새로운 디지털환경에서의 정보보안을 위해 제로트러스트의 개념, 보안원리, 핵심원칙 등을 설명하는 국내 환경에 적합한 「제로트러스트 가이드라인 1.0」이 마련되어 발표되었습니다.
제로트러스트란?
제로트러스트(Zero Trust)는 정보시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 보고, "절대 믿지 말고, 계속 검증하라는 새로운 보안개념(Never Trust, Always Verify)"입니다.
현재의 대부분의 시스템에 적용된 보안모델은 "경계 기반 보안모델"이라고 하여, 보호대상 영역을 내부(신뢰영역)와 외부(비신뢰영역)로 구분해 놓고, 외부에서 사용자가 인증을 거쳐 보호대상 네트워크 영역 내부로 진입하게 되면, 이후부터는 그 내부자를 신뢰할 만한 사용자로 보고, 내부의 서버, 데이터 등 정보자원을 추가의 인증 없이 사용할 수 있도록 허락하였습니다.
이러한 보안모델에서는 하나의 정보자원이 해킹된다면, 해킹된 정보자원과 같은 보안영역 내부에 위치한 정보자원은 추가 인증 없이 접속할 수 있어 악의적 목적으로 데이터가 외부로 유출될 수 있게 됩니다.
하지만 모바일, 사물인터넷(IoT), 클라우드 기반의 원격·재택근무 환경이 만들어지고, 코로나19로 인해 비대면 사회로 빠르게 변화해 감에 따라, 이러한 전통적으로 네트워크 내·부의 경계를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존의 "경계 기반 보안모델"은 한계에 도달하여 새로운 보안모델로의 전환이 필요한 상황이 되었습니다.
"제로트러스트 보안모델"에서는 정보자원을 단순히 신뢰영역(내부)과 비신뢰영역(외부)으로 이분법적으로 구분하는 것이 아니라, 서버·데이터·정보서비스 등의 각종 정보자원을 보호해야 할 대상으로 각각 분리하여 보호하게 되며, 이렇게 함으로써 하나의 정보자원이 해킹되었다고 해도, 해커가 인근 자원에 접속하기 위해서는 추가로 인증을 받아야 하므로, 정보자원을 개별적으로 보호할 수 있게 됩니다.
또한, 사용자 또는 기기 등을 접속할 때 아이디/패스워드 외에도 다양한 정보를 이용하여 인증하는 방식으로 보안수준을 높일 수 있습니다.
이미 미국, 유럽 등에서는 4차 산업혁명 기술 기반으로 비대면 사회가 가속화됨에 따라 다양화되고 지능화되는 사이버위협에 대응하기 위해 기존 경계 기반 보안모델을 제로트러스트 보안모델로 본격적으로 전환해가고 있습니다.
제로트러스트 가이드라인 1.0 주요내용
이번에 과학기술정보통신부가 국내 환경에 적합한 「제로트러스트 가이드라인 1.0」을 마련하여 발표하였는데, 주요내용은 다음과 같습니다.
제로트러스트 가이드라인 1.0은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있습니다.
환경변화
디지털 대전환의 가속화로 네트워크 경계의 확장 및 다변화로 사이버보안 영역 또한 일상생활 및 다양한 산업분야로 확장되었습니다.
모바일·IoT기기, 클라우드 확산과 원격·재택근무 등 비대면 사회의 가속화로 리소스 위치 다변화, 접속 요구 시간·위치 또는 예측이 어려워졌습니다.
기본개념과 보안원리(경계보안 vs 제로트러스트)
경계기반 보안모델은 신뢰하는 자원(내부망)과 신뢰하지 않은 자원(외부망) 사이에 보안 경계를 세우는 방식입니다.
따라서 내부자 공모 또는 권한탈취 후 침투, 권한상승 및 횡적이동을 통한 데이터 유출 위험이 그대로 남아있습니다.
반면, 제로트러스트는 보호해야 할 모든 데이터와 컴퓨팅 서비스를 각각의 자원(Resource)으로 분리하여 보호합니다.
