1. 기존 경계 기반 보안모델의 한계
- 기존 경계 기반 보안모델은 내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화되는 보안 위협에 한계 노출
- 최근 다수 기업들은 SIEM, SOAR, XDR 등 기존 보안기술을 일부 개선한 솔루션을 도입/운영 중이지만 크리덴셜 스터핑, 횡적이동 등 내부로부터 발생하는 사이버 공격에 대해 근본적인 해결 불가
2. 제로트러스트(Zero Trust)의 개념/원리 및 경계 기반 보안모델과 비교
(1) 제로트러스트(Zero Trust)의 개념/원리
| 개념 | 내/외부에 관계없이 모든 사용자나 시스템 연결 및 리소스에 대해 검증 후 신뢰하는 네트워크 보안 모델 |
|---|---|
| 원리 | ① SW Defined Perimeter, ② Micro-Segmentation, ③ Enhanced Identity Governance에 기반을 두며, 각각의 자원에 대한 접속요구에 동적인증을 통한 선인증 후 접속, 이후에도 가시성 확보를 통한 지속적 모니터링으로 보안 수준을 높임 |
| 공격 대응 |
(2) 경계 기반 보안모델과 제로트러스트 비교
| 항목 | 경계 기반 보안모델 | 제로트러스트 |
|---|---|---|
| 개념 | 네트워크 경계에서 권한을 검증 후 내부 사용자나 리소스에 대해 암묵적 신뢰하는 네트워크 보안 모델 | 내/외부에 관계없이 모든 사용자나 시스템 연결 및 리소스에 대해 검증 후 신뢰하는 네트워크 보안 모델 |
| 개념도 | ||
| 가정 | 네트워크 내부 접속 요구(사용자, 기기 등)는 어느 정도 신뢰할 수 있다는 가정에서 출발 | 해커가 네트워크 내·외부 어디든 존재할 수 있으며, 모든 접속 요구는 신뢰할 수 없다는 가정에서 출발 |
| 원리 | 신뢰하는 자원(내부 네트워크)과 신뢰하지 않은 자원(인터넷) 사이에 보안 경계의 벽을 세움 | 보호해야할 모든 데이터와 컴퓨팅 서비스를 각각의 자원(Resource)으로 분리·보호 |
| 신뢰 구역 | 방화벽 등 보안 장비 내부 네트워크 전체 | 내부 네트워크의 개별 리소스 |
- 제로트러스트는 모든 자원의 경계를 구분하여 분리·보호, 하나의 자원에 접속한 후에는 정해진 권한 만큼만 활동이 가능하고, 인근 자원에 대한 추가 접속 요구 시 지속적 인증으로 침투 제한
- 제로트러스트는 하나의 보안 솔루션이 아니라 더 높은 수준의 보안성을 확보하기 위한 개념들의 모음이며, 이에 대한 기본철학, 핵심원칙 및 동작원리를 제시
3. 제로트러스트 기본철학 및 구현 핵심원칙
(1) 제로트러스트 기본철학
| ① 모든 종류의 접근에 대해 신뢰하지 않을 것(명시적인 신뢰 확인 후 리소스 접근 허용) ② 일관되고 중앙집중적인 정책 관리 및 접근제어 결정·실행 필요 ③ 사용자, 기기에 대한 관리 및 강력한 인증 ④ 자원 분류 및 관리를 통한 세밀한 접근제어(최소 권한 부여) ⑤ 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용 ⑥ 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰성 지속 검증·제어 |
(2) 제로트러스트 구현 핵심원칙
| 관련 취약점 | 핵심원칙 | 세부 활동 |
|---|---|---|
| 사용자에 일관된 정책 미적용, 신뢰도 판단 없는 단일 인증 시 크리덴셜 스터핑에 취약 | 인증체계강화 (기본철학 중 ①②③⑥) | – 리소스 접근 주체의 신뢰도를 핵심요소로 인증 정책 수립 – 사용하는 단말, 자산 상태, 환경 요소, 접근 위치 등을 판단 |
| 자원별 구역 미설정 시 내부 침투 공격자가 중요 리소스로 이동하기 쉬워 횡적이동 공격에 취약 | 마이크로 세그멘테이션 (기본철학 중 ②④⑤) | – 보안 게이트웨이로 보호되는 구역(segment)에 자원 배치 – 각종 접근 요청에 대한 지속적인 신뢰 검증 수행 |
