2024. 12. 13. 10:11ㆍIT 트렌드가 한눈에!
최근 몇 년 사이 ‘제로트러스트’는 보안의 중심 개념으로 자리 잡았습니다. 모든 접근을 의심하고 검증하는 이 보안 방식은 이제 우리 업무 환경에서 쉽게 접할 수 있는 용어가 됐습니다. 이제는 보안 관련 업계나 직무에 종사하지 않더라도, 제로트러스트의 컨셉 정도는 알고 계신 분들이 많아진 것 같습니다.
그런데 적용의 측면에서는 이야기가 조금 다릅니다. 제로트러스트라는 개념이 최근 보안 트렌드를 이끌고 있음에도 불구하고, 실제 기업 및 기관의 업무 영역에 어떻게 적용해야 하는지는 아직 명확하게 정립되지 못하고, 계속 고민이 길어지는 모양새입니다.
올바른 길을 가기 위해서는 올바른 길잡이가 필요한 법이죠?
2024년 12월 3일, 과학기술정보통신부와 한국인터넷진흥원에서 ‘철통 인증 지침(제로트러스트 가이드라인) 2.0’을 발표했습니다. 2023년 7월 발표한 ‘제로트러스트 가이드라인 1.0’을 발전시킨 업그레이드 버전이라고 볼 수 있는데요. 제로트러스트를 공식적으로 ‘철통 인증’이라고 지칭하며, 한국 기업들의 체계 도입과 활용에 실질적인 도움이 될 수 있는 내용을 담았습니다.
1.0에서는 기본적인 제로트러스트 원칙과 필요성을 강조했습니다. 다만 개념적인 틀을 제공하는 가이드라인으로, 구체적인 실행 방안은 부족하다는 의견이 많았죠. 이번 2.0 발표에서는 기술적 조치와 절차를 구체화해 실제 적용에 참고할 수 있도록 정리돼 있습니다. 아래 과학기술정보통신부 홈페이지에서 가이드라인 전문을 다운로드 받을 수 있습니다!
과기정통부 – 철통 인증 지침(제로트러스트 가이드라인) 2.0 발표
지난 1.0에서와 마찬가지로, 가이드라인은 기존의 경계 보안 체계와 차별화된 탈경계화 기반의 접근 방식을 강조하며 시작합니다. 가장 주요한 변화 중 하나는 ‘성숙도 모델’의 고도화와 구체화인데요. 성숙도 수준을 기존의 3단계 (기존, 향상, 최적화)에서 4단계 (기존, 초기, 향상, 최적화)로 구분하고, 각 단계별로 필요한 보안 기술 수준을 상세히 제시했습니다.
성숙도 모델의 6가지 핵심 요소를 설명하면서, ‘데이터’를 가장 최우선으로 보호해야 할 리소스로 강조했는데요. 나머지 5가지 핵심 요소는 데이터를 저장하고 사용하는 수단과 영역이기 때문에 보안이 필요하며, 결국 가장 중요한 보호 대상은 데이터 그 자체라고 이야기하고 있습니다.
데이터 측면에서 향상 혹은 최적화 수준의 성숙도 달성을 위해 필요한 보안 기술, 즉 가이드라인에서 제시하는 제로트러스트 데이터 보안 기술은 다음과 같습니다.
<향상 수준>
• 속성에 기반한 최소 권한 제어기법으로 접근 관리
• 저장소의 모든 데이터 암호화
• 레이블 지정 프로세스 계층화 및 데이터 목록화 자동화
<최적화 수준>
• AI를 이용한 지속적인 데이터 분류 및 목록화 자동화
• 적시·최소 권한 동적 데이터 접근
• 사용 중인 데이터 암호화 및 최신 암호화 적용
요약하자면, 사내 모든 저장소의 데이터를 분류하고, 암호화를 항상 유지하며, 접근 권한을 최소한으로 관리하는 기술입니다. 데이터는 최우선으로 보호해야 할 리소스이므로, 항상 보유 현황을 파악하고 아무나 접근할 수 없도록 조치를 취해야 한다는 의미입니다.
적용 예시로 설명하는 보안 기술 중 하나가 바로 DRM (Digital Rights Management)입니다. DRM은 데이터 자체를 암호화해 권한을 관리하는 기술로, 비인가자의 데이터 접근을 차단하는 대표적인 제로트러스트 보안 솔루션 중 하나로 알려져 있습니다.
제품에 따라 다르지만, Fasoo Enterprise DRM을 예시로 들면 데이터의 생성 시점부터 저장 시는 물론 사용 중에도 암호화를 유지합니다. 개별 데이터마다 사용자/부서별로 접근 권한을 설정하고 열람, 편집, 캡처, 인쇄, 추출, 복사/붙여넣기 등 세부적으로 사용 권한을 관리하죠. 또한, M365와의 연동을 통해 클라우드 환경에서도 일관된 보안을 유지할 수도 있습니다.
지금까지 제로트러스트 가이드라인 2.0 발표와 주요 내용을 정리해봤습니다. 한 가지 기억해야 할 사항은, 가이드라인의 성숙도 모델이 제로트러스트 아키텍처 도입을 위한 절대적인 답안지가 아니라는 점입니다. 본문에서도 제시하는 모델을 참고하되, 기업의 규모와 분야, 접근 주체, 리소스 등 다양한 요소를 고려해 가장 적합한 환경을 구축해야 한다고 밝히고 있습니다.
가이드라인은 성숙도 모델 파트 이후에 제로트러스트 도입 준비 방안과 수준 분석 파트가 이어지며, 부록에서도 제로트러스트 인식 수준과 실증 사례 등 유용한 정보를 담고 있습니다. 제로트러스트에 대해 궁금하신 분들은 한 번씩 읽어보시길 추천 드립니다.
혹시 전문가의 도움이 필요하시다면, 언제든 파수를 찾아주세요.
최우선으로 보호해야 하는 데이터를 위한, 제로트러스트 데이터 보안 방안을 찾아드리겠습니다!
파수 문의하기 | Fasoo Contact Us
여러 번 보는 것보다 한 번의 상담이 더욱 효과적입니다. ‘파수’는 (이하 ‘회사’는) 고객님의 개인정보를 중요시하며, “정보통신망 이용촉진 및 정보보호”에 관한 법률을 준수하고 있습
www.fasoo.com
'IT 트렌드가 한눈에!' 카테고리의 다른 글
| 스크린 워터마크, 비가시성 워터마크(인비저블 워터마크) 뜻과 적용 사례 (3) | 2024.12.18 |
|---|---|
| AI TRiSM: 인공지능의 신뢰성, 위험 관리, 보안을 위한 프레임워크 (2) | 2024.12.16 |
| N-DLP란? EDLP와 NDLP 그리고 CDLP의 차이, 통합 데이터 보안의 필요성 (0) | 2024.12.10 |
| 개인정보보호책임자(CPO) 핸드북 발표, CPO 체크리스트 주요 내용 요약 정리! (2) | 2024.12.05 |
| E-DLP란? DLP의 정의와 다양한 유형, EDLP의 특징 (0) | 2024.12.04 |