제로 트러스트는 회사 네트워크 보안의 외부 및 내부에 있는 모든 연결과 엔드포인트가 위협이라고 가정하는 프레임워크입니다. 이를 통해 기업은 하이브리드 클라우드 환경의 보안 요구 사항을 해결하기 위한 IT 전략을 철저하게 수립할 수 있습니다. 제로 트러스트는 지속적인 적응형 보호를 구현하며 위협을 선제적으로 관리할 수 있는 기능을 제공합니다.

즉, 이 접근 방식은 사용자, 디바이스 또는 연결을 절대 신뢰하지 않으며 모든 트랜잭션에 대해 이 모든 것을 확인합니다. 이를 통해 기업은 전체 비즈니스에서 보안과 가시성을 확보하고 일관된 보안 정책을 시행하여 위협을 더 빠르게 탐지하고 대응할 수 있습니다.

제로 트러스트는 2010년 Google이 개발한 'BeyondCorp' 이니셔티브에서 시작되었습니다. 이 이니셔티브의 목표는 기존의 경계 기반 보안 모델에서 벗어나 ID와 컨텍스트를 기반으로 리소스에 대한 액세스를 보호하는 것이었습니다. 이 전략을 통해 Google은 직원들이 VPN 없이도 어디서나 어떤 디바이스를 사용하든 회사 애플리케이션과 데이터에 안전하게 액세스할 수 있도록 지원할 수 있었습니다.

2014년 Forrester Research의 분석가인 John Kindervag는 '정보 보안의 제로 트러스트 모델' 보고서에서 이 새로운 보안 패러다임을 설명하기 위해 제로 트러스트라는 개념을 만들었습니다. 또한 조직 네트워크 내부와 외부를 막론하고 검증 없이는 누구도 신뢰할 수 없다고 가정하는 새로운 보안 모델을 제안했습니다. 이 보고서는 '절대 신뢰하지 않는다, 항상 확인한다'는 두 가지 기본 원칙을 바탕으로 제로 트러스트 모델을 설명했습니다.

모든 사용자, 디바이스 및 애플리케이션은 신뢰할 수 없는 것으로 간주되며 리소스에 대한 액세스 권한이 부여되기 전에 반드시 확인되어야 합니다. 최소 권한 원칙은 모든 사용자 또는 디바이스에 업무 수행에 필요한 최소한의 액세스 권한만 부여하고, 꼭 필요한 경우에만 액세스를 허용하는 것을 의미합니다.

그 이후로 제로 트러스트 개념은 꾸준히 힘을 얻고 있으며, 많은 조직이 사이버 위협으로부터 디지털 자산을 더 잘 보호하기 위해 제로 트러스트 아키텍처를 채택하고 있습니다. 제로 트러스트는 보안을 강화하고 보안 침해의 위험을 줄이기 위해 배포되는 다양한 보안 원칙과 기술을 포괄합니다.

• ID 기반 제로 트러스트: 모든 사용자 또는 디바이스가 리소스에 액세스하기 전에 인증 및 권한을 부여받는 엄격한 ID 확인 원칙을 기반으로 합니다. 다단계 인증, 액세스 제어 및 최소 권한 원칙을 사용합니다.
• 네트워크 기반 제로 트러스트: 네트워크를 더 작은 세그먼트로 세분화하여 네트워크 경계를 보호하는 데 중점을 둡니다. 특정 리소스에 대한 액세스를 권한 있는 사용자로만 제한하여 공격 표면을 줄이는 것을 목표로 합니다. 방화벽, VPN, 침입 탐지 및 방지 시스템과 같은 기술을 사용합니다.
• 데이터 기반 제로 트러스트: 민감한 데이터를 암호화하고 권한이 있는 사용자로만 액세스를 제한하여 데이터를 보호하는 것을 목표로 합니다. 데이터 분류 및 라벨링, 데이터 손실 방지 및 암호화 기술을 사용하여 저장 중, 전송 중, 사용 중인 데이터를 보호합니다.
• 애플리케이션 기반 제로 트러스트: 애플리케이션과 관련 데이터를 보호하는 데 중점을 둡니다. 모든 애플리케이션을 신뢰할 수 없으며, 민감한 데이터에 액세스하기 전에 반드시 확인해야 한다고 가정합니다. 런타임 보호 및 컨테이너화와 같은 애플리케이션 수준 제어를 사용하여 코드 삽입 및 멀웨어와 같은 공격으로부터 보호합니다.
• 디바이스 기반 제로 트러스트: 디바이스 자체(예: 스마트폰, 노트북, IoT 디바이스)를 보호합니다. 디바이스가 손상될 수 있으며, 민감한 데이터에 액세스하기 전에 반드시 확인해야 한다고 가정합니다. 엔드포인트 보호, 디바이스 암호화, 원격 삭제 기능과 같은 디바이스 수준의 보안 제어를 사용합니다.

이러한 모델들은 함께 작동하여 조직이 공격 표면을 줄이고 보안 태세를 개선하며 보안 침해 위험을 최소화하는 데 도움이 되는 포괄적인 제로 트러스트 아키텍처를 만들 수 있도록 설계되었습니다. 그러나 제로 트러스트 보안 모델의 구체적인 유형과 구현 방식은 조직의 규모, 업종 및 특정 보안 요구 사항에 따라 달라질 수 있다는 점에 유의해야 합니다.

제로 트러스트는 최신 사이버 보안에 대한 인기 있는 접근 방식이 되었습니다. 오늘날 복잡하고 상호 연결된 세상에서 증가하는 사이버 공격과 데이터 유출의 위협에 대처하기 위해 많은 조직에서 제로 트러스트를 도입하고 있습니다. 그 결과 많은 기술 공급업체가 제로 트러스트 아키텍처를 지원하도록 특별히 설계된 제품과 서비스를 개발했습니다.

조직이 사이버 보안 전략에서 제로 트러스트 보안 원칙을 구현하는 데 사용할 수 있는 많은 프레임워크와 표준은 미국 국립표준기술연구소(NIST)의 지침에 따라 마련되었습니다.

NIST는 미국 상무부의 비규제 정부 기관으로, 기업이 네트워크와 데이터를 보호하기 위해 사이버 보안 위험을 더 잘 파악하고 관리하여 위험을 줄일 수 있도록 지원하는 것을 목표로 합니다. NIST는 제로 트러스트에 대해 다음과 같이 몇 가지 권장 종합 가이드를 발표했습니다.

NIST SP 800-207, 제로 트러스트 아키텍처

NIST SP 800-207, 제로 트러스트 아키텍처(ibm.com 외부 링크)는 제로 트러스트 아키텍처의 토대를 확립한 최초의 간행물입니다. 제로 트러스트의 정의를 특정 기술 및 구현 대신 일련의 기본 원칙으로 제시하고 제로 트러스트 아키텍처의 예 또한 다루고 있습니다.

NIST SP 800-207은 지속적인 모니터링과 적응형 위험 기반 의사 결정의 중요성을 강조합니다. 제로 트러스트의 7가지 핵심 요소(기존에는 제로 트러스트의 7가지 원칙으로 알려짐)를 사용하여 제로 트러스트 아키텍처를 구현할 것을 권장합니다.

제로 트러스트의 7가지 핵심 요소

1. 모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주됩니다.
2. 네트워크 위치에 관계없이 모든 통신이 보호됩니다.
3. 개별 엔터프라이즈 리소스에 대한 액세스 권한은 세션 단위로 부여됩니다.
4. 리소스에 대한 액세스는 클라이언트 ID, 애플리케이션/서비스, 요청 자산의 관찰 가능한 상태를 포함한 동적 정책에 의해 결정되며 기타 행동 및 환경 속성을 포함할 수 있습니다.
5. 기업은 모든 소유 자산 및 관련 자산의 무결성과 보안 상태를 모니터링하고 측정합니다.
6. 모든 리소스 인증 및 권한 부여는 동적으로 이루어지며 액세스가 허용되기 전에 엄격하게 시행됩니다.
7. 기업은 자산, 네트워크 인프라 및 통신의 현재 상태에 대해 가능한 한 많은 정보를 수집하여 보안 태세를 개선하는 데 사용합니다.

전반적으로 NIST SP 800-207은 최소 권한, 마이크로 세분화 및 지속적인 모니터링 원칙을 기반으로 하는 제로 트러스트에 대한 전체적인 접근 방식을 장려하여 조직이 위협에 대비하기 위해 여러 기술과 제어를 통합하는 계층화된 보안 접근 방식을 구현하도록 권장합니다.

NIST SP 1800-35B, 제로 트러스트 아키텍처 구현

NIST SP 1800-35B, 제로 트러스트 아키텍처 구현(ibm.com 외부 링크)은 NIST에서 적극 권장하는 또 다른 간행물이며 다음과 같은 두 가지 주요 주제로 구성되어 있습니다.

1. 민간 및 공공 부문의 IT 보안 과제.
2. 상용 기술을 사용하여 표준 기반 접근 방식을 통해 엔터프라이즈 환경 및 워크플로에서 제로 트러스트 아키텍처를 구현하는 '방법' 지침.

이 간행물에서는 민간 및 공공 부문에 적용되는 IT 보안 과제를 제로 트러스트 아키텍처의 원칙 및 구성 요소와 연관시켜 조직이 먼저 요구 사항을 적절히 자가 진단할 수 있도록 안내합니다. 조직은 자가 진단 후 자사 요구 사항을 충족하기 위해 제로 트러스트 아키텍처의 원칙과 구성 요소를 도입할 수 있습니다. 따라서 NIST SP 1800-35B는 특정 유형의 제로 트러스트 모델을 식별하지 않습니다.

NIST는 네 가지 제로 트러스트 아키텍처를 구현하기 위해 반복 개발을 사용합니다. 이 접근 방식을 통해 쉽고 유연하게 해당 제로 트러스트 아키텍처를 점진적으로 개선하면서 시간이 지남에 따라 진화하는 제로 트러스트 프레임워크와 연속성을 유지할 수 있습니다.

NIST에서 구현한 제로 트러스트 아키텍처 4가지:

1. 디바이스 에이전트/게이트웨이 기반 배포.
2. 엔클레이브 기반 배포.
3. 리소스 포털 기반 배포.
4. 디바이스 애플리케이션 샌드박싱.

NIST는 이러한 변화를 주도하고 새로운 위협에 대응하기 위해 IBM과 같은 많은 기술 조직과 전략적 파트너십을 맺고 있습니다.

이러한 협력을 통해 IBM은 기술 솔루션이 제로 트러스트의 7가지 원칙과 핵심 요소에 부합하도록 개발의 우선순위를 정하여 IBM 고객의 시스템과 데이터를 안전하게 보호할 수 있습니다.

IBM의 2022년 데이터 유출 비용(CODB) 보고서에서 제로 트러스트의 중요성에 대해 자세히 알아보거나 IBM의 제로 트러스트 전문가에게 직접 문의하세요.

• 파일 전송을 위한 제로 트러스트 전략 구현
• IBM Security 제로 트러스트 원칙 교육
• NIST SP 800-207, 제로 트러스트 아키텍처(ibm.com 외부 링크)
• NIST SP(Special Publication) 1800-35B, 제로 트러스트 아키텍처 구현(ibm.com 외부 링크)