주요 콘텐츠로 건너뛰기
보라색 육각형 패턴

"제로 트러스트는 네트워크가 손상되었다고 간주되는 상황에서 정보 시스템 및 서비스에서 정확한 최소 권한의 요청당 액세스 결정을 시행하는 데 있어 불확실성을 최소화하도록 설계된 개념과 아이디어 모음입니다."

- National Institute of Standards and Technology(NIST)

사이버 위협이 없는 세상을 상상해 보십시오.해커, 악의적인 내부자, 데이터 유출에 대해 전혀 걱정할 필요가 없는 것입니다. 애초에 보안 팀이 없을 수도 있습니다.

하지만 수많은 위협 벡터가 있고 공격 표면은 확장되고 있으며 민감한 데이터가 표적이 되고 다음 데이터 침해가 발생하기 직전인 오늘날과 같은 현실에서는 그것도 쉽지 않습니다.

반가운 사실은 보안 액세스가 허상이 아니라는 것입니다. 제로 트러스트 원칙을 적용하여 기업 자산을 안전하게 보호하고 급변하는 오늘날 비즈니스 환경에 발생하는 장애물을 완화할 수 있습니다.

제로 트러스트의 중요성, 제로 트러스트가 기업 보안에 어떤 이점을 주는지, 제로 트러스트 아키텍처로 성공적으로 전환하기 위해 조직이 할 수 있는 일에 대해 자세히 알아보십시오.

제로 트러스트란 무엇입니까?

전임 Forrester 분석가인 John Kindervag는 2010년에 제로 트러스트 보안 개념을 개발했습니다. 그는 그 개념을 모든 연결, 장치 및 사용자가 잠재적인 위협 요소이며 그렇게 취급해야 한다고 가정하는 보안 모델이라고 정의했습니다.

대부분의 다른 사이버 보안 전략과 달리 암묵적인 신뢰를 배제하고 조직 내외부의 모든 사용자가 네트워크 액세스 권한을 부여받기 전에 지속적으로 인증을 받아야 합니다. 간단히 말해 제로 트러스트는 역할이나 책임에 관계없이 본질적으로 아무도 안전하지 않다고 가정하는 보안 정책입니다.

또한 제로 트러스트 모델은 네트워크 엣지에 대한 가정을 거부합니다. 오늘날의 환경에서 전통적인 경계는 일련의 미시적 경계로 바뀌었습니다. 예를 들어, 네트워크는 로컬, 클라우드 또는 두 가지가 결합된 형태일 수 있습니다. 또한 원격 액세스가 증가함에 따라 리소스의 위치를 거의 알 수 없습니다.

이에 제로 트러스트 접근 방식은 현대의 데이터 보안 문제를 해결하도록 특별히 고안되어 언제 어디서나 중요한 자산에 안전하게 액세스할 수 있도록 보장합니다. 일반적으로 제로 트러스트 네트워크는 다음을 수행합니다.

  • 모든 트래픽을 기록하고 검사하여 의심스러운 활동과 잠재적인 위협 벡터를 식별
  • 사용자 액세스를 제한하고 제어하며 사용자 ID가 확인된 후에만 요청을 승인
  • 회사 자산을 확인하고 보호하여 무단 액세스 및 노출을 방지

제로 트러스트가 중요한 이유

기업은 안팎으로 전례 없는 규모의 사이버 위협에 직면했습니다. 사이버 범죄자는 활동에 박차를 가하며 민감한 데이터를 맹렬히 노리고 있습니다.

실제로 2023년 말까지 매주 조직당 평균 1,000건이 넘는 공격이 발생했습니다. 2023년에는 전 세계 조직 10개 중 1개가 랜섬웨어 공격 시도를 받았는데, 이는 전년 대비 33% 증가한 수치입니다.

당연하게도 사이버 범죄자는 조금도 수그러들지 않고 있습니다. PwC 데이터에 따르면 임원의 43%가 디지털 및 기술 위험에 이어 사이버 위험 완화를 두 번째로 높은 위험 완화 우선순위로 꼽았습니다.

