[한국인터넷진흥원][정보보호] 제로트러스트 가이드라인 1.0 (2023.06)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 제로트러스트 가이드라인 1.0 (2023.06) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 제로트러스트 가이드라인 1.0

○ 발행일 : 2023년 06월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

□ 추진배경

• 제로트러스트(Zero Trust)는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하며, 기업망1 내외부에 언제나 공격자가 존재할 수 있고, 명확한 인증 과정을 거치기 전까지는 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않으며, 인증 후에도 끊임없이 신뢰성을 검증함으로써 기업의 정보 자산을 보호할 수 있는 보안 모델을 의미한다. ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’2 라는 문구로 대표되는 제로트러스트 보안 모델은 전통적인 사이버 보안 접근방식인 경계 기반 보안(Perimeter Security)으로는 업무 환경의 변화와 진화하는 공격에 대응할 수 없어 등장하게 되었다.
• 업무 환경의 변화는, 기업에서 생산성을 유지하기 위하여 구축하고 있는 기업망 환경이 기술의 발전에 따라 급속도로 변화하고 있음을 의미한다. 전통적으로 기업은 업무를 위한 기업망을 두고, 이 기업망은 인터넷과 같은 외부망과 연동을 하되 그 경계선에서 방화벽, 침입탐지시스템 등의 보안 솔루션을 통하여 침입이나 해킹 공격에 대응하는 경계 기반 보안 방식을 채택하는 것이 일반적이었다. 기존 기업망 환경의 경우 기업망과 외부망으로 구분되는 구조가 단순하고 경계가 명확했기 때문에, 경계 기반의 전통적인 방식은 상당수의 공격에 대응하기에 매우 효과적이었다.

---

제로트러스트가이드라인-1.0-전체본-230714.pdf

4.90MB

제로트러스트 가이드라인 1.0 (2023.06) : 한국인터넷진흥원

---

□ 제로트러스트 개념의 발전

• 현재의 제로트러스트와 유사한 개념은 2000년대 초반 미국 국방부의 글로벌 정보 그리드 (Global Information Grid) 네트워크 동작 프레임워크(Network Operations, NetOps) 에서 블랙코어(Black Core, BCORE)라는 네트워크 전략을 개발한 바 있으며, 이러한 개념은 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)로 발전하였다. 또한, 비슷한 시기에 산업보안 전문가 그룹인 제리코 프로젝트(Jericho Project)에서 다룬 ‘탈경계화 (De-perimeterization)’를 제로트러스트 개념의 출발로 보는 시각도 있다.
• ‘제로트러스트’라는 용어가 본격적으로 사용되기 시작한 것은, 2010년 Forrester Research 수석 애널리스트 John Kindervag이 기업망에서 더 엄격한 사이버 보안 및 접근제어 방식의 필요성 강조를 위해 2010년 9월과 11월 두 단계에 걸쳐 제로트러스트 네트워크 모델을 제안하면서부터이다. 이와 독립적으로, 구글은 자사 네트워크 보안 방식 및 업무 환경을 개선하기 위해 BeyondCorp이라고 불리우는 제로트러스트 보안 구조를 구현·공개 (2014년)한 바 있다.

□ 미 연방정부의 제로트러스트 도입

• 2014년부터 2015년까지 두 차례에 걸쳐, 미국 연방정부의 인사관리처(US Office of Personnel Management, OPM)에서 대량의 개인정보 유출사고가 발생하였다. 미국 역사상 최악의 해킹 사례 중 하나로 기록된 이 사고에서, 대략 2,150만명에 해당하는 전·현직 직원 및 가족의 개인정보가 유출된 것으로 파악되었다.
• 미 하원 감독개혁위원회(Committee on Oversight and Government Reform)는 2015년 4월부터 2016년 9월까지 약 1년 5개월간의 조사 후 채택한 보고서에서 해킹의 원인과 영향 등을 분석한 후 연방 정부에게 총 13가지 권고안을 내놓았는데, 이 중 두 번째 권고안에서 지능적이고 지속적인 공격에 대응하기 위하여 연방정부의 정보보안 및 IT 아키텍처를 제로트러스트 모델로 이행할 것을 촉구하였다.

□ 제로트러스트 도입의 필요성

• 이를 해결하기 위해서는 보안 패러다임이 근본적으로 바뀌어야 하며, 이를 위해 등장한 개념이 바로 제로트러스트이다. 제로트러스트 모델에서는 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하며, 기업망 내외부에 언제나 공격자가 존재할 수 있고, 모든 사용자, 기기 및 네트워크 트래픽을 신뢰하지 않는다.
• 네트워크 혹은 물리적 위치, 접속 기기에 상관없이 기본적으로 ‘비 신뢰’에서 출발하여 강화된 인증 및 기기 상태 모니터링 등을 통하여 계속 검증한 후 신뢰도가 일정 수준을 넘어갈 때, 기업망 혹은 기업 데이터를 접근할 수 있는 권한을 부여하는 것이 제로트러스트의 원칙이 된다.

---

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간