과기정통부, 제로트러스트(Zero Trust) 가이드라인1.0 발표
글쓴이: Ryan Moon
과학기술정보통신부는 7월 10일에 보도자료를 배포하면서 작년 10월부터 준비하여 작성된 한국형 "제로트러스트 가이드라인 1.0"을 공개하였습니다. 이는 한국 정부가 대통령 직속 디지털플랫폼정부위원회와 함께 발표한 디지털플랫폼정부 실현계획에 포함된 국가적 차원의 제로트러스트 도입 추진을 밝힌 뒤 이루어진 결과물입니다. 그래서 필자는 "제로트러스트(Zero Trust)"라 불리우는 정보보안의 새로운 패러다임이 향후 국내의 각종 규제에 영향을 줄 것이라 기대하고 있습니다.
제로트러스트의 개념
제로트러스트란 신뢰할 수 있는 네트워크 경계는 존재하지 않으며, 모든 네트워크 트랜잭션이 이루어지려면 먼저 인증을 받아야 데이터 침해가 일어나지 않도록 예방할 수 있다고 가정하는 전략적인 이니셔티브입니다. 제로트러스트는 "Never Trust, Always Verify!" 즉, "신뢰하지 말고 항상 검증할 것!"이라는 원칙을 바탕으로 네트워크 세분화 그리고 엄격한 접근 통제와 같은 기존 그리고 다양한 보안통제 방법론을 활용합니다.
제로트러스트에서는 "보호 표면"을 식별합니다. 보호 표면은 네트워크에서 가장 중요한 데이터(Data), 자산(Asset), 애플리케이션(Application), 서비스(Service) 즉, DAAS로 구성됩니다. 보호 표면은 각 조직에 고유하고 중요한 것만 포함하고 있기 때문에 공격 표면은 훨씬 작고, 언제나 파악하기 쉽습니다. 보호 표면이 식별되면 조직 내에서 트래픽이 보호 표면에 대해 어떻게 움직이는지 알아낼 수 있습니다. 사용자가 누구이고, 어떤 애플리케이션을 사용하고, 어떻게 연결되었는지 알아야만 안전한 데이터 액세스를 보장하는 정책을 찾아내 적용할 수 있습니다. DAAS, 인프라, 서비스, 사용자 간의 상호 종속성을 이해하고 나면 최대한 보호 표면 가까이 보안통제를 배치하여 보호 표면 주면에 마이크로 경계를 구성해야 합니다. 이 마이크로 경계는 보호 표면이 어디를 가든 함께 이동합니다.
제로트러스트의 역사
제로트러스트는 Forrester Research 부사장 겸 수석 애널리스트였던 John Kindervag가 2010년에 이 용어에 대한 모델을 제시했습니다. Google은 2014년에 제로트러스트를 기술적으로 구현한 BeyondCorp를 공개하여 사용자 네트워크 위치와 상관없이 그리고 VPN 없이 장치, 사용자 인증 그리고 접근통제 정책 등으로 보안통제를 구현하고 있습니다. 미국의 NIST는2020년에 SP 800-207 "Zero Trust Architecture"를 공개하였고 미국행정부는 2021년에 제로트러스트 아키텍처 행정명령(EO 14028)을 발표하여, 각 연방정부 기관이 2024년 9월까지 제로트러스트 전략을 도입하도록 하였습니다.
제로트러스트 가이드라인 1.0의 주요 내용
이 가이드라인은 요약 문서와 본 문서 2종으로 구분되어 있습니다. 다음은 요약 문서내에 소개된 각 장별 내용에 대한 소개입니다.
