제로트러스트 아키텍처 실현을 위해서는 ‘접근제어’ 정책 필수
제로트러스트 도입을 위한 5단계, 위험 관리 프레임워크와 연계
‘제로트러스트 가이드라인 1.0’ 제로트러스트 정책 도입 안내책이 될 것으로 전망
[보안뉴스 박은주 기자] 제로트러스트(Zero Trust) 개념을 사용하기 위해 기업이 보안 개념을 세울 때 즉, 제로트러스트 아키텍처를 실현하기 위해 핵심적으로 요구되는 것이 ‘접근제어’ 정책이다. 인가되지 않은 접근을 차단하고, 내부 데이터를 확실하게 보호하기 위한 핵심적인 기술인 셈이다.
[이미지=gettyimagesbank]
접근제어에서 접근 자원에 대한 신뢰도 평가·인증·허가는 ‘정책결정 지점(PDP)’과 ‘정책시행 지점(PEP)’ 간 통신에 의해 결정된다. 정책결정지점은 ‘제어 영역’에 해당하며 다시 ‘정책 엔진(PE)’과 ‘정책관리자(PA)’로 구분된다. 정책 엔진에서는 신뢰도 평가 알고리즘을 기반으로 접근 주체가 리소스에 접근할 수 있는지 최종 결정을 내린다. 정책 관리자는 접근 주체와 리소스 사이의 통신 경로를 생성·폐쇄한다.
▲제로트러스트 접근제어 논리 컴포넌트 구성도[자료=제로트러스트 가이드라인 1.0]
정책시행지점은 ‘데이터 영역’에 해당하며 접근 주체가 리소스에 접근할 시 결정된 정책에 따라 연결과 종료를 담당하게 된다. 정책결정·시행 지점 및 다양한 보안솔루션에서 생성한 보안 정보 등을 바탕으로 ‘신뢰도 평가’를 내리게 된다. 신뢰도 평가는 판단용 데이터를 기반으로 인공지능(AI) 기술을 활용해 결정 내리게 된다. 접근이 허가된 후에는 양방향 보안 통신 경로를 생성하는 역할을 한다.
기업이나 기관에서 본격적으로 제로트러스트 정책을 적용하기까지는 많은 자원과 예산이 필요하고 긴 시간이 소요된다. 이를 위해 다양한 요소를 고려한 도입 계획을 마련해야 한다. 이미 보유하고 있는 자원에 대한 보안 위협을 줄이는 절차로 ‘위험 관리 프레임워크’와 연계해 도입 단계를 검토할 수 있다. 위험 관리 프레임워크는 총 7단계로 △준비 △분류 △선택 △구현 △평가 △인가 △모니터링 과정을 거친다. 제로트러스트 가이드라인 1.0에서는 위험 관리 프레임워크와 함께 세부적인 5단계 도입 절차를 소개하고 있다.
1단계는 ‘준비’다. 제로트러스트를 도입하기 전에 기업망 핵심 요소를 중심으로 각 기업 및 기관의 보안 대상과 수준에 대해 평가 하는 과정이다. 기업망 핵심 요소는 △식별자·신원 △기기 및 엔드포인트 △네트워크 △시스템 △응용 및 워크로드 △데이터 총 6가지를 꼽는다.
2단계는 ‘계획’이다. 가이드라인에서 제시하는 성숙도 모델을 기반으로 기존 보안 체계와 조화를 이뤄 더 높은 수준의 보안성 확보를 위해 도입 설계 및 예산 검토가 시행돼야 한다. 이때, 성숙도 모델이란 제로트러스트 수립의 완성도를 가늠할 수 있는 기준을 제시하는 모델이다. 총 3계로 구분되는데, 제로트러스트를 적용하지 않은 ‘기존(Traditional)’, 제로트러스트의 철학을 부분적으로 도입한 수준인 ‘향상(Advanced)’, 제로트러스트 철학이 전사적으로 적용된 ‘최적화(Optimal)’ 단계가 있다.
제로트러스트 도입 3단계는 ‘구현’이다. 주요 클라우드와 온프레미스 등 자원의 위치와 프로토콜, 다양한 서비스 등을 고려해 각 기업 및 기관 등의 생태계에 적합한 솔루션을 검토하고 구현하게 된다. 4단계는 ‘운영’으로 구현된 제로트러스트 아키텍처에서 6가지 기본 철학을 중심으로 3가지 핵심 원칙이 적절하게 작동할 수 있도록 설정·관리하는 과정이다. 마지막 5단계는 ‘피드백·개선’ 과정이다. 제로트러스트 성숙도 기반과 완성도를 비교한다. 또한, 모니터링 및 개선방안 도출 등 각 단계의 반복적 관리를 통해 수준 고도화를 진행해야 한다.
