제로 트러스트란 보안위협이 언제 어디서든 발생할 수 있다는 상황을 전제로 보안 요건을 갖추지 않은 사용자나 기기에 대한 접근을 제한하고, ‘내부 데이터 보호’에 집중하는 새로운 보안 패러다임이다.

제로 트러스트의 철학은,
1. 모든 종류의 접근에 대해 신뢰하지 않을 것
2. 일관되고 중앙 집중적인 정책 관리 및 접근제어 결정·실행 필요
3. 사용자, 기기에 대한 관리 및 강력한 인증
4. 자원 분류 및 관리를 통한 세밀한 접근 제어(최소한의 권한 부여)
5. 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용
6. 모니터링, 로그 기록 등을 통한 신뢰성 지속 검증·제어

제로 트러스트 아키텍처 구현은 네트워크 환경에 차이가 있을 수 있으나, 완전한 제로 트러스트의 개념은 3가지 핵심 원칙을 모두 포함해야 한다.
1. 인증체계를 강화하려면 각종 자원에 접근하는 단말, 자산상태, 환경 요소 등의 신뢰도를 핵심 요소로 설정하고 인증 정책을 수립해야 한다.
2. 마이크로 세그멘테이션 구현을 위해서는 보안 게이트웨이를 통해 보호되는 단독 네트워크 구역에 개별 자원을 배치해야 한다. 이후 각종 접근 요청에 대한 지속적인 신뢰 검증을 수행하게 된다.
3. ‘소프트웨어 정의 경계’를 사용해 정책 엔진 결정에 따르는 네트워크 동적 구성, 사용자·단말 신뢰 확보 후 자원 접근을 위한 데이터 채널을 형성한다.

위험 관리 프레임워크는 1단계 ‘준비’, 2단계 ‘계획’, 3단계 ‘구현’, 4단계 ‘운영’, 5단계 ‘피드백, 개선’ 등의 단계를 거친다.

1단계 준비 : 제로트러스트를 도입하기 전에 기업망 핵심 요소를 중심으로 각 기업 및 기관의 보안 대상과 수준에 대해 평가하는 과정. 기업망 핵심 요소는 ‘식별자·신원’, ‘기기 및 엔드포인트’, ‘네트워크’ ‘시스템’, ‘응용 및 워크로드’, ‘데이터’ 등 6가지를 꼽는다.

2단계 계획 : 가이드라인에서 제시하는 성숙도 모델을 기반으로 기존 보안 체계와 조화를 이뤄 더 높은 수준의 보안성 확보를 위해 도입 설계 및 예산 검토 시행.

3단계 구현 : 주요 클라우드와 온프레미스 등 자원의 위치와 프로토콜, 다양한 서비스 등을 고려해 각 기업 및 기관 등의 생태계에 적합한 솔루션을 검토하고 구현.

4단계 운영 : 구현된 제로 트러스트 아키텍처에서 6가지 기본 철학을 중심으로 3가지 핵심 원칙이 적절하게 작동할 수 있도록 설정·관리하는 과정.

5단계 피드백, 개선 : 제로 트러스트 성숙도 기반과 완성도를 비교하며, 모니터링 및 개선방안 도출 등 각 단계의 반복적 관리를 통해 수준 고도화 진행.
[제작=서울여자대학교 정보보호학과 학생회 플레이스]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>