제로트러스트 보안 모델에서는 모든 자원의 경계를 구분하여 분리·보호하고, 하나의 자원에 접속한 후에는 정해진 권한만큼만 활동할 수 있으며, 인근 자원에 대한 추가 접속 요구 시 지속적 인증으로 침투를 제한하게 됩니다.
- 제로트러스트는 ①Enhanced Identity Governance, ②Micro-Segmentation, ③SW Defined Perimeter에 기반을 두며, 각각의 자원에 대한 접속요구에 동적인증을 통한 선인증 후 접속, 이후에도 가시성 확보를 통한 지속적 모니터링으로 보안 수준을 높임
핵심원칙
제로트러스트 보안은 ‘절대 믿지 말고, 계속 검증하라’는 기본철학을 구현하기 위한 ① 강화된 인증(아이디/패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함), ② 마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리), ③ 소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야 함)를 말합니다.
제로트러스트 아키텍처를 구현하기 위한 접근방법으로 이 3가지 핵심원칙을 모두 포함할 때 완성도를 높일 수 있습니다.
제로트러스트 구현 핵심원칙
| 핵심 원칙 | 세부 내용 |
| 인증 체계 강화 | ▲각종 리소스 접근 주체에 대한 신뢰도(사용하는 단말, 자산 상태, 환경 요소, 접근 위치 등을 판단)를 핵심요소로 설정하여 인증 정책 수립 ※기업 내 사용자에 대한 여러 아이디를 허용하여 일관된 정책을 적용하지 않거나, 신뢰도 판단 없이 단일 인증 방식만으로 접속을 허용할 경우 크리덴셜 스터핑에 취약 |
| 마이크로 세그멘테이션 | ▲보안 게이트웨이를 통해 보호되는 단독 네트워크 구역(segment)에 개별 자원(자원그룹)을 배치하고, 각종 접근 요청에 대한 지속적인 신뢰 검증 수행 ※개별 자원별 구역 설정이 없으면, 기업망 내부에 침투한 공격자가 중요 리소스로 이동하기 쉬워 횡적이동 공격 성공 가능성이 높아짐 |
| 소프트웨어 정의 경계 | ▲소프트웨어 정의 경계 기법을 활용하여 정책 엔진 결정에 따르는 네트워크 동적 구성, 사용자·단말 신뢰 확보 후 자원 접근을 위한 데이터 채널 형성 ※클라우드·온프레미스로 구성된 기업 네트워크 내부에서 단말이 임의 데이터를 전송할 수 있다면, 네트워크 및 호스트 취약성에 따르는 피해 가능성이 커짐 |
- [NIST SP 800-207, 제로트러스트 아키텍처에 대한 다양한 접근법(3.1절)을 기반으로 작성
접근제어 원리
보호 대상 자원에 대한 접근 요구에 대해 접속을 허락할지 말지를 결정하는 과정으로 제로트러스트 기본철학을 구현하는 중요한 원리 중 하나입니다.
안전하고 지속적인 접근제어를 위해서 제로트러스트 보안모델은 ‘제어영역’과 ‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 합니다.
- PDP는 정책엔진(PE)과 정책관리자(PA)로 나뉘며, PE는 신뢰도를 판단하여 접속 허가를 최종 결정, PA는 PEP에 명령하여 정책을 실행
- PDP는 PEP 및 다양한 보안솔루션(SIEM, C-TAS, IAM, LMS 등)에서 생성한 보안 정보 등을 바탕으로 한 ‘신뢰도 평가*’를 통해 자원 접근 여부를 결정하고, 접근 허가 후에는 양방향 보안 통신경로 생성
핵심요소의 식별과 관리
제로트러스트 도입을 검토하고 있는 기관 및 기업의 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표를 필요로 합니다.
이를 위해 식별자·신원, 기기, 네트워크, 시스템, 응용·네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의하여 실질적인 정보를 제공할 수 있도록 하였습니다.