▲구글의 BeyondCorp 구성도[자료=구글]
제로트러스트 아키텍처를 구축한 글로벌 기업으로 구글의 ‘BeyondCorp’과 MS의 ‘제로트러스트(ZT) 배포센터’가 있다. 구글은 사용자, 디바이스, 애플리케이션에 기반 해 보안을 적용했다. 제로트러스트와 더불어 △IAP(Identity Award Proxy) △IAM(ID 및 접근 관리) △Access Context Manager △엔드포인트 확인 총 4가지 솔루션을 결합해 보안을 실현했다. 또한, 사용자 인증과 접근 요청별로 콘텍트화(user, role, type, label 등)해 세분화된 접근 권한 관리를 가능하게 했다.
▲MS 제로트러스트 배포센터 관리단계[자료=MS]
MS는 제로트러스트 준비 상태를 확인하고, 전략 도입을 지원하기 위해 ‘ZT 배포센터’를 출시했다. 센터를 배포 지침을 기술 부문별로 설명하고, 고객 환경에 특화된 제로트러스트 전략 수립을 지원했다. 또한, △사용자인증 △기기 인증 △데이터관리 △애플리케이션 관리 △인프라 관리 △네트워크 관리 △모니터링·자동화·오케스트레이션 등 7단계를 순차적으로 적용하도록 관리했다. 기존의 신뢰 중심 접근 방식에서 누구도 신뢰하지 않는 방식으로 변화했다.
또한, 가이드라인에는 제로트러스트 도입 전후를 비교해 경계 기반 보안 모델과 제로트러스트 보안 모델의 차이점을 비교한 설명이 담겨있다. 더불어, 실제 연구 및 실험을 기반으로 하는 해킹 시나리오를 적용해 제로트러스트 아키텍처 도입 시 보안이 강화되는 원리를 자세하게 설명하고 있다. 이처럼 ‘제로트러스트 가이드라인 1.0’에서는 국내 제로트러스트 도입과 관련한 다양한 결과들이 적혀져 있다.
지난 4월 과학기술정보통신부는 대통령 직속 디지털플랫폼정부위원회와 함께 ‘디지털플랫폼정부 실현계획’을 발표하면서 디지털환경에서 정보보안을 위한 제로트러스트 도입을 추진하겠다고 밝혔다. 이번에 마련된 ‘제로트러스트 가이드라인 1.0’을 통해 각 기관과 기업의 정보보안 분야에 제로트러스트 정책을 도입하는데 안내책 역할을 할 것으로 보인다.
[박은주 기자(boan5@boannews.com)]
제로트러스트 도입을 위한 5단계, 위험 관리 프레임워크와 연계
‘제로트러스트 가이드라인 1.0’ 제로트러스트 정책 도입 안내책이 될 것으로 전망
[보안뉴스 박은주 기자] 제로트러스트(Zero Trust) 개념을 사용하기 위해 기업이 보안 개념을 세울 때 즉, 제로트러스트 아키텍처를 실현하기 위해 핵심적으로 요구되는 것이 ‘접근제어’ 정책이다. 인가되지 않은 접근을 차단하고, 내부 데이터를 확실하게 보호하기 위한 핵심적인 기술인 셈이다.
[이미지=gettyimagesbank]
접근제어에서 접근 자원에 대한 신뢰도 평가·인증·허가는 ‘정책결정 지점(PDP)’과 ‘정책시행 지점(PEP)’ 간 통신에 의해 결정된다. 정책결정지점은 ‘제어 영역’에 해당하며 다시 ‘정책 엔진(PE)’과 ‘정책관리자(PA)’로 구분된다. 정책 엔진에서는 신뢰도 평가 알고리즘을 기반으로 접근 주체가 리소스에 접근할 수 있는지 최종 결정을 내린다. 정책 관리자는 접근 주체와 리소스 사이의 통신 경로를 생성·폐쇄한다.
▲제로트러스트 접근제어 논리 컴포넌트 구성도[자료=제로트러스트 가이드라인 1.0]
정책시행지점은 ‘데이터 영역’에 해당하며 접근 주체가 리소스에 접근할 시 결정된 정책에 따라 연결과 종료를 담당하게 된다. 정책결정·시행 지점 및 다양한 보안솔루션에서 생성한 보안 정보 등을 바탕으로 ‘신뢰도 평가’를 내리게 된다. 신뢰도 평가는 판단용 데이터를 기반으로 인공지능(AI) 기술을 활용해 결정 내리게 된다. 접근이 허가된 후에는 양방향 보안 통신 경로를 생성하는 역할을 한다.
