 진행하고 있기 때문에, 중앙 집중식 TBV(trust-but-verify) 접근 방식은 점점 더 합리적인 근거를 잃어 가고 있습니다. 사용자들은 더 이상 단일 지점 또는 기기에서 중요 데이터에 액세스하지 않으며, 데이터는 더 이상 한 곳에만 상주하지 않습니다. 기본적으로, 사이버 공격은 어디에서나, 언제든지 발생할 수 있기 때문에 성에 침투하는 경로가 더 이상 한 곳으로 국한되어 있지 않습니다. 침입자가 비행기에서 낙하산을 타고 내려올 수 있다면 성 주변을 해자로 두른다 해도 보호를 받지 못할 것입니다.

제로 트러스트 아키텍처는 데이터 보호 책임을 조직 내부에서 네트워크 액세스를 시도하는 각 사용자, 기기 및 애플리케이션으로 옮겨 이러한 기존의 사이버 보안 접근 방식을 발전시킵니다. 제로 트러스트에 대한 이러한 접근 방식은 올바로 구현할 경우 사용자 행동 및 기기의 패턴을 인식하여 신원, 하루 중 시간대 및 위치와 같은 요소에 따라 융통성 있게 액세스 권한을 부여하거나 거절할 수 있는 상황 인식형 보안 아키텍처로 사용할 수 있습니다.

제로 트러스트 아키텍처 구현을 시작하는 방법

제로 트러스트 보안은 유형의 단일 솔루션이 아니라 전체적인 전략입니다. ‘절대 신뢰하지 않고 항상 확인’하는 태도를 받아들인다는 것은 조직이 중요 데이터를 보관하고 액세스하는 방식에 대한 모든 것을 다시 생각한다는 의미입니다. 조직은 모든 수준에서 네트워크 보안과 액세스 제어의 구조를 바꾸는 데 상당한 시간을 투자할 준비를 해야 합니다. 조직 내에 제로 트러스트 아키텍처를 구현하기 시작할 때 처음 거쳐야 하는 몇 가지 단계는 다음과 같습니다.

  1. 조직의 네트워크를 감사하여 어떤 인프라와 엔드포인트를 활용할 수 있는지 확실하게 파악합니다. 이를 통해, IT 부서는 네트워크 보안 정책이 어떤 문제를 먼저 처리해야 하는지 알 수 있습니다. 
  2. 철저한 위협 평가를 수행하고, 중요 데이터가 침해되면 어떤 일이 일어날 수 있는지에 대해 몇 가지 시나리오를 만드십시오. “누가 어떤 데이터에 액세스할 가능성이 가장 높은가?”, “첫 번째 보안 수준에 침투가 일어나면 그 이후 수준에 침투하기는 얼마나 쉬운가?”와 같은 질문을 던져 보십시오. 
  3. 사용자, 기기 및 애플리케이션을 분리되었으나 서로 관련된 개체로 신뢰하는 방법을 결정하십시오. 사용 건별로 실제 필요한 자료에 대해서만 액세스 권한을 부여하는 것이 중요합니다. 다단계 인증부터 시작하는 것도 좋은 방법이지만, 상황별 액세스 제어 도구를 채택하여 특정 시나리오에서는 인쇄, 복사 및 붙여넣기, 스크린샷 만들기를 비활성화하는 것도 도움이 될 수 있습니다. 또한 모든 직원들이 보안 업무 공간 안에서 앱과 데이터에 액세스하도록 하여, 좀 더 포괄적인 엔터프라이즈 보안을 제공할 수도 있습니다.
  4. 제로 트러스트 아키텍처를 테스트하여 성과가 얼마나 좋은지 확인해 보십시오. IT 팀이 분실된 기기, 보안되지 않은 Wifi 네트워크, 악의적인 URL 또는 맬웨어를 통해 중요 데이터에 대한 액세스 권한을 얻으려고 시도하는 시나리오를 실행하십시오. 이를 통해 네트워크 보안에서 발견될 수 있는 취약성을 확인하여, 그에 따라 사이버 보안 접근 방식을 조정할 수 있습니다.

제로 트러스트 보안에 대한 FAQ

제로 트러스트 아키텍처는 단일 제품입니까?
제로 트러스트 보안은 하나의 제품이나 솔루션이 아닙니다. 오히려 모든 접점에서 신뢰를 지속적으로 평가하여 IT 부서가 모든 기기에서 모든 애플리케이션에 대한 보안 액세스를 지원하는 데 사용할 수 있는 아키텍처 또는 프레임워크입니다. 즉, 제로 트러스트 보안 모델은 세부적이고, 상황에 따르며, 지속적인 액세스 보안 정책을 제공하기 위해 여러 벤더와 제품에 의존할 수 있다는 의미입니다.

