엘제이테크 공식블로그 Oh!엘제이 입니다. '돌다리도 두들겨 보고 건너라"라는 속담이 새로운 보안 트렌드로 등장했습니다. 바로 '제로 트러스트(Zero Trust) 보안 모델"인데요. 제로 트러스트는 시스템 내외부 경계 없이 모든 곳이 위험하다고 전제하고 의심을 늦추지 않는 보안 전략입니다. 오늘은 보안 업계의 핵심 트렌드로 자리잡은 제로 트러스트 보안 모델에 대해 알아보도록 하겠습니다.
"제로 트러스트(Zero Trust)"란?
코로나 19로 인해 온오프라인을 넘나드는 하이브리드 업무 환경이 모든 비즈니스 분야에 자리잡았습니다. 이에 따라 더욱 정교화된 사이버 공격이 지속적으로 증가하고 있으며 사이버・물리 공간 상에서 발생하는 보안의 혼란이 가중되고 있습니다.
이에 많은 조직들은 '제로 트러스트 모델'을 보안 분야에 적용하고 있습니다. '제로 트러스트'란 어느 것도 안전하지 않다는 의심을 넘어 모든 사람, 엔드포인트, 트래픽이 해킹되었다는 전제를 보안 프로세스에 적용하는 것을 말합니다. 다시 말해, '돌다리도 두들겨 보고 건너라' 속담과 같이 의심없이 그냥 넘어가지 말고 한번 더 확인하는 보안 전략으로 정리할 수 있습니다.
'아무도 믿지 마라'는 제로 트러스트의 철학은 코로나19 확산 방지를 위한 매장 출입 시 전자출입명부 작성, 백신패스 확인 등으로 이미 우리 삶에 자연스럽게 스며들어 있습니다.
사이버, 물리 공간의 보안에 대한 완전한 신뢰를 배척하는 이 보안 전략에는 '최저 권한의 원칙'이 적용됩니다. '최저 권한의 원칙'이란 모든 사용자들에게 직무 수행을 위해 필요한 최소한의 권한만이 허락되는 것을 말합니다. 반드시 필요한 앱, 컴퓨터, 네트워크에만 접근 권한을 허용하는 것이죠.
하이브리드 업무 환경이 정착된 판데믹 기간동안 많은 기업들은 제로 트러스트 보안 전략을 자연스럽게 비즈니스에 적용할 수 있는 기간을 거쳤습니다. Zero Trust 보안 모델은 물리, 사이버 보안 등 모든 보안 분야에서 이미 성공적인 결과를 거두고 있습니다.
세계적인 보안 트렌드로 자리잡은 Zero Trust
Zero Trust는 세계적인 보안 트렌드로 자리잡고 있습니다. 조 바이든 미국 대통령은 지난 5월 발표한 행정명령에서 '제로 트러스트 아키텍처'를 주요 구성요소로 삼고, 이를 실행하기 위한 구체적인 방안을 모색하였습니다.
미국 예산관리국(OMB)은 행정부 각 기관이 2024년 9월까지 제로 트러스트를 채택하기 위해 어떻게 움직여야 하는지에 대한 전략을 담은 ‘제로 트러스트 사이버 보안 원칙을 향한 미국 정부 이동(Moving the U.S. Government Towards Zero Trust Cybersecurity Principles)’ 문서를 발표했습니다.
행정명령에는 “제로 트러스트 아키텍처는 사용자가 작업을 수행하는 데 필요한 최소한의 액세스만 허용한다. 장치가 손상되면 제로 트러스트가 손상을 억제할 수 있다. 제로 트러스트 아키텍처 보안 모델은 침해가 불가피하거나 이미 발생했을 가능성이 있다고 가정하고, 필요한 것에만 접근하도록 지속적으로 제한하며 변칙적이거나 악의적인 활동을 찾는다”고 명시되어 있습니다.
마이크로소프트의 Zero Trust 원칙
Zero Trust 보안 모델이 실제 기업 조직에서 어떻게 적용되고 있는지 한국마이크로소프트를 통해 확인할 수 있습니다.
사이버 상에서의 위협 증가와 클라우드, 모바일, OT 등 업무 환경의 변화로 인해 조직의 보안 관리에 대한 중요성이 높아지자 마이크로소프트는 마이크로소프트 365에 제로 트러스트 모델을 구축, 핵심 보안 요구 사항에 대한 엄격한 제어를 유지하면서도 전 세계 어디서나 업무를 수행할 수 있도록 지원하고 있습니다.
마이크로소프트의 제로 트러스트 원칙은 크게 3가지로 정리할 수 있습니다.
1. 명확한 검증(Verify explicitly)
먼저 제로 트러스트 전환에 있어 가장 중요한 첫 단추는 강력한 인증 설정입니다. 최근에는 암호를 통해 계정을 보호하는 것이 불가능하기 때문에, 로그인에 대한 모니터링과 추가적인 신분 증명이 요구됩니다. 마이크로소프트는 이러한 다중인증(MFA)을 간소화하고, 계정에 대한 접근 제어를 강화하기 위해 최근 애저 액티브 디렉터리(Active Directory, AD)에 암호없는 인증(Passwordless Authentication)과 임시 액세스 패스(Temporary Access Pass) 기능을 추가했습니다.
2. 최소한의 권한 액세스 부여(Grant least privileged access)
새로운 하이브리드 업무 환경에 진입함에 따라 기업은 새로운 디바이스와 애플리케이션으로부터 조직을 능동적으로 보호해야 합니다. 이를 위해 마이크로소프트는 최근 엔드포인트용 마이크로소프트 디펜더(Microsoft Defender for Endpoint)에 관리되지 않는 엔드포인트와 네트워크 디바이스를 검색하고 보호하는 기능을 추가했습니다.
3. 해킹을 당했거나 당할 수 있다는 전제(Assume breach)
멀티 플랫폼과 멀티 클라우드 환경에서는 포괄적인 보안 및 해킹을 전제한 접근 방식이 매우 중요합니다. 이에 마이크로소프트는 엔드포인트, 이메일, 협업을 위한 XDR(위협 방지, 탐지, 대응) 기능을 통합하고 단순화하는 마이크로소프트 365 디펜더(Microsoft 365 Defender)의 통합 포털을 공식 출시했습니다.
Photo
https://kr.freepik.com/vectors/cloud'>Cloud vectorjuice - kr.freepik.com
https://kr.freepik.com/vectors/background'>Background pikisuperstar - kr.freepik.com
https://kr.freepik.com/photos/technology'>Technology rawpixel.com - kr.freepik.com
'All > Technology' 카테고리의 다른 글
| CCTV를 통한 산불 예방・대응 솔루션 (0) | 2022.05.16 |
|---|---|
| CCTV 빅데이터를 활용한 범죄 예측・예방 (0) | 2022.05.07 |
| AI CCTV 관제를 통한 건축공사장 위험 관제 솔루션 (0) | 2022.02.25 |
| [2021년 연말결산] 영상보안 키워드 되돌아보기 (0) | 2021.12.30 |
| 교통 시스템 속 지능형 CCTV의 활약! 스마트 교차로 (0) | 2021.10.29 |
