[목차]
1. 서론
2. 본론
2-1. 제로 트러스트란
2-2. 제로 트러스트가 필요한 이유
2-3. 제로 트러스트 아키텍처 구현방법
3. 결론
4. 참고자료
1. 서론
2021년 5월, 미국 행정부는 급등하는 대규모 사이버 공격 사례에 대응하기 위해 “국가 사이버 보안 개선을 위한 행정 명령(Executive Order 14028 - Improving the Nation’s Cybersecurity)”을 내렸다. 이 중 주목할 부분은 연방 정부의 사이버 보안을 현대화하기 위하여 제로 트러스트 아키텍처의 도입을 공식화한다는 것이다.[1] 또한 2023년 3월에 미국정부가 발표한 ‘사이버안보전략’의 5가지 접근 방식 중 ‘중요 인프라 보호’ 부분에 있어 제로 트러스트 아키텍처 전략 구현이 포함되어 있다.[2] 하지만 미국을 제외한 많은 국가들이 제로 트러스트 도입의 필요를 인지하면서도 제로 트러스트라는 개념이 추상적이고 도입 사례가 적어 도입 방안을 구체화하지 못하고 있다. 우리나라 또한, 제로 트러스트 도입의 필요성이 언급되고 있으며 이러한 보안 패러다임을 적용시키는 데 있어 어려움을 겪고 있다. 국내 일부 기업들은 이를 도입하고 운영 중에 있지만, 공공부문은 도입이 더딘 상황이다. 이에 대하여 국가정보원은 2026년부터 전 국가, 공공기관을 대상으로 한국형(K) 제로 트러스트를 적용하겠다고 밝혔다.[3]
2. 본론
2-1. 제로 트러스트란
제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제하에 보안 아키텍처를 설계하는 방식이다.[4] 이는 방화벽과 같은 경계를 기준으로 신뢰와 비신뢰로 분류하는 전통적인 보안 아키텍처와는 대조된다고 할 수 있다.[5] 즉 절대적 신뢰 모델과 일회성 인증에 의존하는 것이 아닌 신뢰구간에서의 보안통제를 통해 보안의 RISK를 감소시키는 아키텍처를 의미한다. 과학기술정보통신부가 공개한 제로 트러스트 가이드라인 1.0에 따르면 제로 트러스트의 6개 기본 원리로 ‘모든 종류의 접근에 대해 신뢰하지 않을 것’, ‘일관되고 중앙집중적인 정책관리 및 접근 제어 결정, 실행 필요’, ‘사용자, 기기에 대한 관리 및 강력한 인증’, ‘리소스 분류 및 관리를 통한 세밀한 접근제어’, ‘논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용’, ‘모든 상태에 대한 모니터링, 로그 및 이를 통한 신뢰성 지속성 검증, 제어’ 등을 소개하고 있다.[6]
2-2. 제로 트러스트가 필요한 이유
클라우드 시대가 도래하면서 내부영역과 외부영역의 경계를 구분하기가 어려워졌고 정교한 기술, 우발적 혹은 의도적인 내부 위협, 서드 파티 공급업체의 취약한 보안을 통해 심각한 침해가 많아지고 있다.[7] 즉 위협이 네트워크 외부에서 발생하는 것처럼 내부에서도 발생될 가능성이 있다는 것이다. 이로써 성능이 떨어지는 아키텍처는 사이버 공격에 취약하다고 볼 수 있다. 따라서 심층 방어 전략을 통합하면서 ‘그 무엇도 신뢰하지 말라’는 아키텍처 환경인 제로 트러스트가 필요해졌다.
2-3. 제로 트러스트 아키텍처 구현방법
제로 트러스트 아키텍처를 구현하기 위해 일반적으로 다음과 같은 3가지 과정을 거친다. 첫 번째 단계는 제로 트러스트를 도입하기 이전 기업망의 핵심 요소들을 중점으로 보안 대상과 수준에 대해 평가하는 과정이다. 두 번째 단계는 성숙도 모델을 기반으로 기존의 보안 아키텍처의 보안성을 더 높은 수준으로 강화하기 위해 도입 설계 및 예산 검토하는 과정이다. 세 번째 단계는 제로 트러스트 아키텍처를 구현하는 단계로 주요 클라우드와 온프레미스 등을 고려하여 대상 기업 및 기관의 환경에 적합한 솔루션을 검토하고 구현하는 과정이다.[8] 구현 후에는 아키텍처를 운영하고 피드백을 통해 개선하는 과정이 있을 것이다. 제로 트러스트 아키텍처 구현을 통해 보안 가시성 확보, 보안 관리의 효율화, 업무의 편의성 등을 향상시킬 수 있다.
3. 결론
클라우드 시대가 도래하고 기술이 발전함에 따라 위협요인들이 증가하기 마련이다. 이에 대응하는 보안 강화 대책으로 기존의 보안 아키텍처에다 모든 것에 대한 절대적 신뢰를 버리고 의심을 전제로 하는 제로 트러스트 아키텍처가 절실히 필요한 시점이다. 또한, 한 정보보호기업 임원은 “제로 트러스트가 차세대 보안 패러다임으로 주목받으며 글로벌 기업이 시장 선점을 위해 총력을 기울이고 있다”면서 “정부가 제로 트러스트 공공시장 형성에 조속히 나서 국내 기업의 경쟁력 향상을 지원할 필요가 있다”라고 말한 바 있다.[9] 글로벌 주도권을 해외 기업에 뺏길 수 있기에 2026년부터가 아닌 조속히 제로 트러스트 아키텍처 도입을 위해 힘쓸 필요가 있다.
4. 참고자료
https://www.lawtimes.co.kr/news/186710
https://www.etnews.com/20231005000240
https://m.boannews.com/html/detail.html?mtype=3&tab_type=H&idx=121813
https://m.ddaily.co.kr/page/view/2023091815211176595
https://www.redhat.com/ko/topics/security/what-is-zero-trust
https://toss.tech/article/slash23-security
“제로트러스트 가이드라인 1.0”, ‘한국인터넷진흥원’, 2023.06.
[1] “제로 트러스트 가이드라인 1.0”, ‘한국인터넷진흥원’, 2023.06.
[2] “미국 정부, 2023정보보호 전략 발표”, ‘법률신문’, 2023.04.10., https://www.lawtimes.co.kr/news/186710
[3] “국내 기업, 제로 트러스트 도입 속도…“보안↑비용↓””, ‘전자신문’, 2023.10.05., https://www.etnews.com/20231005000240
[4] “제로 트러스트란?”, ‘Red Hat’, 2023.07.19., https://www.redhat.com/ko/topics/security/what-is-zero-trust
[5] “금융사 최초의 Zero Trust 아키텍처 도입기”, ‘toss tech’, 2023.09.01., https://toss.tech/article/slash23-security
[6] “제로트러스트 가이드라인 1.0”, ‘한국인터넷진흥원’, 2023.06.
[7] “[주간 클라우드 동향/9월] 클라우드가 촉발한 제로 트러스트, 전분야 확산”, ‘디지털데일리’, 2023.09.18., https://m.ddaily.co.kr/page/view/2023091815211176595
[8] “[카드뉴스] 모든 것을 의심하라, 제로 트러스트”, ‘보안뉴스’, 2023.09.11., https://m.boannews.com/html/detail.html?mtype=3&tab_type=H&idx=121813
[9] “국내 기업, 제로 트러스트 도입 속도…“보안↑비용↓””, ‘전자신문’, 2023.10.05., https://www.etnews.com/20231005000240