제로 트러스트는 최신 멀티클라우드 네트워크를 위한 보안 전략입니다. 제로 트러스트 보안 모델은 네트워크 경계에 초점을 맞추는 대신 사용자, 디바이스, 애플리케이션 및 데이터 간의 각 개별 연결에 대해 보안 정책을 적용합니다.
제로 트러스트는 네트워크 내부의 모든 사용자에게 암묵적인 신뢰를 부여하는 것이 아니라 '절대 신뢰하지 않고 항상 확인'한다는 원칙에 따라 작동합니다. 이렇게 세분화된 보안 방식은 원격 근무자, 하이브리드 클라우드 서비스, 개인 소유 디바이스, 오늘날 기업 네트워크의 기타 요소로 인해 발생하는 사이버 보안 위험을 해결하는 데 도움이 됩니다.
공격 표면이 증가함에 따라 보안 태세를 개선하기 위해 제로 트러스트 모델을 채택하는 조직이 점점 더 많아지고 있습니다. 2024년 TechTarget Enterprise Strategy Group 보고서에 따르면 조직의 3분의 2 이상이 전사적으로 제로 트러스트 정책을 구현하고 있다고 답했습니다.1
법률 및 규제 요구 사항이 진화함에 따라 제로 트러스트 도입도 촉진되고 있습니다. 예를 들어, Joseph Biden 미국 대통령의 2021년 행정 명령은 모든 미국 연방 기관에 제로 트러스트 아키텍처(ZTA)를 구현하도록 지시했습니다.2
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
제로 트러스트 접근 방식이 중요한 이유는 기존의 네트워크 보안 모델로는 더 이상 충분하지 않기 때문입니다. 제로 트러스트 전략은 오늘날 대부분의 조직에서 사용하는 보다 복잡하고 고도로 분산된 네트워크를 위해 설계되었습니다.
수년 동안 기업들은 방화벽과 기타 보안 제어를 통해 네트워크 경계를 보호하는 데 주력해 왔습니다. 네트워크 경계 내의 사용자는 신뢰할 수 있는 사용자로 간주되어 애플리케이션, 데이터 및 리소스에 대한 무료 액세스 권한이 부여되었습니다.
디지털 혁신으로 인해 네트워크 경계에 대한 기존의 개념이 사라졌습니다. 오늘날 기업 네트워크는 온프레미스 위치와 네트워크 세그먼트를 넘어 확장되고 있습니다. 최신 엔터프라이즈 에코시스템에는 클라우드 환경, 모바일 서비스, 데이터 센터, IoT 디바이스, 서비스형 소프트웨어(SaaS) 앱, 직원, 공급업체 및 비즈니스 파트너를 위한 원격 액세스가 포함됩니다.
이렇게 확장된 공격 표면으로 인해 기업은 데이터 유출, 랜섬웨어, 내부자 위협 및 기타 유형의 사이버 공격에 더 취약해집니다. 네트워크 경계는 더 이상 명확하고 끊어지지 않는 선이 아니며 경계 기반 방어만으로는 모든 틈새를 막을 수 없습니다. 또한 네트워크에 액세스하는 위협 행위자는 암묵적 신뢰를 활용하여 중요한 리소스를 찾아 공격하기 위해 수평 이동을 할 수 있습니다.
2010년 Forrester Research의 분석가인 John Kindervag는 엄격한 액세스 제어를 통해 엔터프라이즈 리소스를 보호하기 위한 프레임워크로 '제로 트러스트' 개념을 도입했습니다. 제로 트러스트는 네트워크 경계에서 벗어나 개별 리소스를 중심으로 보안을 제어합니다.
모든 엔드포인트, 사용자 및 연결 요청은 잠재적인 위협으로 간주됩니다. 사용자는 경계선을 통과할 때 자유를 누리는 대신 새로운 리소스에 연결할 때마다 인증을 받고 권한을 부여받아야 합니다. 이러한 지속적인 검증을 통해 정당한 사용자만 중요한 네트워크 자산에 액세스할 수 있도록 합니다.
가장 넓은 의미에서 제로 트러스트 보안 태세는 사용자, 애플리케이션, 디바이스, 데이터 간의 연결을 지속적으로 확인하고 인증하는 방식으로 작동합니다.
조직 전체에 제로 트러스트 전략을 구현하는 것은 복잡한 작업일 수 있습니다. 제로 트러스트 솔루션 하나만 설치한다고 해서 문제가 모두 해결되는 것이 아니기 때문입니다. 제로 트러스트를 구현하려면 ID 및 액세스 정책, 보안 솔루션 및 워크플로, 자동화, 운영 및 네트워크 인프라를 포함한 광범위한 기능 영역에 걸쳐 계획하고 실행해야 합니다.
많은 조직이 제로 트러스트 아키텍처를 구축하기 위해 특정 제로 트러스트 프레임워크를 따르고 있습니다. 확립된 모델로는 Forrester의 제로 트러스트 프레임워크, 미국 국립표준기술연구소(NIST)의 특별 간행물(SP) 800-2073 및 사이버 보안 및 인프라 보안 기관(CISA)의 제로 트러스트 성숙도 모델(ZTMM)4이 있습니다.
조직은 다양한 프레임워크 중에서 선택할 수 있지만, 대부분의 제로 트러스트 전략은 제로 트러스트의 3가지 원칙, 제로 트러스트의 5가지 핵심 요소, 제로 트러스트 네트워크 액세스(ZTNA)라는 핵심 개념을 공유합니다.
프레임워크와 모델마다 기술 사양은 다를 수 있지만 모두 다음과 같은 제로 트러스트 원칙의 핵심을 따릅니다.
제로 트러스트는 기본적으로 모든 네트워크 자산에 액세스할 수 없도록 합니다. 사용자, 디바이스, 워크로드는 리소스에 접근하고자 연결을 요청할 때마다 지속적인 컨텍스트 인증 및 유효성 검사를 통과해야 합니다.
동적 액세스 제어 정책은 사용자의 권한, 물리적 위치, 디바이스 상태, 위협 인텔리전스 및 비정상적인 행동과 같은 데이터 요소를 기반으로 요청을 승인할지 여부를 결정합니다. 연결은 지속적으로 모니터링되며 세션을 계속 진행하려면 주기적으로 재인증해야 합니다.
제로 트러스트 환경에서는 사용자와 디바이스가 최소한의 권한만 가지고 리소스에 액세스할 수 있습니다. 즉 작업을 완료하거나 역할을 수행하는 데 필요한 최소한의 권한만 부여받습니다. 세션이 종료되면 부여되었던 권한이 해제됩니다.
이런 식으로 권한을 관리하면 위협 행위자가 네트워크의 다른 영역에 액세스할 수 있는 능력이 제한됩니다.
제로 트러스트 기업에서 보안 팀은 해커가 이미 네트워크 리소스를 침해했다고 가정합니다. 보안 팀이 진행 중인 사이버 공격을 완화하기 위해 자주 사용하는 조치는 표준 운영 절차가 됩니다. 이러한 조치에는 공격 범위를 제한하기 위한 네트워크 세분화, 네트워크의 모든 자산, 사용자, 디바이스 및 프로세스 모니터링, 비정상적인 사용자 또는 디바이스 행동에 대한 실시간 대응이 포함됩니다.
CISA의 제로 트러스트 보안 모델에는4 제로 트러스트를 구현하는 동안 조직이 집중할 수 있는 5가지 요소가 요약되어 있습니다.
사용자 ID를 인증하고 해당 사용자에게 승인된 엔터프라이즈 리소스에 대한 액세스 권한만 부여하는 것은 제로 트러스트 보안의 기본 기능입니다.
조직에서 이러한 목적으로 사용하는 일반적인 도구로는 ID 및 액세스 관리(IAM) 시스템, 싱글사인온(SSO) 솔루션, 다단계 인증(MFA) 이 있습니다.
네트워크 리소스에 연결하는 모든 디바이스는 조직의 제로 트러스트 정책 및 보안 제어를 완벽하게 준수해야 합니다. 여기에는 워크스테이션, 휴대폰, 서버, 노트북, IoT 디바이스, 프린터 등이 포함됩니다.
제로 트러스트 조직은 모든 승인된 엔드포인트 디바이스의 전체 재고를 최신 상태로 유지합니다. 승인되지 않은 디바이스는 네트워크 액세스가 거부됩니다.
조직은 제로 트러스트 환경에서 기존의 네트워크 세분화에서 마이크로 세분화로 전환합니다. 리소스와 워크로드는 더 작고 안전한 영역으로 분리되어 조직이 침해를 더 잘 억제하고 수평 이동을 방지할 수 있습니다. 위협 행위자는 사용 권한이 없는 리소스는 보는 것조차 허락되지 않습니다.
조직은 네트워크 트래픽 암호화, 사용자 및 엔티티 행동 모니터링과 같은 다른 네트워크 위협 방지 방법을 배포할 수도 있습니다.
제로 트러스트 보안 모델의 다른 모든 요소와 마찬가지로 애플리케이션과 애플리케이션 프로그래밍 인터페이스(API)에는 암묵적 신뢰가 없습니다.
조직은 애플리케이션에 대한 일회성 정적 액세스를 제공하는 대신 지속적인 액세스를 위해 지속적인 재검증이 필요한 동적 권한 부여로 전환합니다. 조직은 서로 통신하는 애플리케이션을 지속적으로 모니터링하여 비정상적인 동작을 확인합니다.
제로 트러스트 전략을 구현하기 위한 주요 기술 중 하나는 제로 트러스트 네트워크 액세스(ZTNA)입니다. 가상 사설망(VPN)과 마찬가지로 ZTNA는 애플리케이션과 서비스에 대한 원격 액세스를 제공합니다. VPN과 달리 ZTNA는 사용자를 전체 네트워크에 연결하지 않고 액세스 권한이 있는 리소스에만 연결합니다.
ZTNA는 기업이 사용자와 리소스 간에 직접적이고 안전하며 지연 시간이 짧은 연결을 제공할 수 있도록 하는 보안 액세스 서비스 에지(SASE) 모델의 핵심 부분입니다.
제로 트러스트 아키텍처는 ID를 기반으로 액세스를 제어하므로 하이브리드 및 멀티클라우드 환경을 위한 강력한 보호 기능을 제공할 수 있습니다. 검증된 클라우드 워크로드에는 중요 리소스에 대한 액세스 권한이 부여되며, 승인되지 않은 클라우드 서비스 및 애플리케이션은 거부됩니다.
제로 트러스트는 소스, 위치 또는 IT 인프라의 변경에 관계없이 사용량이 많은 클라우드 환경을 일관되게 보호할 수 있습니다.
조직에서는 공급업체, 계약업체, 서비스 제공업체 및 기타 제3자에게 네트워크 액세스 권한을 부여해야 하는 경우가 많습니다. 해커는 이러한 상황을 악용하여 손상된 공급업체 계정과 워크로드를 사용함으로써 기업의 네트워크에 침입하는 공급망 공격을 수행합니다.
제로 트러스트는 네트워크 외부의 엔티티를 포함한 모든 엔터티에 지속적인 컨텍스트 인증과 최소 권한 액세스를 적용합니다. 해커가 신뢰할 수 있는 공급업체의 계정을 침해하더라도 회사의 가장 민감한 리소스에 액세스할 수 없습니다.
조직은 전통적으로 가상 사설망(VPN)을 사용하여 원격 직원과 네트워크 리소스를 연결합니다. 하지만 VPN은 쉽게 확장되지 않으며 수평 이동을 방지하지도 않습니다.
제로 트러스트 모델에서 기업은 제로 트러스트 네트워크 액세스(ZTNA) 솔루션을 대신 사용할 수 있습니다. ZTNA는 직원의 신원을 확인한 다음 업무 수행에 필요한 애플리케이션, 데이터 및 서비스에만 액세스 권한을 부여합니다.
IoT 디바이스는 인터넷에 연결되기 때문에 기업 보안에 위험을 초래할 수 있습니다. 해커는 IoT 디바이스를 공격하는 경우가 많습니다. IoT 디바이스를 이용하면 취약한 네트워크 시스템에 맬웨어를 침투시킬 수 있기 때문입니다.
제로 트러스트 아키텍처는 조직 내 모든 IoT 디바이스의 위치, 상태 및 상황을 지속적으로 추적합니다. 각 디바이스는 잠재적으로 악의적인 개체로 취급됩니다. 제로 트러스트 환경의 다른 요소와 마찬가지로 IoT 디바이스도 액세스 제어, 인증 및 다른 네트워크 리소스와의 암호화된 통신이 적용됩니다.
신뢰할 수 있는 공급 업체 독립형 IAM 솔루션으로 하이브리드 및 멀티클라우드 환경 전반에서 원활한 액세스를 확보하세요.
제로 트러스트 보안 솔루션은 사용자를 민감한 데이터에 안전하게 연결하여 사이버 위협으로부터 조직을 보호합니다.
ID 및 보안 전문가의 기술, 전략, 지원을 통해 직원 및 소비자 IAM 프로그램을 성공으로 이끌 수 있습니다.
1 Trends in Zero Trust. Enterprise Strategy Group by TechTarget. 2024년 3월
2 Executive Order on Improving the Nation’s Cybersecurity. The White House. 2021년 5월 12일
3 NIST SP800-207: Zero Trust Architecture. NIST. 2020년 8월
4 CISA Zero Trust Maturity Model. CISA. 2023년 4월