여기에 최근 몇 년 동안 조직에서 원격 및 하이브리드 근무 정책을 빠르게 채택하며 상황은 더욱 복잡해졌습니다. 이로 인해 기업 네트워크에 연결되는 관리되지 않는 개인 장치가 기하급수적으로 증가하여 기업의 공격 표면이 확대되었습니다.

이러한 엔드포인트에서 보관되고 액세스되는 민감한 데이터를 보호하거나 모니터링할 수 있는 역량이 없다면 조직은 그 어느 때보다도 크게 데이터 유출의 위험을 떠안게 됩니다. 이는 허술한 위협 보안의 대가가 엄청나다는 점을 고려할 때 특히 중요합니다. IBM 보고서에 따르면 단일 데이터 침해로 발생하는 평균 비용은 450만 달러로 나타났습니다. 그러나 제로 트러스트 보안 모델을 구현하면 사고당 100만 달러를 넘게 절약할 수 있습니다.

기업은 디지털 혁신과 관련된 위험도 고려해야 합니다. 오프프레미스 클라우드 기반 애플리케이션에 대한 의존도가 높아짐에 따라 기업은 액세스를 제어하고 보안 정책을 시행하기 위한 새롭고 정교한 전략을 구현해야 합니다.

제로 트러스트가 기존 사이버 보안과 다른 점은 무엇인가요?

기존의 전략은 ‘신뢰하되 검증’하며 접근하는 방식을 취합니다. 즉 기업 방화벽 뒤에 있는 모든 것이 본질적으로 안전하고 보호받는다고 가정합니다.

제로 트러스트 보안은 이름에서 알 수 있듯이 기존 전략과는 정반대입니다. ‘절대 신뢰하지 않고 항상 검증’이라는 관점으로 액세스 정책의 틀을 잡습니다. 제로 트러스트 환경에서는 요청이 발생한 위치나 사용하려는 리소스에 관계없이 네트워크 액세스를 허용하기 전에 완벽하게 인증하고, 권한을 부여하며, 암호화합니다. 그 이후에는 절대 허용하지 않습니다.

따라서 기업 리소스에 기본적으로 액세스할 수 없습니다. 직원은 다양한 상황적 요인에 의해 결정되는 올바른 환경에서만 리소스를 사용할 수 있습니다. 여기에는 사용자 ID, 조직에서의 역할, 요청된 리소스의 민감도, 사용 중인 장치 등이 해당됩니다.

제로 트러스트 프레임워크의 핵심 구성 요소

NIST(National Institute of Standards and Technology)가 특별 간행물 800-207에서 기술한 바와 같이 제로 트러스트 접근 방식은 몇 가지 핵심 철학을 기반으로 합니다. 기본적으로 이 고유한 보안 정책에는 3가지 제로 트러스트 원칙이 있습니다.

  • 지속적인 인증: 허용 가능한 위험 수준에 기반하여 보안 액세스 권한을 부여하는 수단을 의미합니다. 제로 트러스트 접근 방식에 따라 ID, 위치, 장치, 서비스, 워크로드, 데이터 분류 등을 기준으로 사용자에게 권한을 부여해야 합니다. 이러한 상황 분석이 완료되면 사용자는 액세스가 허용되거나, 다른 인증 요청을 통해 추가 정보를 제공하거나, 위험이 매우 높은 경우 액세스가 차단됩니다.
  • 침해 가정: 조직은 항상 데이터 침해를 가정해야 합니다. 즉 지속적으로 네트워크를 세분화하여 종단 간 트래픽을 확인하고 사용자/장치 활동에 대한 가시성을 극대화하여 공격 표면을 줄이거나 제한해야 합니다. 이를 통해 위협 탐지를 촉진하고 이상 징후를 발견하며 항상 방어를 강화할 수 있습니다.
  • 최소 권한 액세스: 액세스는 JIT(Just-in-Time) 및 JEA(Just-Enough-Access) 제어 정책에 따라 제한되어야 합니다. 즉, 사용자 및/또는 장치는 업무를 수행하고 중요한 작업을 완료하는 데 필요한 리소스를 사용할 수 있는 권한만 있어야 합니다.

