제로트러스트란 DASS (데이터, 자산, 애플리케이션, 서비스) 등의 정보자산 요소들에 대해 항상 신중히 의심하고 경계해야 한다는 의미입니다. 이 문서에서는 제로트러스트의 자세한 구현절차, 원칙, 솔루션 및 적용사례 등을 살펴보겠습니다.
제로트러스트(ZeroTrust) 의미
항상 A 환경에서 (브라우저, PC 등) 로그인하던 사람이 갑자기 다른 B 환경에서 로그인하면 추가인증을 요청하거나 또는 신용카드 해외사용시 경고메시지를 받는 경우가 있습니다.
개념
제로트러스의 핵심 원칙은 “신뢰하지 말고 항상 검증할 것”을 강조합니다. 위의 사례와 같이 네트워크상의 평소와 다른 특이사항이 발생할 경우 이를 신뢰하지 않고 검증하는 것을 기본으로 합니다.
제로트러스트를 특별한 제품이나 서비스를 의미한다고 오해하기 쉬운데 사실 이는 개념적인 것으로, 기존의 네트워크 인력과 자원을 활용해 다음과 같은 절차로 구현할 수 있습니다.
구현절차
제로트러스트는 다음의 5가지 절차를 통해 구현하고 유지할 수 있습니다.
1. 보호범위의 파악
디바이스, 사용자, 애플리케이션, 데이터와 같은 중요 정보자산의 보호범위를 파악한다.
2. 성능과 보안을 개선
파악된 중요 정보자산의 데이터의 이동 방식을 파악하고 이 흐름을 최적화하여 성능과 보안을 개선한다.
3. 네트워크의 설계 및 구현
데이터 흐름에 따라 SDN, NGFW(차세대 방화벽) 기반의 보안프로토콜을 활용하여 네트워크를 설계, 구현한다.
4. 제로트러스트 정책의 생성 및 적용
설계된 네트워크에 대해 제로트러스트 개념을 통한 정책을 생성한다.
5. 지속적인 모니터링을 수행
지속해서 네트워크 트래픽을 모니터링 및 이상감지 절차를 자동화 한다.
즉, 제로트러스트 구현 절차를 다시 간단히 요약하면, 기업 내 보호가 필요한 중요자산의 데이터 흐름을 파악하고, 이를 SDN나 NGFW과 같은 네트워크 보안기술을 활용해 모니터링하는 것을 말합니다.
기술요소
앞서 제로트러스트의 대상이 되는 중요 정보자산에 대해서 말씀드렸습니다. 이 각 자산들에 각각 제로트러스트 정책을 적용할 수 있으며 세부적인 구현 기술은 다음가 같습니다.
1. 디바이스 (Device) 취약점 보호
대표적으로 사무실에서 사용하는 PC 및 개인이 소지한 스마트폰 그리고 각종 업무상 필요한 디지털 장치들이 대상입니다. 다음의 기술을 이용해 보호될 수 있습니다.
취약점 | 구현 기술 |
기기의 복제, 변경 및 도용 | 인증, 디바이스 고유 식별정보, 무결성체크, 암호화를 통한 데이터 보호 |
펌웨어 임의 교체, HW 인터페이스, 플래시 메모리 도난 가능성 | Tamper Resistance 기술 적용(리버스 엔지니어링 방지, 코드 난독화 등) |
기기 불법도청, 중간자 공격, 메시지 변조 | 데이터 무결성 검증을 통한 방어 |
2. 사용자 접근통제
기업의 주요 정보자산에 악의적인 공격자 또는 인증받지 못한 사용자가 접근하는 것을 모니터링하고 차단하는 기술을 적용할 수 있습니다.
취약점 | 구현기술 |
중간자공격, APT 공격을 통한 암호탈취 | 암호인증 |
비밀번호 분실, 악의적인 목적의 해외 접속시도, 신용카드 분실 등 | 다중요소(multi factor) 인증(인증서, 생체정보, 전화번호 등의 요소를 결합) |
랜섬웨어, 파밍, 피싱, 스미싱 공격에 취약 | 이메일, 메신저, SNS의 특이점 분석 및 모니터링(암호화 등) |
3. 전송계층 데이터 감시
네트워크상의 전송되는 데이터와 Session을 모니터링하여 특이점을 감지하는 것을 기술을 적용할 수 있습니다.
우리가 쉽게 사용하는 HTTPS, SFTP는 SSH File Transfer Protocol 기술을 이용한 암호화 방식입니다. SSL 프로토콜은 아래와 같은 절차로 통신 전 클라이언트와 서버 간의 키 교환을 통한 신뢰성있는 연결을 수립합니다.
SSL 프로토콜은 많은 암호화 전송 기술 중 하나의 방법입니다. 제로트러스트에서는 이 외에도 다양한 Transfort 데이터 Encryption 및 Session Protection 기술을 적용할 수 있습니다.
4. 애플리케이션 보안 수준 강화
기업 내에서는 업무를 위해 다양한 애플리케이션이 활용됩니다. 제로트러스트에서는 위험을 낮추기 위해 각 애플리케이션 마다 공통의 Single-Sign On 서비스를 제공하여 전반적인 보안 수준을 강화시킬 수 있습니다.
또는 각 애플리케이션마다 격리(Isolation)를 통해 내부의 보안취약점이 다른 애플리케이션까지 확산하는 것을 막는 샌드박스 기술을 사용할 수도 있습니다.
5. 데이터 무결성 체크
마지막으로 데이터의 무결성 체크 및 분류를 수행하고 데이터 손실 방지를 위한 DLP 솔루션을 적용할 수 있습니다.
- 데이터 손실 방지(DLP): 데이터 사용중, 이동중, 보관중의 경우에 안전하게 데이터가 사용될 수 있도록 보호하는 솔루션
- 데이터무결성: 데이터의 부정확성이나 누락 그리고 노후에 의한 파괴 등에 대해 이를 감지하고 복구할 수 있는 솔루션
제로트러스트 솔루션
제로트러스트를 별도의 솔루션으로 도입하고자 한다면 다음과 같은 상용 서비스참고해볼 수 있습니다.
1. VMWARE 제로트러스트 보안 솔루션
가상화 솔루션으로도 유명한 VMWARE의 솔루션으로 Workspace ONE 이라는 이름으로 제공됩니다. 다음의 특징을 가지고 있습니다.
- 사용자, 애플리케이션, 엔드 포인트에 대한 포괄적 보안
- 머신러닝 기반 자동화
- 개방형 플랫폼 기반
2. IBM 제로트러스트 보안 솔루션
컨설턴트 서비스가 강점인 IBM에서 제공하는 솔루션으로 클라우드, 개인정보보호, 내부자위협 등으로 부터 보호할 수 있는 기능을 제공합니다.
3. Microsoft 제로트러스트 솔루션
플랫폼과 클라우드의 통합된 환경에서 작동하도록 구성되어 있습니다. 거대 IT 기업인 만큼 사용자, 데이터, 인프라 보호 측면에서 다양한 보안솔루션을 구비하고 있습니다.
4. Cisco Zero Trust 보안
사용자, 디바이스 등과 무관하게 기업 전반에 걸친 포괄적인 보안솔루션을 제공합니다. HW부터 SW까지 다양한 네트워크 솔루션을 제공하는 회사입니다. 그만큼 기업 전반에 대한 신뢰성 있는 서비스를 제공하고 있습니다.
이상으로 제로트러스트 개념, 필요기술 및 상용 솔루션에 대해서 알아보았습니다.