최신동향-제로트러스트

제로트러스트:

현실과 비전, 아키텍처와 도전,

문제점과 전망

​

​

​

​

​

​

​

​

​

​

​

​

고예준, 윤채림 조우현,

​

​

​

​

제로트러스트의 정의

 

제로트러스트란 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 의미로, ‘항상 네트워크가 침해됐다고 가정하고, 보호해야 할 데이터 및 컴퓨팅 서비스에 대한 접근 요구에 정확하고 최소한의 권한을 부여하는 아이디어와 개념’이라는 뜻이다. 국내 가이드라인에서는 보안 위협이 언제 어디서든 발생할 수 있다는 상황을 전제로, 보안 요건을 갖추지 않은 사용자나 기기에 대한 접근을 제한하고, ‘내부 데이터 보호’에 집중하는 새로운 보안 패러다임이라고 소개하고 있다.

기존 경계 기반 모델은 내부 네트워크를 신뢰하는 자원과 인터넷을 신뢰하지 않는 자원으로 구분 하여 보안을 유지했다. 반면, 제로트러스트 모델은 보호해야 하는 모든 데이터와 컴퓨팅 서비스를 자원(Resource)으로 분리·보호하고, 각 자원에 접속할 때마다 인증을 거쳐야 한다. 네트워크 내부의 접속 요구 시 어느 정도 신뢰를 기반으로 판단하는 기존 보안 체계와의 차이점이다. 가이드라인에는 국내 네트워크 환경 등을 고려해 6가지 기본 철학과 3가지 핵심 원칙을 제시하고 있다. 6가지 철학은 다음과 같다.

​

1. 모든 종류의 접근에 대해 신뢰하지 않을 것

2. 일관되고 중앙 집중적인 정책 관리 및 접근제어 결정·실행 필요

3. 사용자, 기기에 대한 관리 및 강력한 인증

4. 자원 분류 및 관리를 통한 세밀한 접근 제어(최소 권한 부여)

5. 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용

6. 모든 상태에 대한 모니터링, 로그 기록 등을 통한 신뢰성 지속 검증·제어가 있다.

​

3가지 핵심 원칙은 제로트러스트 아키텍처를 구현하기 위한 접근 방법으로

1. 인증 체계 강화
2. 마이크로 세그멘테이션(Micro Segmentation)
3. 소프트웨어 정의 경계가 있다.

​

​

제로트러스트의 아키텍처

​

미국 NIST는 2020년 8월 미 연방정부에서의 제로 트러스트 도입을 위한 제로트러스트 아키텍처를 공개 하였다. “Never Trust, Always Verify” 라는 원칙을 기반으로 ‘제로트러스트’에 대해 항상 네트워크가 침해되었다고 가정하고, 보호해야할 데이터 및 컴퓨팅 서비스 등에 대한 접근 요구에 대해 정확하고 최소한의 권한(Least Privilege)을 부여하는 아이디어와 개념의 모음이라고 소개하고 있다. 다음과 같은 기본 원리를 제시하였다.

​

1. 모든 데이터 소스와 컴퓨팅 서비스는 리소스(보호대상)로 간주
2. 네트워크 위치(내/외부)에 관계없이 모든 통신 보호
3. 기업 리소스에 대한 접근을 세션 단위로 승인(검증)
4. 동적 정책으로 리소스에 대한 접근 결정
5. 모든 자산의 무결성 및 보안 상태를 모니터링하고 측정
6. 모든 리소스의 인증/인가를 강력하게 점검한 후 허용
7. 자산, 네트워크, 인프라 등 현 상태에 대한 정보 수집 후 개선

​

​

이를 기반으로, 제로 트러스트는 네트워크 세그먼테이션, 내부망 이동 차단, L7 위협 방지, 세분화된 사용자 액세스 제어 단순화를 활용하여 최신 디지털 환경을 보호하도록 설계 되었다. 따라서 모든 개인 또는 장치에 엄격한 신원 검증을 요구한다.

​

출처: 이석준. (2023). 제로트러스트, 보안 패러다임의 전환. 한국통신학회지(정보와통신), 40(9), 3-10.

제로 트러스트 아키텍처란? - Palo Alto Networks

​

​

​

출처: 미국표준기술연구소(NIST), Zero Trust Cybersecurity: ‘Never Trust, Always

제로트러스트 도입전 기업망 내부에 접속한 이후 내부 자원에 대한 자유로운 접속 및 데이터 구현이 가능한 반면, 제로트러스트를 도입하면 모든 자원이 개별적으로 보호되고 선인증 후 접속 등 지속적인 접속 관리한다.

​

​

​

​

한국의 가이드라인 ?

​

한편 한국의 과기 정통부는 KISA와 함께 제로트러스트 가이드 라인 1.0을 발표했다. 정은수 정보보호산업과장은 “제로트러스트가 본격화되면서 정부는 포럼을 만들어 대응할 수 있는 준비를 하기 시작했고, 민간 기업이 제로트러스트를 쉽게 도입할 수 있도록 가이드라인 1.0을 만들었다”고 밝혔다. 2023년도 발표 된 자료로 코로나의 영향을 받아 원격근무 환경에서의 모델을 제시하였다. 또한 제로 트러스트 도입 전후 네트워크 구조 변화 및 보안 효과성 등을 확인할 수 있다. 그러나 ‘이코리아’ 에서는 코로나 19로 인해 업무처리 방식이 원격으로 전환됨에 따라 조직 내부가 아닌 외부에서 원격으로 접속하는 사용자가 늘고 있다는 점과 전통적인 조직 내부망과 외부망의 구분이 점차 모호해짐에 따라 경계보안 모델의 유용성도 한계에 다다르고 있음을 꼬집었다 .

​

출처 : 이코리아(https://www.ekoreanews.co.kr)

출처 : 데이터넷(https://www.datanet.co.kr)

​

​

제로트러스트 모델의 장점은 다음과 같다.

​

1. 고객 데이터 보호: 고객 데이터 손실로 인한 시간 낭비와 좌절감이 사라지고, 더 이상 기업을 신뢰하지 않는 고객을 잃게 되는 비용도 줄어듦.
2. 보안 스택의 중복 및 복잡성 감소: 제로 트러스트 시스템이 모든 보안 기능을 담당하는 경우 중복 방화벽, 웹 게이트웨이, 그리고 기타 가상 및 하드웨어 보안 장치의 스택을 제거할 수 있음.
3. 보안 전문가 고용 및 교육 필요성 감소: 중앙 제로 트러스트 시스템을 활용하면 보안 제어를 관리, 모니터링, 보호, 개선 및 업데이트하기 위해 많은 사람을 고용할 필요가 없음.

​

출처: 제로 트러스트 보안 모델이란 무엇인가요? | Fortinet

​

230710 조간 (보도) 과기정통부, 제로트러스트 가이드라인1.0 발표.hwpx

​

** 보안모델과 관련된 더 구체적인 기술적인 부분을 알고자하면 과기정통부의 제로트러스트 가이드 라인을 참고 하길 바란다.

​

제로 트러스트 관련 이슈 및 현직에서의 문제점

보안기업의 제로트러스트 도입 반응을 보면, 아직은 초기 단계지만 시장을 선도하는 기업들을 중심으로 빠르게 도입되고 있는 것으로 알려졌다. 특히, 국내에서는 약 12개의 보안업체가 이미 제로트러스트 관련 솔루션을 서비스하고 있고, 20개 이상의 기업들이 관련 솔루션을 개발하고 있는 것으로 알려졌다. 기존의 경계기반 보안 방식에서 쓰던 ‘신뢰할 수 있는 네트워크’라는 개념을 배제하였기 때문에 제로 트러스트를 도입하면 모든 사용자와 기기, 네트워크 트래픽을 신뢰하지 않고 끊임없이 신뢰성을 검증하게 되어 기업의 디지털 자산을 보다 높은 신뢰도로 보호할 수 있다. 다만, 최근에 등장한 개념이다보니 제로트러스트의 정의를 정확히 어떻게 내려야 하는지, 어떤 기술을 도입하고 어떻게 추진해야 하는지에 대한 어려움이 존재한다. 제로 트러스트 도입 관련 이슈와 어려움은 다음과 같다.