제로 트러스트의 5가지 핵심 요소 또는 위험 영역

2021년 CISA(Cybersecurity & Infrastructure Security Agency)는 연방 정부 기관이 제로 트러스트를 구현하는 방향을 제공하기 위해 로드맵을 만들었습니다. 이 문서는 제로 트러스트 성숙도 모델로 알려져 있으며 조직에서 다음 위험 영역을 중심으로 자체 제로 트러스트 관행을 설계하고 구현하기 위한 여러 경로 중 하나로 활용할 수 있습니다.

  • ID: 이 영역은 네트워크 액세스를 허용하기 전에 사용자와 장치를 확인하고 권한을 부여하는 데 중점을 둡니다. 여기에는 IAM(ID 및 액세스 관리) 솔루션 또는 MFA(다중 인증) 구현이 해당됩니다.
  • 장치: 기업 네트워크에 연결된 IoT부터 개인 모바일 장치까지 모든 장치는 민감한 데이터를 유출하는 데 악용될 수 있습니다. 이 핵심 요소에는 모든 연결의 인벤토리를 생성하고 무결성을 모니터링하여 위협을 빠르게 탐지하는 것이 포함됩니다.
  • 네트워크: 제로 트러스트 네트워크는 위치나 리소스에 관계없이 모든 트래픽을 보호하고 자체적으로 분할하여 측면 이동을 제한합니다.
  • 애플리케이션 및 워크로드: 이 핵심 요소에는 애플리케이션 수준의 액세스 정책과 기타 메커니즘을 통해 온프레미스 및 클라우드 기반 워크로드를 보호하는 것이 포함됩니다.
  • 데이터: 미사용, 사용 중 또는 이동 중인 모든 데이터는 무단 공개되지 않도록 암호화되고 모니터링되며 보호됩니다.

일회성 제로 트러스트 솔루션 또는 공급업체는 없다는 점을 유념하십시오. 제로 트러스트는 기술뿐만 아니라 문화적 변화와 사고방식도 의미합니다. 기술과 관련해서 기업에는 다양한 도구가 필요하며, 이는 종종 제로 트러스트 아키텍처(ZTA)를 형성하기 위해 여러 계층으로 구성됩니다.

높은 수준에서 이러한 기술에는 다음이 포함됩니다.

  • 행동 기반 생체 인식
  • 위험 기반의 적응형 인증
  • 마이크로 세분화
  • 상황 인식
  • SSO(싱글 사인 온)
  • 비밀번호가 없는 로그인
제로 트러스트 프레임워크

제로 트러스트 아키텍처의 이점

제로 트러스트라는 용어는 꽤 오랫동안 사용되어 왔지만, 구현 방식에 관한 실제 방향은 아직 살펴봐야 할 점이 있습니다. 그러나 많은 조직에서는 이 원칙을 철저히 실천하기 위해 노력하고 있습니다. 실제로 2024년 제로 트러스트 및 암호화 현황 연구에 따르면 Ponemon Institute에서 조사한 조직의 61%가 자체 제로 트러스트 여정을 시작한 것으로 나타났습니다. 또한 Gartner가 예측한 바에 따르면 2026년까지 대기업의 최소 10%가 성숙하고 측정 가능한 제로 트러스트 아키텍처를 갖출 것이라고 합니다.

제로 트러스트의 이점을 떠올리면 그 이유를 알 수 있습니다. 강력한 제로 트러스트 보안 정책의 이점은 다음과 같습니다.

  • 암묵적인 신뢰를 최소화하고 기존 네트워크 보안을 뛰어넘어 조직의 위험을 경감
  • 민감한 데이터를 보호하고 위협 벡터를 완화하여 규정 준수를 지원
  • 애플리케이션 수준 액세스 제어로 다중/하이브리드 클라우드 배포를 보호
  • VPN을 교체 또는 보강하여 원격 액세스 및 암호화를 강화
  • 공격 표면이 잘 방어되고 있다는 확신을 통해 직원을 신속하게 온보딩하고 비즈니스를 확장

제로 트러스트를 어떻게 구현하나요?

일반적으로 구현 프로세스는 다음과 같은 몇 가지 기본 단계로 나눌 수 있습니다.

