[한국인터넷진흥원][정보보호] 제로트러스트 가이드라인 2.0 (2024.12)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 제로트러스트 가이드라인 2.0 (2024.12) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 제로트러스트 가이드라인 2.0

○ 발행일 : 2024년 12월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

□ 추진배경

• 2010년 미국의 연구기관 포레스터 리서치(Forrester Research)의 수석 애널리스트 존 킨더백 (John Kindervag)은 제로트러스트라는 기업망 보안에 대한 기존의 경계 보안 체계와는 차별화된 새로운 탈경계화 기반의 접근 방법론을 제시하였다.
• 기업1 들이 그동안 기업망2 에 구축해 왔던 네트워크 보안 모델은 업무 공간에서 발생할 수 있는 기업 자산 탈취, 파괴, 조작 등 외부의 물리적인 공격에 대응하기 위한 전략과 유사하다고 볼 수 있다.
• 일반적인 기업의 업무 공간은 외부와 물리적인 경계가 형성되어 있으며, 단일 혹은 다수의 출입문을 통해 내·외부자의 진입과 이동을 통제하고 있다. 그러나, 출입 통제 시스템만으로는 모든 종류의 침투에 대응하기 어려울 뿐 아니라, 정상적인 출입 통제 절차를 지키거나 우회하여 들어온 침입자가 업무 공간 내부의 기업 자산을 탈취, 파괴하는 모든 행위를 막을 수는 없을 것이다.
• 따라서, 이를 감시·대처하기 위하여 업무 공간의 각 경계 구간에 별도 출입 통제 장치를 둠으로써 공격자가 권한이 없는 공간에 접근할 수 없도록 조치하거나(Micro-Segmentation), CCTV를 설치하여 수상한 행위에 대해 감시하고(Visibility & Analytics), 중요 자산은 금고에 보관함으로써 추가적인 권한 혹은 인증 수단(Multi-Factor Authentication)을 가지고 있어야 접근할 수 있도록 조치하기도 한다.
• 이는 기업 업무 공간 역시 기업 외부와 마찬가지로 더 이상 신뢰할 수 있는 공간이 아니며, 내부에서도 공격자가 존재할 수 있다는 어쩌면 당연하다고 할 수 있는 기본적인 보안의 철학이 반영된 결과라고 할 수 있다. 하지만 물리적인 업무 공간과 다르게 네트워크 영역에서는 이러한 접근통제가 지켜지지 않는 경우가 많다.
• 경계 기반의 보안 체계를 운영하는 상당수 기업의 내부 인가된 사용자는 네트워크만 연결되어 있다면 폭넓은 권한을 통해 시스템 리소스에 언제든지 접근(Access)할 수 있는 것이 현실이다. 이것은 기업의 복잡한 업무 환경의 특성과 구성원의 업무 처리 절차의 신속성, 편의성 확보 등의 다양한 요인이 작용한다.
• 이러한 내부자 신뢰를 전제로 하는 접근통제 정책의 문제는 내부자의 계정 탈취 또는 내부자에 의한 악성 행위에 대한 안전장치가 없다는 것이다. 최근 다양한 디지털 신기술의 등장으로 사이버 공격의 형태가 고도화·은밀화되고 네트워크의 복잡성 및 관리 포인트가 급격히 증가하는 현 상황은 기업의 운영자와 보안 담당자에게 안전한 네트워크 운영을 위한 많은 고민과 숙제를 안겨 준다.
• 제로트러스트는 각 네트워크 경계에 있는 진입점을 드나드는 패킷을 감시함으로써 공격 여부를 판단하기보다 리소스 보호에 중점을 두고 사용자 및 접속 기기가 어떤 형태로든 적극적으로 통제하는 개념으로 그동안 보안 분야의 문제를 해결할 수 있는 새로운 방향성을 제시하고 있다.
• 따라서 근본적인 보안 체계의 체질 개선을 위해 제로트러스트 보안 체계 전환은 필연적이라고 할 수 있으며 이는 보안 산업 분야에서 새로운 기회의 장이 될 수 있을 것이다.

---

제로트러스트-가이드라인-2.0.pdf

6.79MB

제로트러스트 가이드라인 2.0 (2024.12) : 한국인터넷진흥원, 과학기술정보통신부

---

[목차]

제1장

• 제로트러스트
• 가이드라인 2.0 개요

제2장

• 제로트러스트
• 보안 모델 및 도입 필요성

제3장

• 제로트러스트
• 성숙도 모델 및 세부역량

제4장

• 제로트러스트
• 도입 준비 방안

제5장

• 제로트러스트
• 도입 수준 분석

부록

---

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간