1. 제로 트러스트 도입은 막대한 준비 기간이 필요

제로 트러스트를 도입하려면 오랜 기간과 신중한 계획이 필요하다. 한번의 전환을 통해 제로트러스트를 도입하고자 하는 계획은 현실적으로 매우 어렵다는 인식 하에 여러 단계를 거치는 장기간의 계획을 수립하는 것이 적절하다. 제로 트러스트 도입을 위해 고려해야 할 점은 다음과 같다.

• 일관성 유지하기 올바로 실행된 제로 트러스트는 광고에 명시된 대로 탁월한 보안을 제공할 수 있습니다. 하지만 조직이 전략과 일관되어야 한다. 대부분의 조직은 기존 보안 솔루션에서 벗어나면서 단계적으로 변경해야 하지만 그 과정에서 격차가 생기지 않도록 해야 한다.
• 생산성 방해. 제로 트러스트는 대부분의 워크플로에 추가적인 보안 단계를 추가하며 잘못 구현될 경우 생산성에 영향을 미칠 수 있다. 핵심은 업무 지원과 강력한 보안 상태 달성 사이에서 전략 간에 적절한 균형을 찾는 것이다. 프로세스가 과하게 지장을 주는 경우 개인은 이를 회피하려고 할 수 있다.
• 내부자 위협에 맞서기 제로 트러스트는 최소 권한 액세스를 통해 내부자 위협을 완화하는 데 도움이 될 수 있지만 반드시 필요한 것은 아니다. 공격자는 피싱이나 사용자를 속여 민감한 정보를 공유하게 하는 허구 같은 수법으로 사용자 인증 정보를 훔쳐 액세스 권한을 얻는 방법을 자주 찾는다. 또는 최악의 경우 권한 악용을 목적으로 하는 악의적 의도자와 상대하게 될 수도 있다. 제로 트러스트가 내부자 위협에 효과적으로 대응하려면 조직 전체에서 패턴 이상을 모니터링하고 감지할 수 있어야 한다.
• 정책 및 아키텍처 유지관리. 비즈니스가 계속 성장하고 발전하기 때문에 제로 트러스트 정책과 권한 구조도 지속적으로 업데이트되어야 한다. 제로 트러스트 모델은 정확하게 정의된 정책과 효과적인 정책 관리에 의존하므로 침해를 방지하기 위해 사전에 유지관리하고 구성해야 한다.

​

1. 제로 트러스트 모델은 기존 경계 기반 보안의 ‘대체’가 아닌 ‘보완’

막대한 준비 기간과 비용을 수반하여 제로 트러스트를 도입시켰다고 하더라도, 제로 트러스트는 기존의 경계 기반 보안을 완전히 ‘대체’하는 것이 아니다. 기존 경계 기반 보안의 한계가 명확해 제로트러스트로 ‘대체’하는 것이 아니라 ‘보완’하는 것이며, 상당기간 공존할 것이다. 또한, 제로트러스트가 네트워크 보안에만 적용된다거나, SDP(소프트웨어 정의 경계, Sofetware Defined Perimeter)나 ZTNP(제로트러스트 네트워크 액세스, Zero Trust Network Access) 등 핵심 솔루션 그 자체인 것으로 오해해서도 안된다.