본 가이드라인(요약)은 총 5장으로 구성되어 있다. 요약본은 정부·공공, 다양한 산업분야 및 정보보호 분야 전문가, 일반인 등 폭넓은 독자층을 대상으로 하고 있어 본문에서는 제로트러스트의 개념과 원리를 쉽게 이해할 수 있도록 집중 설명하였다. 본 서를 통해 제로트러스트에 대한 기본 개념을 파악한 후 가이드라인 전체본을 읽으면 조금 더 쉽게 다양하고 깊은 내용을 파악할 수 있도록 요약본과 전체본을 차별화하여 구성하였다. 제1장에서는 새로운 기술의 확산 및 비대면 사회 가속화에 따른 네트워크 환경의 변화와 기존 경계 기반 보안모델의 한계를 분석하였고, 특히, 최근 사이버보안 침해사고 분석을 통해 구체적인 사례를 제시하는 한편, 이에 대응하는 미국의 제로트러스트 도입 관련 동향을 제시하였다. 제2장에서는 제로트러스트의 개념을 충실하게 이해할 수 있도록 기본개념 및 보안원리, 기존 경계 기반 보안모델과 제로트러스트 보안모델의 보안원리를 비교하여 제로트러스트의 보안 우수성을 제시하였다. 제3장에서는 제로트러스트 보안모델의 전체 원리를 정확히 이해할 수 있도록 구성하였다. 이를 위해 제로트러스트의 기본철학을 제시하고, 이를 구현할 수 있는 접근방법 또는 핵심원칙과 함께 접속요구에 대한 처리방법 등에 관한 사항을 정리하였다. 제4장에서는 제로트러스트 개념 이해를 바탕으로 업무환경에 제로트러스트 보안모델을 도입할 경우 참고할 수 있도록 제로트러스트 도입계획 수립과정과 함께 참고할 수 있는 성숙도 모델을 제시하였고 제로트러스트 도입 전후 보안모델의 변화를 도식화 하여 제시하였다. 제5장에서는 제로트러스트 도입 참조 모델로 최근 이슈가 되고 있는 원격지 근무 환경을 제시하고 이에 대한 제로트러스트 도입 모델을 제시하였다. 또한, 제로트러스트 도입 전후 침투 시나리오를 적용하여 제로트러스트 도입시 보안성이 강화됨을 침투 시나리오 적용을 통해 설명하였다. |
당사는 회사의 정보보호 관리체계에 제로트러스트가 도입되도록 하는 연구반 운영을 시작했습니다. 당사는 당사가 경험한 글로벌 빅테크 기업의 제로트러스트 모범사례 그리고 연구반 활동의 결과들을 활용하여 당사에 적합한 제로트러스트 구현전략을 연내에 수립하고 2024년에는 실제 구현을 그리고 2025년에 "제로트러스트 기반의 정보보호 관리체계(ISMS)" 인증을 받는 것을 목표로 세웠습니다. 그 과정에서 공개할 만한 연구반 성과가 있다면 이 블러그를 통해 여러분에게 공개하도록 하겠습니다.
*첨부자료:
- 과기정통부, 2023년 7월 10일 보도자료
- 제로트러스트 가이드라인 1.0 (요약본)
- 제로트러스트 가이드라인 1.0 (상세본)
과기정통부, 제로트러스트(Zero Trust) 가이드라인1.0 발표
글쓴이: Ryan Moon
과학기술정보통신부는 7월 10일에 보도자료를 배포하면서 작년 10월부터 준비하여 작성된 한국형 "제로트러스트 가이드라인 1.0"을 공개하였습니다. 이는 한국 정부가 대통령 직속 디지털플랫폼정부위원회와 함께 발표한 디지털플랫폼정부 실현계획에 포함된 국가적 차원의 제로트러스트 도입 추진을 밝힌 뒤 이루어진 결과물입니다. 그래서 필자는 "제로트러스트(Zero Trust)"라 불리우는 정보보안의 새로운 패러다임이 향후 국내의 각종 규제에 영향을 줄 것이라 기대하고 있습니다.
제로트러스트의 개념
제로트러스트란 신뢰할 수 있는 네트워크 경계는 존재하지 않으며, 모든 네트워크 트랜잭션이 이루어지려면 먼저 인증을 받아야 데이터 침해가 일어나지 않도록 예방할 수 있다고 가정하는 전략적인 이니셔티브입니다. 제로트러스트는 "Never Trust, Always Verify!" 즉, "신뢰하지 말고 항상 검증할 것!"이라는 원칙을 바탕으로 네트워크 세분화 그리고 엄격한 접근 통제와 같은 기존 그리고 다양한 보안통제 방법론을 활용합니다.
제로트러스트에서는 "보호 표면"을 식별합니다. 보호 표면은 네트워크에서 가장 중요한 데이터(Data), 자산(Asset), 애플리케이션(Application), 서비스(Service) 즉, DAAS로 구성됩니다. 보호 표면은 각 조직에 고유하고 중요한 것만 포함하고 있기 때문에 공격 표면은 훨씬 작고, 언제나 파악하기 쉽습니다. 보호 표면이 식별되면 조직 내에서 트래픽이 보호 표면에 대해 어떻게 움직이는지 알아낼 수 있습니다. 사용자가 누구이고, 어떤 애플리케이션을 사용하고, 어떻게 연결되었는지 알아야만 안전한 데이터 액세스를 보장하는 정책을 찾아내 적용할 수 있습니다. DAAS, 인프라, 서비스, 사용자 간의 상호 종속성을 이해하고 나면 최대한 보호 표면 가까이 보안통제를 배치하여 보호 표면 주면에 마이크로 경계를 구성해야 합니다. 이 마이크로 경계는 보호 표면이 어디를 가든 함께 이동합니다.
