아무도 믿지 않는다, 제로 트러스트(Zero Trust)
안녕하세요, 정보보호 전문 업체 보안클라우드입니다. 곧 4 년 차로 접어드는 코로나 팬데믹 시대에 여러 가지 변화가 있었지만, 그중 큰 변화는 사무실 또는 집에서 가까운 스마트 오피스에 출근하여 업무를 진행하는 환경에서 집에서 근무하는 재택근무 및 원격 근무로 대체 확산되었다는 점입니다. 이러한 근무 환경은 통근 시간과 직원들의 체력 소모를 절약하여 업무 집중력과 효율성을 증대시키는 장점이 있습니다. 반면에 재택·원격 근무를 하기 위해서는 흔히 사용하는 일반 인터넷(외부망)이 아닌 기업의 업무용 서버(내부망)에 접근해야 합니다. 대부분의 기업들은 가상사설망(VPN)을 구축하여 외부망에서 기업의 업무용 서버에 접근할 수 있도록 하고 있습니다. 하지만 이를 보안적인 관점에서 보면 많은 시스템이 클라우드로 연결되어 있고 공격 가능한 채널이 다양해지면서 보안 위협이 증가되었다고 볼 수 있습니다. 이러한 보안 위협을 대처하기 위하여 나타난 보안 패러다임이 제로 트러스트(Zero Trust)인데요, 오늘은 이 제로 트러스트에 대하여 알아보도록 하겠습니다.
제로 트러스트(Zero Trust)
"어떠한 것도 믿지 않는다는 원칙"을 가진 보안 패러다임
내부자에 의한 유출 비율의 증가와 정보통신 기술의 융합으로 이루어지는 차세대 산업혁명인 제4차 산업혁명에서 데이터의 중요성이 부각되고 있습니다. 이로 인하여 말 그래도 "신뢰가 없다"라는 뜻을 가진 제로 트러스트가 부각되었습니다. 제로 트러스트는 "아무도 믿지 않는다"라는 원칙을 가진 보안 패러다임으로 네트워크나 사용자, 디바이스, 데이터에 접근 요청 시 아무것도 신뢰하지 않는 보안 전략입니다. 즉 접근하기 위해서는 사용자가 누구인지, 인가된 디바이스인지, 접근 권한이 유효한지 등 유효성을 검사한 후에 최소한의 권한을 얻어 접근하게 됩니다. 현대의 IT 시스템은 단일로만 구성되어 있지 않는데, 다른 IT 시스템에 접근할 경우에도 앞서 언급한 유효성 검증을 수행하게 됩니다. 제로 트러스트와 다르게 전통적인 보안 방식이라 불리는 경계 보안 모델(Perimeter Security Model)에 대해서도 알아보겠습니다.
경계 보안 모델(Perimeter Security Model)
전통적인 보안 방식
경계 보안 모델이란 방화벽 개념의 보안 방식입니다. 경계 보안 모델은 내외부를 구분 짓고 내부 외에 있는 것을 위협이라 간주하는 방식입니다. 즉, 기업에서 사용하는 내부망과 일반 인터넷을 사용하는 외부망을 구분 짓고 내부망에 있는 사용자나 디바이스 등을 신뢰하고 외부망에 대하여 신뢰하지 않는다는 것입니다.
제로 트러스트와 기존 보안 방식인 경계 보안 모델을 알아보았는데 이 둘을 비교하여 보겠습니다.
경계 보안 모델 || 제로 트러스트
전통적인 기존 보안 방식과 10년 만에 부상되는 보안 방식의 차이는?
전통적인 기존 보안 방식에서는 내부망에 존재하는 것은 신뢰하며, 외부에 존재하는 것은 신뢰하지 않는다는 것이지만. 이는 내부망에 있더라도 내부 사용자가 실수 또는 보안 의식의 부족으로 보안 사고로 이어질 수 있습니다. 또한 IT 시스템 접근 시 해당 보안 방식을 통과하게 되면 IT 시스템 안에 있는 모든 IT 시스템의 자원들을 자유롭게 접근할 수 있습니다. 업무와 관련이 없는 모든 IT 시스템에 접근이 가능하다는 것이죠. 내부에 유출자가 있다고 가정을 한다면 모든 IT 시스템이 유출이 될 수 있는 위험성을 가지고 있습니다. 최근에는 업무 환경의 변화와 기술 발전에 따른 IT 시스템 추가 도입으로 인하여 IT 시스템에 접근할 수 있는 방법이 많아지고 있어 보안 위협이 늘어나고 있습니다. 보안 관리자가 IT 시스템에 존재하는 모든 사용자 및 디바이스를 관리하고 모니터링한다는 것은 매우 어렵습니다. 불신을 기반으로 하는 제로 트러스트 모델은 IT 시스템에 접근하기 전에 사용자 확인과 어떠한 접근 권한을 가지고 있는지, 인가된 장비인지 등 엄격한 유효성 검증을 통하여 최소한의 권한을 부여하고 다른 IT 시스템에 접근한다 하여도 다시 유효성 검증을 해야 합니다. 이와 같은 제로 트러스트는 매우 엄격한 접근 방식으로 인증을 초점에 두고 경계 보안 모델은 허용되지 않은 IP 및 디바이스에서의 접근, IT 시스템 로그인 인증 실패 시 접근 차단 등 허가받지 않은 사용자 또는 단말기에 대하여 접근 차단을 목적으로 하고 있습니다.
이상으로 제로 트러스트에 대하여 짧은 지식을 공유해 보았는데, 모든 기업에서 제로 트러스트 방식이 적합하다고는 할 수 없습니다. 어떤 기업에서는 경계 보안 모델이 적합할 수 있고 어떠한 기업에서는 제로 트러스트 방식이 적합할 수 있습니다. 제로 트러스트와 경계 보안 모델 어떤 방식이어도 증가하는 보안 위협과 미쳐 파악하지 못한 보안 취약점에 대항하기 위하여 보안 취약점을 최소화시키는 방법을 고려하는 것은 필요한 일입니다. 기업의 근무 형태, IT 시스템 등을 파악하여 적절한 보안 메커니즘을 선택하여 증가하는 보안 위협에 잘 대처하시길 바라겠습니다. 그럼 다음에는 더 유익한 정보로 찾아뵙겠습니다.