Posted: 1 Min ReadKorean
Original Post: English

제로 트러스트의 기적

제로 트러스트를 제대로 구현하려면 위치에 관계없이 데이터를 보호하는 종합적인 방식을 기반으로 잘 정의된 전략이 필요합니다.

클라우드로 이전하는 기업들이 제로 트러스트를 고려하는 것은 당연합니다. 제로 트러스트는 최신 보안 위협 환경을 해결하는 네트워크 및 시스템을 설계하기 위한 모델을 제공하며, 사용자가 특정 작업을 수행하는 데 필요한 최소한의 권한으로 액세스를 제한하는 최소한의 권한 개념을 기반으로 합니다.

즉, 제로 트러스트의 목표는 일련의 제어를 통해 과도한 사용자 권한 및 액세스로 인한 리스크를 제한하여 보안 위협이 기업 인프라스트럭처 내에서 측면 이동할 수 없도록 하면서 기업의 데이터 보안을 강화하는 것입니다. 따라서 사용자 컨텍스트, 데이터 중요도, 애플리케이션 보안, 디바이스 상태를 기반으로 하는 세부적인 액세스 정책 실행이 기업 제로 트러스트 아키텍처의 핵심 구성 요소가 됩니다.

지난 24개월 동안 환경은 제로 트러스트를 중심으로 재편되었습니다. 

과거 이 블로그에서 언급한 대로, 제로 트러스트는 10년 전 Forrester Research에 의해 처음 소개되었습니다. 제로 트러스트는 기존의 경계 기반 네트워크 보안 패러다임에 문제를 제기합니다. 단지 경계뿐 아니라 보호를 위해 잠금 처리해야 하는 네트워크상의 모든 요소에 대해 문제를 제기하면서 일단 경계가 침해되면 네트워크 내에서 발생할 수 있는 측면 이동의 위험성을 강조합니다. 이 개념은 이론상으로는 그럴듯하지만 현재 사용 가능한 보안 기술로는 구현하기 어려운 것으로 입증되었습니다.

하지만 지난 24개월 동안 환경은 제로 트러스트를 중심으로 재편되었습니다. 제로 트러스트는 혁신적인 보안 기술의 발전을 활용해 이론과 기존 네트워크 중심 패러다임을 넘어 진화하면서 보안 아키텍처를 재고하는 매우 실질적인 프레임워크를 생성하여 활용 사례, IT 아키텍처, 컴플라이언스 요건, 지난 10년 전에는 존재하지도 않았던 지능형 보안 위협 문제를 해결합니다.

보안을 위한 새로운 프레임워크

이 새로운 프레임워크는 최초 제로 트러스트 구성을 대폭 확장한 것으로, Zero Trust Extended(ZTX) 에코시스템 모델이라고 합니다. Forrester Research가 지지한 이 모델은 여전히 데이터 보안 개념을 기반으로 하지만 온프레미스 네트워크, Azure 및 AWS와 같은 클라우드 인프라스트럭처, Slack과 같은 SaaS 애플리케이션, 광범위한 인터넷/웹, 기존 디바이스 및 IOT를 포함한 모든 디바이스까지 폭넓게 확장 가능합니다.   통합적인 동시에 실용적입니다. ZTX 모델은 CIO 및 CISO가 제로 트러스트 보안 전략의 투자 및 구현을 끌어내는 데 사용할 수 있는 일련의 아키텍처 청사진 및 보안 기능 매핑 툴을 제공합니다.

The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018
The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018

Forrester의 제로 트러스트 확장형 에코시스템(Zero Trust extended Ecosystem) 모델은 기존 네트워크와 새로운 클라우드 기반 환경 전반을 이동하는 데이터 보호를 고려하는 데 필요한 상호 연관된 7가지 주요 영역을 처리합니다. 이 모델은 데이터 자체를 보호하는 것부터 기존 네트워크, 계속해서 퍼블릭 및 프라이빗 클라우드에 구축된 워크로드, 데이터가 여러 디바이스 전반에 공유되고 사용자가 이를 기반으로 조치를 수행하는 논리적인 과정을 따릅니다. 또한 이 모델은 기업의 전체 IT 인프라스트럭처 전반에서 발생하는 데이터 상호 과정에 대한 가시성을 유지하는 것의 중요성과, 제로 트러스트 보안 인프라스트럭처의 성공적인 운영에 핵심적인 역할을 담당하는 조정(orchestration) 및 자동화를 강조합니다.

