비대면·디지털 확산으로 물리적 경계 허물어지며 보다 세밀한 보안 체제 구현 필요성↑
KISA, 제로트러스트 도입 절차에 따른 준비과정 및 필요전략 소개
올해 하반기 제로트러스트 보안 모델 실증사업과 가이드라인 고도화 진행 계획
[보안뉴스 이소미 기자] ‘제로트러스트’는 단순 사이버 보안 전략의 일부분이 아닌 ‘절대 아무것도 믿지 말라’는 개념적인 ‘철학’이다. 이미 미국은 NIST의 문서 발표 후 미국 연방 정부 행정명령을 통해 연방정부 차원의 제로트러스트를 본격 도입 중에 있다. 이러한 가운데 국내에서는 지난 6월 ‘제로트러스트 가이드라인 1.0’을 일반인 대상의 요약본과 보안 전문 책임자·실무자 대상의 전체본으로 나눠 발간했다.
[이미지=gettyimagesbank]
제로트러스트 개념의 출현은 코로나19로 인해 디지털·비대면 전환이 더욱 가속화되면서 비대면·디지털 확산으로 물리적인 경계가 점차 사라진 데서 비롯됐다. 모바일·IoT 기기 확산으로 클라우드 기반의 재택·원격근무 환경이 조성되면서 사이버 위협 대상은 ‘언제·어디서든·누구든지’로 확장되기에 이르렀다. 이와 함께 사이버 공격 역시 고도화되면서 주요국들은 정보보호산업 육성을 위한 국가차원의 전략들이 마련되기 시작한 것이다.
이에 한국인터넷진흥원(이하 KISA)의 최영준 정책대응팀장은 제로트러스트 가이드라인 1.0의 개요와 원리와 제로트러스트 모델에 따른 주요 내용을 설명하고 향후 민간 기업 대상으로의 제로트러스트 실증사업에 대해 소개하는 자리를 가졌다.
▲제로트러스트 가이드라인 1.0으로 본 구현 전략 발표 중인 KISA 최영준 정책대응팀장[사진=KISA]
최영준 정책대응팀장은 제로트러스트 철학이 주목받는 이유에 대해 △ICT 보안의 복잡성 증가 △경계 기반의 네트워크 보안 전략 △경계 네트워크 밖의 기기들 △ID 기반 공격인 피싱·자격 증명 도용으로의 전환 등을 설명했다. 실제 최근 해킹·랜섬웨어 공격사례가 기하급수적으로 증가하면서 기존 경계 기반 보안 모델의 한계점이 부각됐다고 최 팀장은 말했다.
공격자들의 기술적인 공격에 대응하기 위해서는 △더욱 세밀한 인증체계 △보호 대상 분리·보호 △정확한 접근 요구 제어 및 최소 권한 부여 등을 할 수 있는 신(新) 보안 체계가 필요하다고 설명했다. 따라서 제로트러스트는 △강화된 인증 △마이크로 세그멘테이션 △소프트웨어 정의 경계라는 핵심 원칙을 갖고 있다.
이와 함께 최 팀장은 보안 시장 규모가 확대됨과 동시에 제로트러스트 기술력·솔루션에 대한 과장된 홍보를 주의할 것을 당부했다. 제로트러스트 철학이 위험을 완화할 수는 있지만, 모든 보안 위험·공격을 완벽하게 제거할 수 없으며, 제로트러스트 보안 기술 구현·운용 과정 자체 내 보안 취약점을 가질 수 있다고 지적했다.
또한, 제로트러스트 철학의 완전성에 대해 기관 목표 수준에 따라 달라질 수 있지만 고수준의 제로트러스트는 단기간 달성이 어렵다고 보는 게 타당하다고 말했다. 이어 기존 보안 기술에 제로트러스트 도입·전환 시 기존 기술의 일률적 제거보다는 부작용을 최소화하는 접근법을 적용하고, 직원들의 불편을 최소화하며 보안성을 유지하는 전략이 필요하다고 전했다.
▲경계보안 Vs 제로트러스트 보안 비교[자료=KISA]
국내 제로트러스트 적용을 위해 포럼 전문가들은 미국 CISA·DoD 등 해외 사례를 바탕으로 금융망 및 국가 기반시설·공공 클라우드 보안 인증기준 등을 고려해 국내 환경에 적합한 핵심요소(6종)과 성숙도 모델을 도출해냈다.
그 결과, 실질적인 제로트러스트 도입은 자원·시간·소요예산 등이 필요한 작업으로 충분한 검토 및 체계적인 준비가 필요하며, 다양한 요소를 고려한 도입 계획 수립도 필요하다는 의견이다. 따라서 보유 자원에 대한 보안 위협을 줄이기 위한 절차로 ‘위험 관리 프레임워크(NIST)’와 연계해 검토 가능할 것으로 보인다. 이에 일반적인 원격지 근무환경에 제로트러스트 아키텍처 도입 시 ‘횡적이동 불가’ 등 보안 강화가 가능할 것으로 기대하고 있다.
▲제로트러스트 도입을 위한 세부 절차[자료=KISA]
한편, 올해 하반기에 진행될 실증사업으로 SGA솔루션즈·프라이빗테크놀러지 컨소시엄이 통신·금융·공공 분야 등 다양한 환경에 제로트러스트 보안 모델을 구현할 예정이다. 이를 통해 세계적인 화이트해커들이 공격 시나리오로 구성된 검증 모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다. 제로트러스트 가이드라인 1.0도 기업 자체적인 실증 사례 적용 등을 포함해 고도화할 예정이다.
[이소미 기자(boan4@boannews.com)]
KISA, 제로트러스트 도입 절차에 따른 준비과정 및 필요전략 소개
올해 하반기 제로트러스트 보안 모델 실증사업과 가이드라인 고도화 진행 계획
[보안뉴스 이소미 기자] ‘제로트러스트’는 단순 사이버 보안 전략의 일부분이 아닌 ‘절대 아무것도 믿지 말라’는 개념적인 ‘철학’이다. 이미 미국은 NIST의 문서 발표 후 미국 연방 정부 행정명령을 통해 연방정부 차원의 제로트러스트를 본격 도입 중에 있다. 이러한 가운데 국내에서는 지난 6월 ‘제로트러스트 가이드라인 1.0’을 일반인 대상의 요약본과 보안 전문 책임자·실무자 대상의 전체본으로 나눠 발간했다.
[이미지=gettyimagesbank]
제로트러스트 개념의 출현은 코로나19로 인해 디지털·비대면 전환이 더욱 가속화되면서 비대면·디지털 확산으로 물리적인 경계가 점차 사라진 데서 비롯됐다. 모바일·IoT 기기 확산으로 클라우드 기반의 재택·원격근무 환경이 조성되면서 사이버 위협 대상은 ‘언제·어디서든·누구든지’로 확장되기에 이르렀다. 이와 함께 사이버 공격 역시 고도화되면서 주요국들은 정보보호산업 육성을 위한 국가차원의 전략들이 마련되기 시작한 것이다.
이에 한국인터넷진흥원(이하 KISA)의 최영준 정책대응팀장은 제로트러스트 가이드라인 1.0의 개요와 원리와 제로트러스트 모델에 따른 주요 내용을 설명하고 향후 민간 기업 대상으로의 제로트러스트 실증사업에 대해 소개하는 자리를 가졌다.
▲제로트러스트 가이드라인 1.0으로 본 구현 전략 발표 중인 KISA 최영준 정책대응팀장[사진=KISA]
최영준 정책대응팀장은 제로트러스트 철학이 주목받는 이유에 대해 △ICT 보안의 복잡성 증가 △경계 기반의 네트워크 보안 전략 △경계 네트워크 밖의 기기들 △ID 기반 공격인 피싱·자격 증명 도용으로의 전환 등을 설명했다. 실제 최근 해킹·랜섬웨어 공격사례가 기하급수적으로 증가하면서 기존 경계 기반 보안 모델의 한계점이 부각됐다고 최 팀장은 말했다.
공격자들의 기술적인 공격에 대응하기 위해서는 △더욱 세밀한 인증체계 △보호 대상 분리·보호 △정확한 접근 요구 제어 및 최소 권한 부여 등을 할 수 있는 신(新) 보안 체계가 필요하다고 설명했다. 따라서 제로트러스트는 △강화된 인증 △마이크로 세그멘테이션 △소프트웨어 정의 경계라는 핵심 원칙을 갖고 있다.
이와 함께 최 팀장은 보안 시장 규모가 확대됨과 동시에 제로트러스트 기술력·솔루션에 대한 과장된 홍보를 주의할 것을 당부했다. 제로트러스트 철학이 위험을 완화할 수는 있지만, 모든 보안 위험·공격을 완벽하게 제거할 수 없으며, 제로트러스트 보안 기술 구현·운용 과정 자체 내 보안 취약점을 가질 수 있다고 지적했다.
또한, 제로트러스트 철학의 완전성에 대해 기관 목표 수준에 따라 달라질 수 있지만 고수준의 제로트러스트는 단기간 달성이 어렵다고 보는 게 타당하다고 말했다. 이어 기존 보안 기술에 제로트러스트 도입·전환 시 기존 기술의 일률적 제거보다는 부작용을 최소화하는 접근법을 적용하고, 직원들의 불편을 최소화하며 보안성을 유지하는 전략이 필요하다고 전했다.
▲경계보안 Vs 제로트러스트 보안 비교[자료=KISA]
국내 제로트러스트 적용을 위해 포럼 전문가들은 미국 CISA·DoD 등 해외 사례를 바탕으로 금융망 및 국가 기반시설·공공 클라우드 보안 인증기준 등을 고려해 국내 환경에 적합한 핵심요소(6종)과 성숙도 모델을 도출해냈다.
그 결과, 실질적인 제로트러스트 도입은 자원·시간·소요예산 등이 필요한 작업으로 충분한 검토 및 체계적인 준비가 필요하며, 다양한 요소를 고려한 도입 계획 수립도 필요하다는 의견이다. 따라서 보유 자원에 대한 보안 위협을 줄이기 위한 절차로 ‘위험 관리 프레임워크(NIST)’와 연계해 검토 가능할 것으로 보인다. 이에 일반적인 원격지 근무환경에 제로트러스트 아키텍처 도입 시 ‘횡적이동 불가’ 등 보안 강화가 가능할 것으로 기대하고 있다.
▲제로트러스트 도입을 위한 세부 절차[자료=KISA]
한편, 올해 하반기에 진행될 실증사업으로 SGA솔루션즈·프라이빗테크놀러지 컨소시엄이 통신·금융·공공 분야 등 다양한 환경에 제로트러스트 보안 모델을 구현할 예정이다. 이를 통해 세계적인 화이트해커들이 공격 시나리오로 구성된 검증 모델을 적용해 제로트러스트 도입 전후 보안 효과성을 검증할 계획이다. 제로트러스트 가이드라인 1.0도 기업 자체적인 실증 사례 적용 등을 포함해 고도화할 예정이다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
