개요
지난 5월 헤드라인 ‘WFA(Work-From-Anywhere) 시대의 사이버보안 위협 대응을 위한 접근권한 제어 7가지 전략’에서 언급된 제로 트러스트(Zero Trust)가 최근 사이버 보안분야에서 최대 화두로 떠올랐다. 이에 NIST[1] 제로 트러스트 가이드라인(SP 800-207)과 CISA[2] 제로 트러스트 성숙도 모델(Zero Trust Maturity Model, ZTMM)을 기반으로 제로 트러스트 도입 검토 단계에서의 고려사항과 계획 수립 시 참고사항을 설명하고자 한다.
[1] NIST (National Institute of Standards and Technology, 미국 국립표준기술연구소)
[2] CISA (Cybersecurity and Infrastructure Security Agency, 미국 사이버보안 및 인프라보안국)
클라우드 서비스 활용이 높아지고 코로나 팬데믹의 영향으로 원격근무가 생활화되면서 기업의 업무 환경은 대대적인 변화를 겪고 있다. 방화벽을 두고 기업의 내부망과 외부망을 구분 짓던 기존의 경계는 희미해지고, 다양한 유형의 디바이스가 등장함으로 인해 ‘신뢰할 수 있는 기기’를 구분 짓는 것도 점차 어려워지고 있다.
이제 보안을 위해 우리는 “모든 것을 의심하고 확인(Never Trust, Always Verify)”해야 하는 제로 트러스트(Zero Trust) 시대를 준비해야 한다.
제로 트러스트의 개념 및 확장
2010년 Forrester Research에서 최초의 제로 트러스트 개념 및 모델이 제시됐다. 모든 접속 주체들을 신뢰할 수 없기 때문에 기업의 내부 자산에 대한 접근 권한 제한을 주장했다. 즉, 암묵적 신뢰가 보안 문제를 야기할 수 있으므로 신뢰 검증 결과에 의해서만 접근을 허용해야 한다는 의미다. 지금에 이르러서는 기술의 변화에 맞춰 개념이 확장되어 데이터 중심에서 사용자, 디바이스, 네트워크, 워크로드 등으로 대상이 확대되었으며, 이에 대한 가시성 확보, 분석, 자동화 및 통합 운영에 이르기까지 관련 범위도 늘어났다.
제로 트러스트의 도입 계획
기업에서 제로 트러스트를 적용하려고 할 때 먼저 고려해야 하는 사항은 제로 트러스트가 단일 기법이나 제품이 아닌 보안 정책에 사용되는 모든 원칙들의 집합이며, 따로 정해진 정답이 없다는 점이다.
미국 NIST 2020년 연례보고서에서는 ‘제로 트러스트 도입을 위한 가이드라인(NIST SP 800-207)’을 구현하기 위한 상세한 지침을 소개하고 있다. 특히 “기업별 활용 사례와 데이터 Asset이 고유하므로 단일한 구축 플랜은 존재할 수 없다”고 설명하며, 그만큼 많은 자원, 시간, 소요예산 등이 필요하므로 충분한 검토 및 체계적인 준비를 요한다고 강조하고 있다. (후략)
더 자세한 내용은 리포트 다운로드를 통해 확인하세요! (클릭)