| 내부 단말이 임의 데이터 전송 시 네트워크 및 호스트 취약성에 따른 피해 커짐 | 소프트웨어 정의 경계 (기본철학 중 ①②⑤) | – SDP 기반 정책 엔진 결정에 따른 네트워크 동적 구성 – 사용자·단말 신뢰 확보 후 자원 접근 데이터 채널 형성 |
- 제로트러스트는 특정 제품에 종속되지 않으며, 기술적인 접근 외 조직의 문화, 프로세스 개선도 일부분으로 도입 가능
4. 제로트러스트 접근제어 원리 및 도입 위한 핵심 요소
(1) 제로트러스트 접근제어 원리
– PDP는 정책엔진(PE)과 정책관리자(PA)로 나뉘며, PE는 신뢰도를 판단하여 접속 허가를 최종 결정, PA는 PEP에 명령하여 정책을 실행 – PDP는 PEP 및 다양한 보안솔루션(SIEM, C-TAS, IAM, LMS 등)에서 생성한 보안 정보 등을 바탕으로 한 신뢰도 평가를 통해 자원 접근 여부를 결정하고, 접근 허가 후에는 양방향 보안 통신경로 생성 |
| 구분 | 주요 기능 | |
|---|---|---|
| 정책 결정지점 (Policy Decision Point) | 정책 엔진 (Policy Engine) | – 신뢰도 평가 알고리즘 기반으로 접근 주체가 리소스에 접근할 수 있을지 최종 결정 ① 접근정보(OS 이름·버전, 사용중 소프트웨어, 권한 등) → ② 특정기준, 접수, 가중치, 머신러닝 등 다양한 방식으로 신뢰도를 평가하는 알고리즘 |
| 정책 관리자 (Policy Administrator) | – 정책엔진의 결정을 정책시행지점에 알려주어 접근 주체와 리소스 사이 통신 경로 생성 또는 폐쇄 | |
| 정책시행지점 (Policy Enforcement Point) | – 데이터 영역에서 접근 주체가 기업 리소스 접근 시 결정된 정책에 따라 최종적으로 연결·종료 역할 담당 | |
(2) 제로트러스트 도입을 위한 핵심 요소
| 핵심 요소 | 상세 설명 |
|---|---|
| 식별자·신원 (Identity & User) | – 사람, 서비스, IoT 기기 등을 고유하게 설명할 수 있는 속성 |
| 기기 및 엔드포인트 (Device & Endpoint) | – IoT 기기, 휴대폰, 노트북, PC, 서버 등을 포함하여 네트워크에 연결하여 데이터를 주고 받는 모든 하드웨어 장치 |
| 네트워크 (Network) | – 기업망의 유/무선 네트워크, 클라우드 접속을 포함하는 인터넷 등 데이터를 전송하기 위해 사용되는 모든 형태의 통신 매체 |
| 시스템 (System) | – 중요 응용프로그램 구동 및 중요 데이터 저장/관리하는 서버 |
| 응용 및 워크로드 (Application & Workload) | – 기업망 관리 시스템, 프로그램, 온프레미스 및 클라우드 환경에서 실행되는 서비스 |
| 데이터 (Data) | – 기업(기관)에서 가장 최우선적으로 보호해야 할 자원 |
- 방화벽, 네트워크 접근통제 등 단순 일부 제품 도입을 통해 높은 성숙도의 제로트러스트 보안모델 구현은 어려우며, 다양한 정책·제품이 조화를 이루어높은 성숙도의 제로트러스트 보안모델 구현 가능
5. 제로트러스트 성숙도 단계
| 단계 | 세부 상태 | 보안성 수준 |
|---|---|---|
| 기존 (Traditional) | 제로트러스트 아키텍처 미적용 수준, 네트워크 방어에 초점을 맞춘 경계 기반 보안모델 적용 상태 | 정교한 공격, 내부자 공격 등에 일부 취약성을 가짐 |
| 향상 (Advanced) | 제로트러스트 철학을 부분적 도입 수준, 제로트러스트 원칙이 보안 아키텍처에서 핵심 기능이 되는 상태 | 최소 권한 접근, 네트워크 분할, 로깅 및 모니터링 등이 부분적으로 적용되어 기본보다 높은 보안성 달성 |
| 최적화 (Optimal) | 제로트러스트 철학이 전사적으로 적용된 상태 | 운영 자동화, 네트워크 세분화, 신원 지속 검증 통한 최소 권한의 안전한 접근제어 등 보안성 크게 개선 |
- 국내 환경에 적합한 성숙도 3단계 모델과 함께 앞서 제시한 핵심요소(6종)별 성숙도 제시
[참고]
- 한국인터넷진흥원(KISA), 제로트러스트 가이드라인