1. 제로트러스트에 대한 상호 이해 및 명확한 개념 정의의 차이

사실, 제로트러스트에 대한 정의를 내리는 것부터 쉬운 일이 아니다. 업계에서조차 제로트러스트에 대한 정의가 논란이다. 제로 트러스트 정의를 내리는 데는 크게 두 가지 입장이 있다. 애초에 제로트러스트가 ‘개념’으로 등장한 만큼 ‘Never Trust, Always Verify(절대 믿지말고, 항상 확인해라)’라는 논조에만 부합하면 ‘제로트러스트 솔루션’이라는 주장이 있고, 미국에서도 처음엔 개념으로 접근했지만, 점차 NIST SP 800-207이나 NIST SP 1800-35 등 개념 정립을 통해 기술적 가이드라인이 만들어진 만큼, 그에 따른 기술적 뒷받침이 있어야 한다는 측으로 나뉘고 있다.

실제로 제로트러스트 가이드라인 1.0에 따르면 제로트러스트 아키텍처는 제어 영역과 데이터 영역으로 구분되며, 접속 요구 제어를 위한 정책결정지점(PDP)과 정책시행지점(PEP)이 있다. PDP는 정책엔진(PE)과 정책관리자(PA)로 나뉘며, PE는 신뢰도를 판단해 접속 허가를 최종 결정하고 PA는 PEP에 명령해 정책을 실행한다. PDP는 PEP와 다양한 보안 솔루션(PIPs, 예를 들면 SIEM, C-TAS, IAM, LMS 등)에서 생성한 보안 정보를 바탕으로 한 ‘신뢰도 평가’를 통해 자원 접근 여부를 결정하고, 접근 허가 후에는 양방향 보안 통신경로를 생성한다. 이 때문에 PDP나 PEP 등 핵심기술과 PIPs를 명확히 구분해야 한다는 것이다.

또한, 제로트러스트 개념이 그 어떤 보안 솔루션에도 적용이 가능한 만큼 전체로 묶어야 한다는 측과 경계 기반 보안을 강화하기 위해 나온 것이니만큼 SDP나 ZTNP 등에 초점을 맞추고 이후 다른 보안 솔루션에 적용하는 것이 좋다는 측의 의견으로 나뉘고 있다.

이 때문에 보안전문가들은 미국 ATARC의 ZTIL과 같은 사례가 필요하다고 조언한다. 제로트러스트를 적용하는 솔루션이 서로 다른 각자의 솔루션인만큼, 보안기업들이 제로트러스트 솔루션을 개발하면 전문가들이 함께 의견을 나누며 하나의 ‘사례’를 만들어 공유하는 것이 필요하다는 뜻이다. 실제로 앞서 소개한 ZTIL에서 운영하는 유튜브를 보면, 약 50여개의 기업들이 ‘Zero Trust Demo’를 공유하고 있는데, 이 영상을 보면 각각의 제로트러스트 솔루션이나 제로트러스트 적용사례를 소개하고 마지막에 Q&A를 진행한다. 우리나라 역시 이렇게 다양한 제로트러스트 적용사례를 공유하고 이를 통해 서로 협업할 수 있는 길을 마련해 점차 협력할 수 있는 길을 제시하는 것이 필요하다는 지적이다. 어차피 제로트러스트는 1~2개의 솔루션으로는 완성할 수 없는 만큼 협업이 필수이기 때문이다.

1. 제로트러스트 도입의 가장 큰 문제점 : 비용

그렇다면 제로트러스트 솔루션 기업들이 바라보는 가장 큰 문제는 무엇일까? 우선 제로트러스트가 기존 보안 솔루션과의 개념이 다르기 때문에 이에 대한 고객의 이해와 결단이 필요하다. 아울러 제로트러스트는 기존 경계 기반 보안과 달리 보안성을 강화한 개념이기 때문에 더 복잡하며, 그로 인해 더 많은 리소스가 필요한 것은 물론 비용이 증가할 수 있다. 즉, 제로트러스트가 모든 리소스에 대한 접근을 제한하고, 이에 대한 엄격한 인증과 승인을 요구하기 때문에 기존 보안 솔루션을 사용할 때보다 더 복잡하고 다양한 솔루션을 사용해야 한다는 얘기다.

