제로트러스트(Zero Trust) 6가지 철학과 3가지 핵심 원칙

제로트러스트(Zero Trust)의 개념을 한마디로 설명하면 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’이다. NIST는 제로트러스트 개념을 ‘항상 네트워크가 침해됐다고 가정하고, 보호해야 할 데이터 및 컴퓨팅 서비스에 대한 접근 요구에 정확하고 최소한의 권한을 부여하는 아이디어와 개념의 모음’이라고 설명했다.

 

 

제로트러스트 가이드라인에는 국내 네트워크 환경 등을 고려해 6가지 기본 철학과 3가지 핵심 원칙을 제시하고 있다.

 

6가지 철학은 다음과 같다.

1. 모든 종류의 접근에 대해 신뢰하지 않을 것
2. 일관되고 중앙 집중적인 정책 관리 및 접근제어 결정·실행 필요
3. 사용자, 기기에 대한 관리 및 강력한 인증
4. 자원 분류 및 관리를 통한 세밀한 접근 제어(최소 권한 부여)
5. 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용
6. 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰성 지속 검증·제어가 있다.

3가지 핵심 원칙은 제로트러스트 아키텍처를 구현하기 위한 접근 방법으로

 

△인증 체계 강화

△마이크로 세그멘테이션(Micro Segmentation)

△소프트웨어 정의 경계

 

가 있다. 제로트러스트 아키텍처(Zero Trust Architecture)란 제로트러스트 개념을 사용한 기업 사이버보안 계획을 말하는데, 컴포넌트 간 관계, 워크플로우 설계, 접근 정책을 포함하고 있는 제로트러스트 설계 방식을 지칭한다. 제로트러스트 아키텍처 구현은 네트워크 환경에 따라 차이가 있을 수 있으나, 완전한 제로트러스트의 개념은 3가지 핵심 원칙을 모두 포함해야 한다.

3가지 핵심 원칙 중

 

첫 번째, 인증체계를 강화하려면 각종 자원에 접근하는 단말, 자산 상태, 환경 요소 등의 신뢰도를 핵심요소로 설정하고 인증 정책을 수립해야 한다.

 

두 번째, 마이크로 세그멘테이션 구현을 위해서는 우선 보안 게이트웨이를 통해 보호되는 단독 네트워크 구역(Segment)에 개별 자원을 배치해야 한다. 이후 각종 접근 요청에 대한 지속적인 신뢰 검증을 수행하게 된다.

 

세 번째, 소프트웨어 정의 경계 시 경계 기법을 사용해 정책 엔진 결정에 따르는 네트워크 동적 구성, 사용자·단말 신뢰 확보 후 자원 접근을 위한 데이터 채널을 형성한다.

핵심 원칙을 포함한 제로트러스트 실현은 기존 경계 기반 보안과 달리 내부자조차도 더 이상 신뢰하지 않는다. 이에 따라서 강력한 관리, 인증, 접근제어 및 상태 감시를 통한 통제가 필요하다. 3가지 핵심 원칙을 토대로 기본 철학 6가지를 기술적으로 실현할 수 있게 되는 것이다.

 

출처: https://www.boannews.com/media/view.asp?idx=120400&skind=6