제로트러스트 가이드라인 공개…경계 보안 약점 극복하는 전환점

2023. 7. 19. 13:30IT 트렌드가 한눈에!

엔데믹 이후, 보안 분야에서 가장 거대한 흐름이었던 제로트러스트. 최근 과학기술정보통신부(이하 과기정통부)에서 <제로트러스트 가이드라인 1.0>을 발표했습니다. 대통령 직속 디지털플랫폼정부위원회와 함께 새로운 디지털 환경에서의 정보보안을 위해 국가적 차원의 움직임이 적극적이고 구체적으로 드러나고 있는 모양새입니다.

제로트러스트라는 개념은 사실 2010년도부터 언급된 꽤 오래된(?) 보안 모델이지만, 팬데믹 이후 대부분의 조직들이 업무 환경의 변화를 겪으면서 본격적으로 주목을 받기 시작했습니다. 전통적인 경계 보안, 즉 내부자에게 암묵적으로 신뢰를 부여하는 보안 체계가 한계에 직면했다는 걸 모두가 인정하게 되는 전환점을 맞이하게 된 것이죠.

 

출처 : 과기정통부 <제로트러스트 가이드라인 1.0>

 

이번에 공개된 <제로트러스트 가이드라인>을 살펴보면 더욱 명확하게 알 수 있습니다. 경계 보안으로는 더 이상 사이버 공격으로부터 내부의 중요 자산을 지킬 수 없다는 걸 모두가 공식적으로 인정하는 내용입니다. 이제는 경계 보안을 벗어나 지속적으로 사용자들을 검증하고, 접근을 제어하며, 조직의 중요 자산들을 자체적으로 보호해야한다는 것이 핵심 포인트입니다.

 

출처 : 과기정통부 <제로트러스트 가이드라인 1.0>

 

이번 가이드라인 1.0에서는 지속적으로 기존의 경계 기반 보안과 제로트러스트 개념을 비교해서 설명하고 있는데, 결국 보호해야 할 모든 데이터와 서비스를 각각의 자원으로 분리하고 보호해야 함을 강조하고 있습니다. 이를 통해 하나의 자원이 해킹 됐다 하더라도, 인근 자원은 보호할 수 있으며, 내부 사용자라 할지라도 권한 외의 행동을 했을 시 이를 차단하고 분석할 수 있습니다.

 

출처 : 과기정통부 <제로트러스트 가이드라인 1.0>

 

무엇보다 제로트러스트 환경을 제대로 구현하기 위해서는 여러가지 고려해야 할 요소들이 있는데요. 가이드라인에서 강조하고 있는 것 중, 주목해야 할 것은 바로 ‘데이터’입니다. 기업 및 기관에서 가장 최우선적으로 보호해야 할 자원이라고 명시가 돼 있습니다. 파수씨가 지금까지 수많은 포스팅을 통해서 지속적으로 말씀드려 왔었던 바로 그 ‘데이터 자체 보호’입니다. 이는 최근 이슈가 되고 있는 공급망 보안 프로세스를 구축하는 일에도 핵심 포인트가 되고 있습니다.

 

어떤 보안 모델을 선택하든 궁극적으로 우리가 보호하고자 하는 것, 그리고 결국 근본적으로 해커들이 탈취하고자 하는 것. 모두 동일합니다. 바로 ‘데이터’입니다. 그렇기 때문에 각 조직들은 최우선적으로 데이터를 보호해야 하며, 제로트러스트 보안 체계 역시도 그 목적을 위해 구성되고 있습니다.

 

https://blog.naver.com/fs0608/222618852122

 

제로 트러스트, 2022 보안 트렌드의 핵심

2022년, 올해는 과연 우리의 일상을 되찾을 수 있을까요? 생각보다 일상 회복으로의 발걸음은 더디기만 합...

blog.naver.com

 

제로트러스트에 관련된 포스팅은 지난해부터 꾸준히 말씀드리고 있습니다. 시간은 조금 걸렸지만, 이번 가이드라인을 계기로 각 조직의 보안 체계에 많은 변화가 이뤄질 것으로 예상됩니다. 과기정통부 역시도 향후 실증사례의 보안 효과성 분석과 변화되는 환경 등을 고려해 가이드라인 2.0을 준비하는 등 지속적으로 보완 및 고도화해 나갈 것이라고 밝혔습니다.

 

과기부의 제로트러스트 가이드라인 2.0 준비

 

제로트러스트는 특정한 솔루션이나 기술이 아닌, 전반적인 보안을 구현하는 방법론입니다. 그렇기 때문에 ‘제로트러스트 솔루션’이라고 하는 하나의 솔루션만으로 모든 문제를 해결한다고 접근하는 것은 반드시 경계해야 합니다. 서로의 영역을 상호 보완하는 ‘플랫폼’ 구조로 보안 체계를 구성해야 하며, 다층 구조의 빈틈없는 아키텍쳐가 필요합니다.

 

https://www.fasoo.com/solutions/fasoo-data-security-platform

 

제로 트러스트 기반 플랫폼

제로 트러스트 기반 데이터 보안 플랫폼 정보 제공, Fasoo의 하이브리드 워크플레이스 보안 솔루션, 다층 구조의 상호보완 아키텍쳐, 통합 로그 분석을 통한 관리자 인사이트 제공, 업무 생산성

www.fasoo.com

 

최근 글로벌 사이버 보안 기업에서 발표한 <2023 글로벌 제로트러스트 현황 보고서>에 따르면, 전세계 많은 조직들이 제로트러스트를 적극적으로 구현하고 있지만, 여전히 적지 않은 어려움을 겪고 있다고 밝혔습니다. 글로벌에서는 이미 절반 이상의 기업 및 기관들이 제로트러스트 보안 모델 구현을 시작했고, 이는 해마다 증가하는 추세에 있는 수치입니다.

온프레미스와 클라우드에 구축된 제로트러스트 솔루션 간의 통합 문제나 일관성 있는 보안 정책 시행, 정합성을 보장하기 힘든 보안 로그들 관리, 보안 관리자들의 업무 과중 등 함께 해결해야 할 문제들도 있습니다.

 

글로벌 기업들의 제로트러스트 모델 구현 움직임

 

이번 <제로트러스트 가이드라인> 발표는 여러가지 의미가 깊습니다. 우리나라도 이제 국가의 핵심자산을 지키기 위해 본격적으로 제로트러스트 보안 모델을 채택하고, 실질적으로 구현하는 단계로 넘어간다는 선언입니다. 여러분들의 조직은 ‘제로트러스트’, 잘 준비되고 계신가요?

 

더 이상 선택이 아닌 필수로 자리잡아 가고 있는 제로트러스트. 파수와 함께 준비해 보세요!