제로 트러스트 전환

‘제로 트러스트 전환, 더 이상 미룰수 없다!‘

 

최근 보안 이야기를 할 때 꼭 등장하는 주제가 있습니다. 바로  제로 트러스트 보안인데요, 여기저기서 중요하다고 ✔️밑줄 쫙 긋고 강조💥하는 키워드입니다.

제로 트러스트 보안은 유행이 아닙니다. 엔터프라이즈 컴퓨팅 환경의 변화에 따라 자연스럽게 등장한 것으로 봐야 합니다. 그렇다면 어떤 변화로 인해 제로 트러스트가 보안 목표의 최우선 순위에 올랐을까요? 

 

 

😃 제로 트러스트에 목메는 이유

 

첫 번째는 APT 위협의 증가입니다.

최근에는 알려진 것보다 알려지지 않은 위협이 주류가 되고 있습니다. 제로 데이 공격이란 말로는 그 심각성을 다 표현하기 부족할 정도로 최근 사이버 위협은 정교하고 지능화 되어 가고 있습니다. 

 

두 번째는 근무 방식의 변화입니다.

요즘 하이브리드 업무 환경(Hybrid Workspace)을 채택하는 곳이 늘고 있습니다. 풀타임, 파트 타임, 재택 근무 중 원하는 방식을 자유로이 선택할 수 있게 하는 기업들 소식이 심심찮게 들리고 있습니다. 원격 근무 지원보다 IT가 해야 할 일이 더 많은 게 하이브리드 업무 환경입니다. 특히 보안을 사내 수준으로 외부에 있는 업무 환경까지 챙겨야 하는 것이 큰 숙제입니다. 

 

더불어 이런 업무 환경에서는 사용자가 다양한 장치를 사용해 업무를 볼 수 있는 편의 보장이 필수입니다. 흔히 말하는 BYOD(Bring Your Own Device)를 보안 측면에서 수용해야 한다는 것입니다. 이런 트렌드를 한 마디로 요약하면 ‘위협은 고도화되고 있고, 공격자가 노릴 수 있는 공격 표면은 늘고 있는데, VPN, 백신 등 우리가 흔히 아는 보안 수단으로는 달라진 환경을 보호하기 어렵다는 것입니다. 

 

 

 

😃 제로 트러스트란? 

 

앞서 알아본 업무 환경의 변화는 제로 트러스트 없이는 수용하기 어렵습니다. 그렇다면 제로 트러스트란 무엇일까요? 쉽게 말해 그 무엇도 믿지 않는다는 보안 운영 방식을 뜻합니다. 장치, 사용자, 애플리케이션 등 모든 자원에 대한 접근을 신뢰 기반이 아니라 모든 것을 믿지 않는다는 것을 전제로 보안 운영을 하는 것이라 이해할 수 있습니다. 제로 트러스트 보안이 초점을 맞추는 것은 중요 시스템, 애플리케이션, 데이터 등의 자원을 경계 구분 없이 보호하는 것입니다. 

 

제로 트러스트에 대한 흔한 오해 중 하나가 있습니다. 이를 포인트 솔루션이나 기능으로 보는 것입니다. 제로 트러스트 보안 체계에 도전해 본 기업은 알 것입니다. 제로 트러스트는 보안 메커니즘을 새로운 시대적 요구에 맞게 발전시켜 나아가는 여정(Journey)이란 것을 말입니다. 

 

 

 

 

🙂 구글은 어떻게 접근하고 있을까? 😎

 

구글은 오랜 기간에 걸쳐 내부 환경과 주요 대외 서비스를 대상으로 제로 트러스트 여정을 걸어왔습니다. 그 결과 전통적인 IAM, VPN 등을 이용한 인증 메커니즘을 제로 트러스트 방식으로 바꾸었습니다. 제로 트러스트에 대한 구글의 원칙은 단순 명쾌합니다. 

 

• 서비스에 대한 접근은 네트워크에 의해 결정되면 안 된다! 
• 서비스에 대한 접근은 사용 및 장치의 상황적 요인(Context)에 따라 부여되어야 된다! 
• 서비스에 대한 접근은 인증, 승인, 암호화되어야 한다! 

 

이와 같은 원칙을 바탕으로 어느 위치, 어떤 장치를 사용하던 VPN을 거치지 않고 신뢰할 수 있는 환경에서 필요한 애플리케이션, 데이터 등의 자원에 접근해 서비스를 이용하거나 업무를 볼 수 있도록 하는 것이 구글이 추구하는 제로 트러스트 기반 보안입니다.

보안 운영 측면에서 보자면 구글의 제로 트러스트 접근은 크게 세 가지 요소를 중점적으로 살핍니다.

👉 하나는 정책입니다. 컨텍스트 기반 접근 정책을 정의하고 적용합니다.

👉 두번째는 속성입니다. 아이덴티티, 디바이스 정보, 위치 정보 등에 대한 속성과 함께 상황에 대한 이해를 바탕으로 접근을 제어하는 것입니다.

👉 세 번째는 애플리케이션과 데이터 보호입니다. 구글의 제로 트러스트 보안은 온프레미스, 구글 클라우드, 다른 클라우드 등 어디에 애플리케이션과 데이터가 있던 경계 구분 없이 보호를 수행합니다. 

 

 

 

🙂 하나하나 밟아 가는 여정

 

그렇다면 어떤 단계를 밟아 나아가며 제로 트러스트 보안 여정을 걸어야 할까요? 크게 다섯 단계로 구분해 볼 수 있습니다. 

 

• 공용 인터넷을 통해 엔터프라이즈 애플리케이션에 접근할 수 있는 환경 조성 
• 다중 인증 수단(MFA)를 이용해 리소스에 접근하는 체계 마련 
• 상황 인지(Context aware) 기반 인증 체계 가동 
• 장치 수준의 인증 수행 
• 업무 환경 및 협업/생산성 관련 전략에 제로 트러스트 보안 연계 

 

 

이상으로 『 제로 트러스트 보안 』 에 대해 알아보았습니다. 😎

제로 트러스트 여정을 가속하는 데 관심이 있다면 BeyondCorp라는 구글의 제로 트러스트 구현 모델을 한번 알아보세요. 도움이 될 것입니다. 🙂

 

 

더 자세한 내용은 언제든지 메가존으로 문의 바랍니다. 👉 메가존 문의 바로가기