제로트러스트, ‘보안 설계의 패러다임’ 변화 불러와
[보안뉴스 박은주 기자] ‘절대 신뢰하지 않고, 항상 검증한다.’ 전 세계 주요 국가의 필수적인 사이버 보안 전략인 제로트러스트의 핵심 개념이다. 현대 IT 환경에서 클라우드 서비스 확산, 원격근무 증가 등 다양한 업무 환경과 기기 사용으로 내·외부 네트워크 경계가 불분명해졌다. 내·외부간 네트워크 경계를 기반으로 작동하는 전통적인 보안 방식에서 공간 구분 없이 지속적인 인증과 검증을 요구하면서 제로트러스트 보안 필요성이 대두된 것이다.
[이미지=gettyimagesbank]
제로트러스트 정책 및 글로벌 동향
특히 국가 망분리 개선안의 핵심인 ‘다중보안체계(MLS)’ 정책이 발표되면서 제로트러스트에 대한 관심이 높아지고 있다. 제로트러스트와 MLS를 구현하는데 갖춰야 할 환경이 닮아 있기 때문이다. MLS는 업무 중요도에 따라 데이터를 기밀(C)·민감(S)·공개(O) 3가지 등급으로 나누고 등급별 보안대책을 마련하는 국가 망분리 개선안이다. 이때 △명시적 검증(Verify explicitly) △최소 권한 접근(Least Privilege Access) △침해를 전제로 한 설계(Assume Breach) 등 요건이 마련돼야 한다.
▲순천향대학교 염흥열 교수[사진=보안뉴스]
CSK 2024에서 순천향대학교 염흥열 교수는 ‘제로트러스트 기술과 정책 동향’을 주제로 발표하며 “다층보안체계를 이루기 위해서는 제로트러스트 기술이 기반이 돼야 한다”고 말했다.
2021년 미국 바이든 정부에서 ‘국가 사이버 보안 강화 행정명령’을 통해 연방정부 시스템에 제로트러스트 아키텍처 도입을 발표한 이후, 미국 주도로 제로트러스트가 글로벌 사이버 보안 전략에 필수 요소로 자리 잡았다. 영국 또한 제로트러스트 설계 원칙을 발표했고, 한국 역시 2023년 과학기술정보통신부와 한국인터넷진흥원에서 ‘제로트러스트 가이드라인 v1.0’을 발표했다.
마이크로소프트의 제로트러스트 적용 사례
마이크로소프트의 아키텍처 및 기술을 활용한 제로트러스트 모델은 △사용자 인증 △엔드포인트 보안 △애플리케이션 보호 등 다양한 측면에서 보안을 강화하는 데 중점을 두고 있다. 특히, 클라우드 기반 보안 솔루션을 통해 디바이스와 애플리케이션에 대한 통합 관리 및 보호를 제공한다. 이때 마이크로소트는 제로트러스트가 단순 기술 도입을 넘어 보안 설계 패러다임의 변화라는 측면에 초점을 맞추고 있다.
▲마이크로소프트 신종회 CSO[사진=보안뉴스]
마이크로소프트 신종회 CSO는 CSK 2024에서 ‘마이크로소프트 아키텍처 및 기술을 활용한 제로트러스트 적용 사례’를 공유하며 “침해사고의 출발점은 단순 실수에서 시작된다”며 “엔드포인트를 확인하고, 마이크로 세그멘테이션된 저-중-고 등급별로 보안 정책을 적용해 보안을 유지할 수 있다”고 설명했다.
이밖에도 △인증 방식의 현대화와 클라우드에서 아이디 관리 △환경 전반에 걸쳐 엔드포인트 보호 및 관리 간소화 △애플리케이션 관리 통합으로 가시성과 위협 제어력 향상 등의 방안을 제시했다. 이로 인해 전반적인 보안 위험을 줄이고, 조직 내 보안 거버넌스를 효과적으로 구축할 수 있었다는 설명이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>