개념

기존의 네트워크 경계 기반 보안 모델에서 벗어나, 모든 사용자와 기기에 대해 지속적인 인증과 검증을 요구하는 보안 접근 방식

-> 접근제어
자원에 대한 사용자 접근 요구를 허가할지 말지 다수의 인증 절차와 검증을 통해 결정하고, 정해진 권한만큼만 활동하도록 제한

• 핵심 개념

1. 신뢰 없음(No Trust): 내부 사용자나 기기도 기본적으로 신뢰할 수 없다고 가정합니다. 모든 사용자와 기기는 지속적으로 인증과 승인 과정을 거쳐야 함
2. 최소 권한(Least Privilege): 사용자와 기기에게 필요한 최소한의 권한만 부여하며, 상황에 따라 동적으로 권한을 조정
3. 연속적 검증(Continuous Verification): 사용자나 기기의 상태가 변경되면 실시간으로 재인증 및 재승인 과정을 거침
4. 데이터 중심(Data-Centric): 데이터 자체에 보안 정책을 적용하여, 데이터에 대한 접근과 사용을 통제

문제점

1. 보안성을 강화하였기에 더 복잡하며, 그로 인해 더 많은 리소스가 필요
2. 초기 통합 비용 혹은 운영 비용 증가
3. 모든 리소스에 대해 다루고 인증과 승인을 요구하기에 기존보다 더 복잡하고 다양한 솔루션 필요
4. 네트워크 트래픽이 많은 환경에서 성능 저하가 발생
5. 기존 시스템들과의 충돌(일부만 보안을 채택하는 기업, 통일되지 않은 시스템, 부족한 인식 및 교육 ... )

즉, 조직이 제로트러스트를 도입하기 위해서는 제로트러스트에 대한 이해와 전문가, 그리고 이를 바탕으로 한 솔루션 도입과 정책이 마련되야 하며, 솔루션 기업은 해당 기업에 필요한 제로트러스트 기반 솔루션들과 이를 통합 운용할 수 있는 기술력을 제공해야 한다.

-> 제로 트러스트에 대한 인지는 있으나 현실적으로 도입이 쉽지 않음

가이드라인

https://www.kisa.or.kr/2060205/form?postSeq=20&page=1

• 핵심원칙

1. 인증 체계 강화(EIG)
2. 마이크로 세그멘테이션(Micro-Segmentation)
3. 소프트웨어 정의 경계(SDP)

• 도입을 위한 기업망 핵심요소 6종

1. 식별자·신원
2. 기기 및 엔드포인트
3. 네트워크
4. 시스템
5. 응용 및 워크로드
6. 데이터

참고 페이지

[2024 제로트러스트 보안 리포트] 제로트러스트, 확인에 확인으로 믿음 더하다
https://www.boannews.com/media/view.asp?idx=126189&page=1&kind=3

[2024 제로트러스트-시스템 보안 리포트] 시스템 노리는 사이버 위협의 해결사
https://www.boannews.com/media/view.asp?idx=128230&page=1&kind=3