기업이나 기관에서 본격적으로 제로트러스트 정책을 적용하기까지는 많은 자원과 예산이 필요하고 긴 시간이 소요된다. 이를 위해 다양한 요소를 고려한 도입 계획을 마련해야 한다. 이미 보유하고 있는 자원에 대한 보안 위협을 줄이는 절차로 ‘위험 관리 프레임워크’와 연계해 도입 단계를 검토할 수 있다. 위험 관리 프레임워크는 총 7단계로 △준비 △분류 △선택 △구현 △평가 △인가 △모니터링 과정을 거친다. 제로트러스트 가이드라인 1.0에서는 위험 관리 프레임워크와 함께 세부적인 5단계 도입 절차를 소개하고 있다.
1단계는 ‘준비’다. 제로트러스트를 도입하기 전에 기업망 핵심 요소를 중심으로 각 기업 및 기관의 보안 대상과 수준에 대해 평가 하는 과정이다. 기업망 핵심 요소는 △식별자·신원 △기기 및 엔드포인트 △네트워크 △시스템 △응용 및 워크로드 △데이터 총 6가지를 꼽는다.
2단계는 ‘계획’이다. 가이드라인에서 제시하는 성숙도 모델을 기반으로 기존 보안 체계와 조화를 이뤄 더 높은 수준의 보안성 확보를 위해 도입 설계 및 예산 검토가 시행돼야 한다. 이때, 성숙도 모델이란 제로트러스트 수립의 완성도를 가늠할 수 있는 기준을 제시하는 모델이다. 총 3계로 구분되는데, 제로트러스트를 적용하지 않은 ‘기존(Traditional)’, 제로트러스트의 철학을 부분적으로 도입한 수준인 ‘향상(Advanced)’, 제로트러스트 철학이 전사적으로 적용된 ‘최적화(Optimal)’ 단계가 있다.
제로트러스트 도입 3단계는 ‘구현’이다. 주요 클라우드와 온프레미스 등 자원의 위치와 프로토콜, 다양한 서비스 등을 고려해 각 기업 및 기관 등의 생태계에 적합한 솔루션을 검토하고 구현하게 된다. 4단계는 ‘운영’으로 구현된 제로트러스트 아키텍처에서 6가지 기본 철학을 중심으로 3가지 핵심 원칙이 적절하게 작동할 수 있도록 설정·관리하는 과정이다. 마지막 5단계는 ‘피드백·개선’ 과정이다. 제로트러스트 성숙도 기반과 완성도를 비교한다. 또한, 모니터링 및 개선방안 도출 등 각 단계의 반복적 관리를 통해 수준 고도화를 진행해야 한다.
▲구글의 BeyondCorp 구성도[자료=구글]
제로트러스트 아키텍처를 구축한 글로벌 기업으로 구글의 ‘BeyondCorp’과 MS의 ‘제로트러스트(ZT) 배포센터’가 있다. 구글은 사용자, 디바이스, 애플리케이션에 기반 해 보안을 적용했다. 제로트러스트와 더불어 △IAP(Identity Award Proxy) △IAM(ID 및 접근 관리) △Access Context Manager △엔드포인트 확인 총 4가지 솔루션을 결합해 보안을 실현했다. 또한, 사용자 인증과 접근 요청별로 콘텍트화(user, role, type, label 등)해 세분화된 접근 권한 관리를 가능하게 했다.
▲MS 제로트러스트 배포센터 관리단계[자료=MS]
MS는 제로트러스트 준비 상태를 확인하고, 전략 도입을 지원하기 위해 ‘ZT 배포센터’를 출시했다. 센터를 배포 지침을 기술 부문별로 설명하고, 고객 환경에 특화된 제로트러스트 전략 수립을 지원했다. 또한, △사용자인증 △기기 인증 △데이터관리 △애플리케이션 관리 △인프라 관리 △네트워크 관리 △모니터링·자동화·오케스트레이션 등 7단계를 순차적으로 적용하도록 관리했다. 기존의 신뢰 중심 접근 방식에서 누구도 신뢰하지 않는 방식으로 변화했다.
또한, 가이드라인에는 제로트러스트 도입 전후를 비교해 경계 기반 보안 모델과 제로트러스트 보안 모델의 차이점을 비교한 설명이 담겨있다. 더불어, 실제 연구 및 실험을 기반으로 하는 해킹 시나리오를 적용해 제로트러스트 아키텍처 도입 시 보안이 강화되는 원리를 자세하게 설명하고 있다. 이처럼 ‘제로트러스트 가이드라인 1.0’에서는 국내 제로트러스트 도입과 관련한 다양한 결과들이 적혀져 있다.
지난 4월 과학기술정보통신부는 대통령 직속 디지털플랫폼정부위원회와 함께 ‘디지털플랫폼정부 실현계획’을 발표하면서 디지털환경에서 정보보안을 위한 제로트러스트 도입을 추진하겠다고 밝혔다. 이번에 마련된 ‘제로트러스트 가이드라인 1.0’을 통해 각 기관과 기업의 정보보안 분야에 제로트러스트 정책을 도입하는데 안내책 역할을 할 것으로 보인다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