이 때문에 네트워크 트래픽이 많은 환경에서는 성능 저하가 발생할 수 있으며, 이를 해결하기 위한 운영 비용이 증가할 수밖에 없다. 게다가 제로트러스트를 네트워크 등 한 두 개의 솔루션이나 분야에 도입했다고 해서 모든 보안 홀이 해결되는 것이 아니기 때문에, 이러한 투자와 비용 증가는 계속 늘어날 수밖에 없으며, 이러한 것은 단순히 비용을 넘어 사용자의 불편함을 초래하기도 한다.

즉, 제로트러스트의 도입은 새로운 보안 솔루션의 구축과 기존 솔루션의 연동문제로 인한 비용 증가와 사용상의 불편함과 직원 교육 등 다양한 문제가 필연적으로 발생한다. 하지만 모든 보안 솔루션이 그렇듯 보안은 단순히 비용처리가 아닌 기관이나 기업 등 조직의 영속성을 위해서 반드시 필요한 수단이다. 이에 보안 솔루션 기업 역시 제로트러스트의 활성화를 위한 방안을 고민하고 기업과 기관들이 쉽게 도입할 수 있도록 할 필요가 있다.

e)기업들의 입장

사용자들의 제로트러스트에 대한 니즈는 높지만 실제로 도입하거나 계획을 세우는 곳은 그렇게 많지 않은 것으로 보인다. 즉, 제로트러스트가 2022년부터 2023년까지 매우 핫한 키워드로 떠오르면서 많은 보안전문가들이 이에 대한 기대나 고민은 크지만, 아직까지 도입을 고민하는 곳은 적다는 의미다. 게다가 제로트러스트를 마치 만병통치약으로 여겨 그동안의 보안 홀을 모두 메워주기를 바라기 때문에, 실제 제로트러스트 솔루션과의 차이 때문에 괴리감을 느끼는 경우도 많은 것으로 알려졌다. 아울러 이미 구축한 기존 인프라와의 호환성과 사용성 등으로 인해 선뜻 손을 내밀기도 쉽지 않은 상황이다.

다만 금융권 등 보안 트렌드에 민감한 분야를 중심으로 조금씩 제로트러스트 도입에 대한 기대감이 커지고 있고, 정부기관과 대기업 등 대형 사이트를 중심으로 조금씩 도입 움직임을 보이는 상황이다. 특히 이번 과기정통부의 제로트러스트 가이드라인 1.0 발표와 국가정보원의 공공기관 제로트러스트 도입 발표 이후 이러한 움직임은 더 활발해졌다고 업계에서는 이야기한다.

​

​

[자료 출처]

박은주, 「신뢰하지 않음으로 신뢰한다…’제로트러스트’ 톺아보기」, 『보안뉴스』, 2023년 8월 6일, (https://boannews.com/media/view.asp?idx=120400&kind=2)

원병철, 「 [2024 제로트러스트 보안 리포트] 제로트러스트, 확인에 확인으로 믿음 더하다」, 『보안뉴스』, 2024년 1월 31일, (http://www.boannews.com/media/view.asp?idx=126189)

​

[카드뉴스] 모든 것을 의심하라, 제로 트러스트 . (2023). http://www.boannews.com/media/view.asp?idx=121813.

제로 트러스트란 무엇인가요? . (n.d.). https://cloud.google.com/learn/what-is-zero-trust?hl=ko#section-1.

이석준. (2023). 제로트러스트, 보안 패러다임의 전환. 한국통신학회지(정보와통신), 40(9), 3-10.

김소희,이일구,and 이예은. "5G 네트워크 융합산업을 위한 프랙티컬 제로 트러스트 기술과 정책." 한국산업보안연구 14.- (2024): 205-222.

이코리아(https://www.ekoreanews.co.kr)

데이터넷(https://www.datanet.co.kr)

제로 트러스트 보안 모델이란 무엇인가요? | Fortinet

​

230710 조간 (보도) 과기정통부, 제로트러스트 가이드라인1.0 발표.hwpx