제로트러스트_220502

Jiian·2022년 5월 2일

경제 및 시사 공부

목록 보기

37/42

1. 정의

제로 트러스트란?

제로 트러스트는 ‘아무것도 신뢰하지 않는다'는 의미를 담은 사이버 보안 모델이다. 기존에는 시스템상 보안 시스템을 통과한 내부 사용자에 대해서는 신뢰하되, 외부로부터의 공격을 경계하는 개념의 보안 방식이 운영돼 왔다. 그러나 제로 트러스트는 내부에 접속한 사용자라고 하더라도 신뢰하지 않고 검증하는 것을 기본으로 한다.

최근에는 재택·원격근무에 사용되는 시스템의 취약점을 이용해 내부 직원 계정을 탈취하고 랜섬웨어를 유포하는 등 공격방식도 다변화되는 모습이다. 이에 기업 내부에서 접속한 사용자를 포함해 모든 사용자를 기본적으로 신뢰하지 않고 검증하는 것을 기본으로 하는 제로 트러스트 전략이 확산되고 있다. 최근 오픈뱅킹과 관련한 보안성 강화를 위해 제로 트러스트의 개념을 도입하고, 참여기관을 대상으로 한 보안점검을 체계화하겠다고 밝혔다.

2. 제로 트러스트 관련 사례

Case : 오픈 파이낸스의 길, 머지 않았다 [2022.04.30]

제로 트러스트의 구조는?

현재 적용되고 있는 사이버 보안은 내부와 외부를 구분하는 경계형 보안이다. 이는 내부 자원 노출로 디도스 등 외부로부터의 공격 발생 가능성이 있고, 안전 구역이라고 생각하는 내부의 보안에 대한 대책이 상대적으로 소홀한 구조이다. 따라서 해커가 내부에 침투하거나 내부자의 공격 의도가 있을 경우는 보안 사고를 피하기 어렵다. 그러나 제로 트러스트 모델은 제로 트러스트에서는 기존 모델과는 달리 ‘신뢰구간(trust zone)’이 없다.

제로 트러스트의 제어 방식은?

데이터 보호를 위해 내 외부로부터 불법적인 접근 차단을 위해 인증 채널과 데이터 채널을 구분한다. 그리고, 미리 인증된 최소한의 접근만 허가해서 네트워크, 서버 및 DB 등 자원들을 보호하고, 동적으로 감시한다. 이로 인해, 외부 해커가 내부 공격 목표를 알 수 없어서 디도스 공격으로부터 보호되고, 내 외부자 간에도 개별 채널(micro segmentation)이 프로그램 수준에서 형성되어 접근통제 수준이 높다.

제로 트러스트의 전망은?

엄격한 망분리 의무화 보다는 각 기관의 판단에 따라 중요한 데이터 또는 실제 시스템 위주로 꼭 필요한 곳만 선택적으로 망분리를 가능하게 하는 합리적 해법으로 적용될 수도 있을 것이다.

지금까지 금융회사가 그래왔듯이, 정보자산을 보호하는 것 뿐만 아니라, 제로 트러스트의 개념을 적용한다면 원격근무와 같은 일하는 방식의 다양화, 각종 데이터의 활용, 클라우드 서비스를 활용하여 새로운 비즈니스의 창출을 지원할 수 있다. 이로 인해, 금융회사의 비즈니스나 일하는 방식에 어떠한 효과와 편익을 가져다 줄 수 있는가를 최우선으로 검토할 필요가 있다.

기존의 경계형 시큐리티 개념에서 급격한 제로 트러스트 개념으로 전환보다 경계형 시큐리티와 제로 트러스트가 공존하면서 보안을 강화해 나가는 하이브리형 제로 트러스트 추진 전략을 기대할 수 있다.

Case 2 : 삼성·LG 해킹, 방법은 단순했다…덕분에 재조명 받은 이 기술 [2022.04.30]

지난해 글로벌 클라우드 솔루션 기업 옥타가 아시아 태평양 지역 기업의 보안정책 의사결정권자 300여명을 대상으로 조사한 결과 82%가 1년 내에 제로트러스트 기반 보안정책을 시작할 계획이라고 답했다. 이 중 한국 기업의 경우, 설문시점 기준으로 제로트러스트 보안정책을 시행하고 있다는 응답률(4%)은 낮은 편이나, 2년 내에 시행하겠다고 답한 비율(96%)은 아시아 태평양 지역 국가 중 가장 높았다.

미국은 2024년 9월까지 모든 행정기관 내 시스템과 네트워크, 데이터 등에 제로트러스트 원칙을 적용할 계획이다. 이에 따라 미국 정부에 시스템을 제공하는 민간 클라우드와 솔루션 기업들 역시 서비스를 제로트러스트 기반으로 업데이트 중이다. 우리 정부도 최근 제로트러스트 정책 도입을 목표로 사전 연구에 착수했다.

3. 개인 견해 (5줄 이상)

최근 금융기관의 망분리 규제를 완화할 에정이라는 이야기를 들은 바가 있다. 처음에는 보수적이고, 개인 정보가 중요한 금융기관이 어떠한 이유로 그럴 것인가라는 의문을 혼자 가진 적이 있다. 그리고 “제로트러스트”로 인해 망분리 완화가 될 수 있을 것 같다는 답을 얻게 되었다. 하이브리드형 제로트러스트 방식을 통해 보안에 신경을 많이 써야 할 부분은 현재의 방식을 유지하되, 새로운 비즈니스를 도입시키는 데 있어 제로트러스트 방식을 활용한다면 훨씬 효율적으로 금융 회사 내의 보안 체계가 구축될 것 같다.