제로트러스트 도입을 위한 기업망 핵심요소
| 핵심 요소 | 주요 내용 |
| 식별자∙신원 (Identity & User) |
▲사람, 서비스, IoT 기기 등을 고유하게 설명할 수 있는 속성(속성의 집합) |
| 기기 및 엔드포인트 (Device & Endpoint) |
▲ IoT 기기, 휴대폰, 노트북, PC, 서버 등을 포함하여 네트워크에 연결하여 데이터를 주고받는 모든 하드웨어 장치 |
| 네트워크 (Network) |
▲기업망의 유선 네트워크, 무선 네트워크, 클라우드 접속을 포함하는 인터넷 등 데이터를 전송하기 위해 사용되는 모든 형태의 통신 매체 |
| 시스템 (System) |
▲중요 응용프로그램을 구동하거나 중요 데이터를 저장하고 관리하는 서버 |
| 응용 및 워크로드 (Application & Workload) |
▲기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서 실행되는 서비스 |
| 데이터 (Data) |
▲기업(기관)에서 가장 최우선적으로 보호해야 할 자원 |
도입 참조모델
정부·공공 기관 및 기업 관계자들은 실질적인 도입 전략 수립 시 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시하여 제로트러스트 도입 전후 네트워크 구조 변화 및 보안 효과성 등을 확인할 수 있습니다.
이를 위해 최근 우리나라에 일상화되어 있는 재택·원격지 근무 환경에 제로트러스트 보안모델을 적용한 네트워크에 침투 시나리오를 적용하여 제로트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있게 하였습니다.
- 참조 : NIST SP 800-207(제로트러스트 아키텍처 전개 사이클), 800-37(위험관리 프레임워크 단계)
제로트러스트 가이드라인 1.0 활용
이번에 만들어진 가이드라인 1.0은 7월 10일(월)부터 과학기술정보통신부, KISA 및 유관기관 누리집을 통해 이용할 수 있으며, 과학기술정보통신부는 향후 실증사례의 보안 효과성 분석 결과와 변화되는 환경 등을 고려하여 「제로트러스트 가이드라인 2.0」으로 지속 보완하고 고도해 나갈 계획이라고 합니다.
하반기, SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄은 올해 6월부터 12월까지 통신·금융·공공 분야 등 다양한 환경에 제로트러스트 보안모델을 구현하고, 세계적 수준의 화이트 해커들의 공격 시나리오로 구성된 검증모델을 적용하여 제로트러스트 도입 전·후 보안 효과성을 검증할 계획이라고 합니다.
※ 소문내기 활동으로 해당 광고업체로부터 경제적 대가를 받습니다.
지금까지 '제로트러스트 가이드라인1.0' 발표 관련 소식 전해드렸습니다.
더 자세한 사항은 과학기술정보통신부 누리집을 참고하시기 바랍니다.
감사합니다!
본 포스팅은 과학기술정보통신부 보도자료를 참고하여 작성하였습니다.
(과기정통부, 제로트러스트 가이드라인1.0 발표!, 2023. 7. 9.)
'정보·컴퓨터 > 정보일반' 카테고리의 다른 글
| 2024년 디지털새싹 캠프 무료 운영 - 3월부터 전국 21만여 명 학생 참여 (2) | 2024.03.01 |
|---|---|
| 온라인 코딩파티 (2023 시즌2) 행사기간, 참여대상, 참여방법, 프로그램 알아보기 (0) | 2023.10.12 |
| 2023년 여름방학 디지털새싹 캠프 무료 운영 - 전국 48개 기관 776개 소프트웨어·인공지능 교육 프로그램 (2) | 2023.07.19 |
| 정보보호 전문 인력 양성기관 신규 선정 - 융합보안대학원 2개교, 정보보호특성화대학교 2개교 (0) | 2023.07.10 |
| 2022년 지능정보사회 이용자 패널조사 결과(방송통신위원회) (0) | 2023.06.22 |
| MZ세대 재직자, 정보처리기사 등 디지털 분야 국가기술자격에 관심 높아 (0) | 2023.06.17 |
| 2023년도 소프트웨어 중심대학 13개교(일반 11개, 특화 2개) 선정 (0) | 2023.06.16 |