제로 트러스트를 사용하면 IT 인프라 전체를 교체해야 합니까?
제로 트러스트를 구현하는 일은 단순한 문제가 아니지만 온프레미스 또는 클라우드 인프라를 완전히 없애고 교체해야 하는 것은 아닙니다. 적절한 제로 트러스트 벤더는 ID 플랫폼, SIEM/SOC 및 웹 프록시 그리고 SD-WAN 솔루션과 같은 기존 인프라를 보호하는 일에 대해서도 협력합니다. 예를 들어, 제로 트러스트 벤더를 사용하는 경우 Microsoft Active Directory, Microsoft Azure AD 및 Okta 사용자 디렉터리는 물론, 이러한 플랫폼에 수반되는 상황별 ID 관리 정책과도 통합할 수 있을 것입니다.

제로 트러스트 네트워크를 구현하는 데 적합한 기술이나 서비스를 어떻게 찾을 수 있습니까?
제로 트러스트 보안 모델이 포괄적인 성격을 지니고 있기 때문에, IT 부서는 새로운 보안 사용 사례를 처리하기 위해 SSL VPN, 엔드포인트 관리 및 다단계 인증과 같은 포인트 제품을 추가하는 끝없는 사이클 속에서 헤어나지 못하게 될 수 있습니다. 이를 통해 좀 더 복잡해질 수 있고 최종 사용자에게 균열된 환경을 제공할 수 있으며 공격자들이 이용할 수 있는 사이버 보안의 격차가 그대로 남아 있게 됩니다.

이를 염두에 두고, Forrester는 단일 벤더를 선택하는 것에 상당한 이점이 있다고 보고합니다. 이러한 벤더를 통해 제로 트러스트 보안 아키텍처를 구현하는 것이 이점이 있다는 것입니다. 이렇게 할 경우 여러 가지 포인트 솔루션을 통합하는 데에서 오는 격차를 방지하는 데 도움이 됩니다. 한 가지 검증된 전략은 사용자가 액세스하는 모든 곳에서 중요 데이터와 자료를 단편적으로 보호하려 하기보다는 업무를 수행하는 통합 업무 공간 안에서 사용자와 이들이 사용하는 앱을 보호하는 것입니다. 또한, 이를 통해 우수한 사용자 환경을 보장하는 데에도 도움이 됩니다.

제로 트러스트와 VPN의 비교 VPN이 제로 트러스트 보안을 지원하지 못하는 이유는 무엇입니까?

VPN과 제로 트러스트 보안 프레임워크의 가장 근본적인 차이는 기존 VPN이 맹목적으로 신뢰한다는 점에 있습니다. VPN을 사용하는 경우, 액세스 권한이 부여되면 원격 사용자가 네트워크에 완전히 액세스할 수 있게 됩니다. VPN의 주요 취약성을 요약하자면, 다음과 같은 속성이 대표적입니다.

  1. VPN은 인증을 과도하게 단순화함 - 기존의 VPN 솔루션은 애플리케이션이 브라우저를 사용하여 액세스되거나, 데이터 센터와 클라우드 환경에서 배포되거나, SaaS로 제공되는 경우 복잡하고 현대적인 인력이 요구하는 사항을 충족하지 못합니다.
  2. VPN은 확장하지 않음 – VPN은 원격 액세스만으로 제한되어 있지만 제로 트러스트 프레임워크는 사용자가 온프레미스 상태이든 오프 상태로 실시간 사용 중이든 관계없이 기업 네트워크를 보호합니다. 
  3. VPN은 직원 환경에 최적화되어 있지 않음 - VPN은 모든 트래픽(비즈니스 및 개인)을 기업 IT를 통해 라우팅하기 때문에 직원의 개인정보보호에 대한 우려가 제기될 수 있습니다. 또한, VPN은 앱 수준의 최적화가 없기 때문에 최고 성능을 제공하지 못합니다.

요약하자면, 기업들은 클라우드로 제공되고, 애플리케이션 계층에서 액세스 권한을 제공하여 보안 공격 대상을 줄임으로써 직원 개인정보보호를 방해하지 않으면서도 최고 성능을 제공하는 솔루션이 필요합니다.

추가 자료