  1. 보호 표면 식별: 즉 해커가 목표로 삼을 수 있는 엔드포인트, 사용자, 애플리케이션, 서버 및 데이터 센터를 포함한 모든 중요 자산을 평가합니다.
  2. 데이터가 있는 위치와 흐름 매핑: 이 과정을 통해 네트워크 트랜잭션을 검사하고 확인하여 적합한 사용자와 애플리케이션만 올바른 자산에 액세스하도록 보장할 수 있습니다.
  3. ID 우선 접근 방식 사용: 기존의 보안 경계가 없으면 ID가 새로운 경계가 되며 이제는 데이터 보안의 최전선에 서게 됩니다. 따라서 인증서 기반의 ID 및 액세스 관리 기술은 중요한 자산이 악의적인 사람의 손에 들어가지 않도록 하는 데 핵심적입니다.
  4. 모니터링, 유지 관리, 개선: 환경을 지속적으로 모니터링하면 위험 감지를 줄일 수 있고 선제적으로 취약점을 발견하여 실시간으로 완화할 수 있습니다. 키, 인증서, 비밀과 같은 자격 증명의 경우 수명주기 관리 및 자동화가 필수입니다.

제로 트러스트를 구현하는 데에는 시간이 걸리고 어려움도 따릅니다. 다양한 정책, 절차, 기술이 필요하므로 이 과정은 수년간 노력해야 하는 경우가 많습니다.

또한 레거시 시스템에서는 많은 이전 도구가 호환되지 않거나 일부 제로 트러스트 원칙을 지원할 수 없기 때문에 또 다른 중대한 문제를 안고 있습니다. 기존 보안 제어를 교체하고 기술을 현대화하는 것은 비용이 많이 드는 과정일 수 있으며 재정적 제약으로 인해 추가적인 장벽이 생길 수 있습니다.

이러한 요인을 감안한다면 단계별 반복 접근 방식이 가장 적합합니다. 시간을 들여 점진적으로 변경하면 시간이 지나면서 보안 태세가 개선되고 강화될 것입니다.

제로 트러스트를 구현하는 방법에 대한 자세한 내용은 이 가이드를 참조하십시오.

Entrust가 제로 트러스트 여정을 지원하는 방법

Entrust는 제로 트러스트가 기업 사이버 보안의 모범 사례임을 알고 있습니다. 이것이 Entrust가 제로 트러스트 아키텍처 개발의 튼튼한 기반을 마련할 수 있는 솔루션 포트폴리오를 개발한 이유입니다.

총체적으로 Entrust의 솔루션은 다음 세 가지 중요한 구성 요소에 걸쳐 기본을 지키고 사용자를 보호하도록 고안되었습니다.

  • 피싱 방지 ID: 도난 및 유출된 자격 증명은 데이터가 침해되는 가장 일반적인 두 가지 근본 원인입니다. Entrust는 MFA, 패스워드리스 보안, 적응형 제어 정책, 생체 인식 및 기타 도구를 결합하여 ID 기반 공격의 위험을 완화합니다.
  • 중요 인프라 보호: 데이터는 공공 및 개인 네트워크를 통해 끊임없이 이동하고, 액세스하려는 사용자와 기계의 수가 늘어나면서 이러한 연결과 엔터티를 보호해야 합니다. 디지털 인증서는 강력한 신원, 암호화, 서명을 제공하고 액세스 제어를 시행하여 성숙하고 탄력적인 보안 관행을 구축하는 데 필수 요소입니다.
  • 데이터 보호: Entrust의 포트폴리오는 분산형 키 인프라를 유지하면서 미사용, 사용 중, 이동 중인 데이터를 암호화합니다. 이를 통해 기밀성, 무결성 및 보안 액세스를 보장하는 동시에 엄격한 규정 준수 요구 사항도 충족할 수 있습니다.

Entrust는 단순한 공급자가 아니라 매 순간 동행하는 파트너입니다.

제로 트러스트 솔루션에 대한 정보와 Entrust가 오늘날 사용자의 ID, 연결 및 데이터를 안전하게 보호하는 방식을 자세히 알아보십시오.