[삼성SDS] 제로 트러스트(Zero Trust), 보안과 신뢰의 고정관념을 깨다

https://www.samsungsds.com/kr/insights/zerotrust-0424.html

제로 트러스트(Zero Trust), 보안과 신뢰의 고정관념을 깨다 | 인사이트리포트 | 삼성SDS

 

위 글을 기반으로 작성했습니다.

 

 

 

 

아무도 믿지 마라 - 제로 트러스트

 

맹자 vs 순자

맹자 - 인간의 본성이 원래 착하다는 '성선설'

순자 - 인간은 원래 악한 본성을 타고 난다는 '성악설'

 

 

네크워크 보안은 기본적으로 성선설과 같은 태도

네트워크 보안은 네트워크 구성 요소를 일단 믿고 검증하자는 원칙이었다.

 

 

2010년 포레스터 리서치(Forrester Research)의 존 킨더바그(John Kindervag)

보다 효율적이고 강력한 보안을 위해 성악설의 관점이 필요하다고 주장(네트워크 상의 모든 주체와 객체는 기본적으로 믿을 수 없음)

 

 

Never trust, always verify

 

 

 

'절대 신뢰하지 말고 항상 검증하라'라는 대원칙에 기반한 네트워크 보안 모델인 '제로 트러스트(Zero Trust, ZTNA)' 제안

 

제로 트러스트

네트워크 상의 모든 사용자, 기기 혹은 애플리케이션이 잠재적인 위협이 될 수 있으며, 액세스 권한 부여 전에 인증 단계를 거쳐야 함을 전제로 하는 보안 모델

→ 사용자의 위치나 네트워크에 따른 액세스 권한 부여가 아닌, 사용자 신원, 사용 기기, 요청된 내용 등을 기반으로 권한을 부여해야 한다는 것을 의미

 

ex) 사용자가 한 번 로그인하면 여러 네트워크 서비스에 액세스할 수 있는 통합 인증(SSO, single sign-on) 모델과 달리, 제로 트러스트는 네트워크 리소스가 요청될 때마다 인증 단계를 매번 수행해야 함

 

 

 

제로 트러스트 모델의 구조 (출처: Stafford, 2020 & 삼성 SDS 인사이트 리포트 임재완 작가)

 

 

제로 트러스트 모델 특징

• 일반적으로 다중 인증, 계정과 액세스 관리, 동작 모니터링 등의 기술과 프로세스를 결합하여 구현
• 보안성과 유연성이 더 높은 네트워크 보안 접근 방식 가능
• 네트워크 자원에 대한 액세스를 개별적으로 관리함으로써 정보 유출이나 데이터 침해 사고와 같은 위험 감소

 

 

믿지 않아서 안전하다 - 제로 트러스트의 장점은 ?

1. 안전성이 우수한 보안 모델 - 모든 액세스 요청에 대해 사용자 및 기기 인증과 권한 부여 강제 → 외부로부터의 침입과 내부에서 발생할 수 있는 위협으로부터 보다 효과적으로 데이터 및 시스템 보호 가능
2. 향상된 업무 유연성 - 사용자가 어디서든 안전하게 액세스할 수 있도록 지원함으로써 업무 유연성 향상(기존 보안 모델은 사용자가 특정 네트워크에서만 액세스)
3. 유연하게 적응하는 보안 - 사용자와 기기의 동작을 지속적으로 모니터링하므로, 동작 패턴에 대한 변경사항을 감지하고 유연하게 대응 가능

 

 

믿지 않아서 불편하다 - 제로 트러스트의 단점은 ?

1. 실제 모델 구현의 복잡함 - 인프라 요구사항 증가, 구현 및 관리 비용 증가
2. 사용자 경험의 저하 - 사용자의 인증 및 권한 부여 과정을 강제함으로써 사용자 경험에 부정적 영향

 

따라서, 기업들은 이러한 한계를 고려하여 제로 트러스트 모델 적용 전, 구현 비용 및 사용자 경험 등을 고려해야 한다. 또한 보안 요구 사항에 맞춰 지속적으로 업데이트하고 개선해야 할 필요성이 있다.

 

 

 

그외 제로 트러스트 특징

• 실시간으로 보안 평가 내리는 것이 가능
• 네트워크 혹은 데이터베이스에 대한 액세스 권한 부여가 실시간으로 이뤄지므로 악의적 사용자나 기기에 대한 즉각적인 대응 가능
• 지속성 측면에서도 액세스 요청에 대해 지속적인 모니터링을 수행하므로, 데이터 보안을 끊임 없이 이행 가능

→ 높은 수준의 네트워크 보안은 지원하며, 악의적인 사용자나 기기로부터 효율적으로 보호하는 체계를 제공

 

 

 

 

마치며

제로 트러스트 보안 모델이 아직 몇가지 단점이 있기는 하지만, 현대에서 지속적으로 증가하는 외부 침입 및 내부 위협으로부터 보호하기 위해서는 제로 트러스트 보안 모델만큼 안전한 것도 아직까지는 없는 것 같다. 따라서 앞서 이미 언급한 바와 같이 현재의 한계점을 보완하여 지속적인 업데이트와 개선이 필요하다는 주장에 동의한다.