제로트러스트의 역사
제로트러스트는 Forrester Research 부사장 겸 수석 애널리스트였던 John Kindervag가 2010년에 이 용어에 대한 모델을 제시했습니다. Google은 2014년에 제로트러스트를 기술적으로 구현한 BeyondCorp를 공개하여 사용자 네트워크 위치와 상관없이 그리고 VPN 없이 장치, 사용자 인증 그리고 접근통제 정책 등으로 보안통제를 구현하고 있습니다. 미국의 NIST는2020년에 SP 800-207 "Zero Trust Architecture"를 공개하였고 미국행정부는 2021년에 제로트러스트 아키텍처 행정명령(EO 14028)을 발표하여, 각 연방정부 기관이 2024년 9월까지 제로트러스트 전략을 도입하도록 하였습니다.
제로트러스트 가이드라인 1.0의 주요 내용
이 가이드라인은 요약 문서와 본 문서 2종으로 구분되어 있습니다. 다음은 요약 문서내에 소개된 각 장별 내용에 대한 소개입니다.
본 가이드라인(요약)은 총 5장으로 구성되어 있다. 요약본은 정부·공공, 다양한 산업분야 및 정보보호 분야 전문가, 일반인 등 폭넓은 독자층을 대상으로 하고 있어 본문에서는 제로트러스트의 개념과 원리를 쉽게 이해할 수 있도록 집중 설명하였다. 본 서를 통해 제로트러스트에 대한 기본 개념을 파악한 후 가이드라인 전체본을 읽으면 조금 더 쉽게 다양하고 깊은 내용을 파악할 수 있도록 요약본과 전체본을 차별화하여 구성하였다.
제1장에서는 새로운 기술의 확산 및 비대면 사회 가속화에 따른 네트워크 환경의 변화와 기존 경계 기반 보안모델의 한계를 분석하였고, 특히, 최근 사이버보안 침해사고 분석을 통해 구체적인 사례를 제시하는 한편, 이에 대응하는 미국의 제로트러스트 도입 관련 동향을 제시하였다.
제2장에서는 제로트러스트의 개념을 충실하게 이해할 수 있도록 기본개념 및 보안원리, 기존 경계 기반 보안모델과 제로트러스트 보안모델의 보안원리를 비교하여 제로트러스트의 보안 우수성을 제시하였다.
제3장에서는 제로트러스트 보안모델의 전체 원리를 정확히 이해할 수 있도록 구성하였다. 이를 위해 제로트러스트의 기본철학을 제시하고, 이를 구현할 수 있는 접근방법 또는 핵심원칙과 함께 접속요구에 대한 처리방법 등에 관한 사항을 정리하였다.
제4장에서는 제로트러스트 개념 이해를 바탕으로 업무환경에 제로트러스트 보안모델을 도입할 경우 참고할 수 있도록 제로트러스트 도입계획 수립과정과 함께 참고할 수 있는 성숙도 모델을 제시하였고 제로트러스트 도입 전후 보안모델의 변화를 도식화 하여 제시하였다.
제5장에서는 제로트러스트 도입 참조 모델로 최근 이슈가 되고 있는 원격지 근무 환경을 제시하고 이에 대한 제로트러스트 도입 모델을 제시하였다. 또한, 제로트러스트 도입 전후 침투 시나리오를 적용하여 제로트러스트 도입시 보안성이 강화됨을 침투 시나리오 적용을 통해 설명하였다.
당사는 회사의 정보보호 관리체계에 제로트러스트가 도입되도록 하는 연구반 운영을 시작했습니다. 당사는 당사가 경험한 글로벌 빅테크 기업의 제로트러스트 모범사례 그리고 연구반 활동의 결과들을 활용하여 당사에 적합한 제로트러스트 구현전략을 연내에 수립하고 2024년에는 실제 구현을 그리고 2025년에 "제로트러스트 기반의 정보보호 관리체계(ISMS)" 인증을 받는 것을 목표로 세웠습니다. 그 과정에서 공개할 만한 연구반 성과가 있다면 이 블러그를 통해 여러분에게 공개하도록 하겠습니다.
*첨부자료: