제로트러스트(ZT): “신뢰할 수 있는 네트워크”라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 명확한 인증 과정을 거치기 전까지 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않으며, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 “Never Trust, Always Verify”라는 문구로 대표되는 보안 모델이다. 제로트러스트는 전통적인 사이버 보안 접근방식인 경계 기반 보안으로는 업무 환경의 변화와 진화하는 공격에 대응할 수 없어 등장하게 되었다.
최근 벌어지는 수많은 해킹 및 랜섬웨어 공격 사례는 경계기반 보안 방식의 한계점을 보여주고 있다. 여러 해킹 사례를 살펴보면, 해커들은 공격 과정에서 1차적으로 피싱과 같은 사회적 공격이나 크리덴셜 스터핑, VPN 취약점 등을 통해 내부 침투를 시도하고 있다. 외부에서 공격자가 직접 중요 시스템에 접근하기는 어렵지만 내부 침투에 성공한 경우 해당 기기를 활용해 상대적으로 쉽게 중요 시스템에 접근해 피해를 입힐 수 있다. 보안 관점에서 특정 사람이나 기기에 신뢰를 부여하는 것은 이들의 행위에 취약해질 가능성을 내포하며, 따라서 신뢰를 부여할수록 위험이 증가하게 되므로 매우 신중해야 한다.
2017년 Gartner에서는 제로트러스트의 개념을 확장하여, 모든 공격에 대해 예방이 불가능하며, 신속한 탐지 및 대응을 통해 사이버 복원력을 높여 사업 연속성을 제공하기 위한 보안 전략 ‘CARTA(Continuous Adaptive Risk and Trust Assessment)’ 를 발표하고, 예측, 예방, 탐지, 대응으로 구성되는 이 전략 모델 중 ‘예방’에 해당하는 영역을 제로트러스트로 표현했다.
2020년 8월, NIST에서는 기업 및 연방 기관의 보안 아키텍처를 위한 ‘제로트러스트 아키텍처(ZTA, SP 800-207)’을 발표하고, 정의, 원칙, 보안 위협, 전환 단계 등을 기술하였다. 21년 5월 바이든 대통령은 ‘국가 사이버보안 개선’에 관한 행정 명령을 통해, 연방 정부가 제로트러스트 모법 사례를 채택해야 하며 이를 위해 각 정부 기관장들은 NIST의 표준•지침을 따르는 ZTA 도입 계획을 60일 이내에 개발하도록 지시하였다.
요약하자면 3가지 측면에서의 IT 환경 변화가 발생한 것으로 볼 수 있다.
1. 직원들이 다양한 단말을 이용해 장소와 상관없이 기업망 접속 가능
2. 기업 데이터가 기업망 뿐만 아니라 클라우드 상에도 존재
3. 공격방식의 정교화, 내부자 공격 또한 증가하는 추세
이를 통해 기존의 경계 기반 보안 방식은 매우 복잡하고 다변화된 현재의 기업망 환경에서 더는 적합하지 않은 것으로 보인다.
제로트러스트 도입의 필요성
제로트러스트 모델에서는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않는다.
기본적으로 ‘비 신뢰’에서 출발하여 강화된 인증 및 기기 상태 모니터링 등을 통해 계속 검증한 후 신뢰도가 일정 수준을 넘어갈 때, 기업망 혹은 기업 데이터에 접근할 수 있는 권한을 부여하는 것이 제로트러스트의 원칙이 된다.
ZTA (제로트러스트 아키텍처) 기본 원리
다음은 제로트러스트 접근의 개념 모델이다. 접근 주체는 기업 데이터 및 리소스에 접근할 필요가 있을 수 있는데, 이 때 정책결정지점(PDP) 및 정책시행지점(PEP)을 통해 승인이 이루어지게 된다. 여기에서 불확실성을 줄이기 위해 인증•인가 및 절대적 신뢰 구역 축소에 초점을 맞춘다. 가용성을 위해서는 인증 방식의 지연 시간을 최소화하면서 필요한 권한을 최소화하기 위해 접근 규칙을 가능한 한 세밀하게 만들어야 한다.
- PDP: 정책 결정을 요청하는 네트워크 요소를 위해 정책 결정을 내리는 논리 개체
- PEP: 정책 결정을 강제하는 논리 개체
기업은 리소스 접근에 대한 동적 위험 기반 정책을 개발 및 유지 관리하고 이 정책이 개별 리소스 접근 요청에 대해 정확하고 일관되게 시행되도록 시스템을 설정해야 한다. 즉 인증이 완료되었어도 모두 신뢰하지 말아야 함을 의미한다.
제로트러스트는 정보보호의 기본 원칙과 다를 바가 없다. 다른 점이라면 목표를 달성하기 위한 방법적 측면에서 기존 접근 방식이 적합하지 않기 때문에 이를 바꾸고자 하는 것이며 제로트러스트 아키텍처의 기본 원리는 이 관점에서 기술되어야 한다.
ZTA 보안 모델
ZTA 보안모델은 제어 영역과 데이터 영역으로 구분되며 이 아키텍처를 실현하기 위해서는 앞서 언급한 접근 주체가 리소스에 대해서 접근하는 것에 대한 정책에 대해 다루어야 한다. 제어 영역은 접근제어 정책이 결정되는 논리적 공간을 말하며 데이터 영역은 정책이 시행됨으로써 접근 주체가 기업의 리소스에 접근하는 논리적 공간을 말한다.
구성요소
- 정책 엔진(PE): 접근 주체가 리소스에 접근할 수 있을지를 최종적으로 결정한다.
- 정책 관리자(PA): 정책 엔진과 함계 PDP를 구성하며, PEP에 명령하여 접근 주체와 리소스 사이의 통신 경로를 생성하거나 폐쇄한다.
- 정책시행지점(PEP): 접근 주체와 기업 리소스 사이를 연결하고 모니터링하여 최종적으로 연결을 종료하는 논리 구성 요소이다.
- 데이터 입력 요소: 규제•내부 규정, 데이터 접근 정책, 보안 정보 및 이벤트, 위협 인텔리전스, ID 관리 시스템, 네트워크•시스템 행위 로그
제로트러스트 성숙도 모델
성숙도 모델은 특정 프로세스•기술에 대한 조직의 성숙도를 측정하기 위한 프레임워크를 의미하며 보안 아키텍처 관점에서도 다양한 형태의 성숙도 모델이 제안된 바 있다. 밑의 그림은 각 기업/기관에서 제로트러스트 도입을 위한 기업망의 핵심 요소를 정리한 것이다.
