[카드뉴스] 제로트러스트(Never Trust, Always Verify)

안녕하세요! 성신여대 정보보안 동아리 ConSeQ입니다!

이번 카드뉴스로는 "제로트러스트"에 대한 내용을 담았습니다. 함께 알아보러 가실까요?

모바일･사물인터넷 기기, 클라우드 등 디지털 기술이 향상되고, 코로나 19로 인해 비대면 사회가 가속화됨에 따라 기존의 경계 기반 보안모델은 한계에 도달하여 새로운 보안모델로 전환이 필요한 상황입니다. 그때 등장한것이 신모델 '제로트러스트 보안'입니다. 간략히 설명하자면 제로트러스트란 보호해야 할 자원을 분리함으로써, 연쇄적인 피해를 예방하기에 좋습니다.

제로트러스트란 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, “절대 믿지 말고, 계속 검증하라는 새로운 보안개념(Never Trust, Always Verify)"입니다. 전통적으로 네트워크의 내･외부 경계를 구분하고 내부자에게 암묵적 신뢰를 부여하는 기존 경계 기반 보안모델에서 벗어나, 서버, 컴퓨팅 서비스 및 데이터 등을 보호해야할 자원으로 각각 분리·보호하며 제로트러스트 보안개념을 따릅니다. 

제로트러스트 보안은 ‘절대 믿지 말고, 계속 검증하라’는 기본개념을 토대로 ① 강화된 인증(아이디/패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함), ② 마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리), ③ 소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야함)를 말합니다.

안전하고 지속적인 접근제어를 위해서 제로트러스트 보안모델은 ‘제어영역’과 ‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영합니다. 

지금까지 가이드라인 1.0을 토대로 제로 트러스트에 대해 알아보았습니다. 

가이드라인1.0이 제로트러스트 보안모델에 대한 기본 개념과 원리, 핵심 원칙 등에 대한 설명을 통해 도입 필요성에 대한 인식을 제고하기 위해 노력했다면, 2024년에 발표된 가이드라인 2.0은 실제 모델을 기업에서 도입하기 위한 세부 절차를 보강하는 내용을 담고 있으니 관심이 있으시다면 그에 대해 찾아봐도 좋을 것 같습니다.

감사합니다!