하지만 개념을 이해하는 것과 제대로 구현하는 것은 별개의 문제입니다. 점차 많은 기업이 '그 시작 방법'에 대해 문의합니다.

제로 트러스트 전략 정의

이 질문에 답하는 가장 좋은 방법은 원하는 제로 트러스트 결과를 얻을 수 있는 실질적인 설계 및 구현 청사진과 연계하여 잘 정의된 전략을 구현하는 종합적인 접근 방식을 채택하는 것입니다. 제로 트러스트가 위치에 관계없이 모든 데이터에 대한 액세스를 제어하는 것과 관련된 모든 문제라면, 제로 트러스트를 시작하는 가장 좋은 방법은 어떤 데이터가 가장 중요하고, 이러한 데이터를 처리하고 우선 순위가 높은 영역에 제로 트러스트를 구현하기 위한 계획을 생성하는 데 있어 어떤 시스템 및 디바이스가 가장 중요한지 전략적으로 생각해 보는 것입니다.  이렇듯 전략적 우선 순위를 정립한다면 이제 목표를 달성하는 데 필요한 주요 능력, 기술, 기능에 초점을 맞추는 보다 쉬운 단계를 거칠 수 있습니다.

대체로 기업은 제로 트러스트 시작 시 2가지 여정, 즉 광범위한 방식과 보다 협소한(제한적인) 방식 중 하나를 사용합니다. 광범위한 방식은 CISO 및 CIO가 선호하는 데, 이들은 기업의 다양한 분야에 보안 인프라스트럭처를 재구축해야 하는 사실을 인지하고 있으며, ZTX를 기업을 보호하는 데 필요한 새로운 보안 아키텍처를 제공하기 위한 실질적인 프레임워크로 간주합니다. 

두 번째로, 보다 협소한 접근 방식은 기업이 가장 취약하거나, 또는 업무상 가장 중요한 것으로 간주하는 몇몇 시스템 및 데이터에 대한 액세스 제어 기능 향상에 초점을 맞춥니다.  일부 기업은 인증된 디바이스의 인증된 사용자로만 애플리케이션 액세스를 엄격하게 제한할 수 있으며,  또는 퍼블릭 클라우드에 저장된 중요 데이터를 암호화하고 경우에 따라 의료 데이터와 같은 특정 유형의 정보를 처음부터 퍼블릭 클라우드에 저장하지 못하도록 할 수 있습니다.

흥미로운 것은 대부분의 기업이 제로 트러스트에 대해 광범위한 접근 방식을 채택하든지, 아니면 보다 협소한 접근 방식을 채택하든지에 관계없이 첫 단계로 액세스 제어 및 ID 관리를 시작하는 것입니다.  제로 트러스트가 위치에 관계없이 데이터 및 시스템을 보호하는 모든 것임을 감안할 때 어떤 시스템의 어떤 데이터에 누가 액세스할 수 있는지 제한하는 것부터 시작하는 것은 합리적인 선택으로 보입니다.

기능의 우선 순위 지정

다음 단계는 기업이 정의한 제로 트러스트 전략을 제공하는 데 필요한 기능의 우선 순위를 정하는 것입니다.  예를 들어, 워크로드 영역에 초점을 맞추는 경우 2가지 주요 기능은 애플리케이션에 대한 세부적인 액세스 제어를 구현하고 악성 코드 및 정보 보안 위반이 없는지 모든 워크로드 및 스토리지를 지속적으로 검사하는 것일 수 있습니다.  초기에 사람/인력에 대한 보호를 향상시키는 데 초점을 맞추는 경우 적절한 사용 정책을 시행하고 클라우드 및 웹에서 사람/인력을 표적으로 하는 보안 위협을 차단하는 것부터 시작할 수 있습니다.

특정 기술 파악

그 다음 단계는 필요한 기능을 확보하기 위해 기업에 필요한 기술을 파악하는 것입니다. 예를 들어, 방금 언급한 워크로드에 대한 액세스 제어 기능을 확보하려면 Software Defined Perimeters(SDP) 및 다중 인증(Multi-Factor Authentication, MFA)과 같은 기술을 구축할 수 있습니다.  웹 보안 위협으로부터 직원을 보호하려면 웹 격리, 암호화된 트래픽 검사, 클라우드 기반 샌드박싱 등의 기술이 중요할 수 있습니다.

특정 기능 강조

올바른 벤더를 선택하려면 제로 트러스트 솔루션을 위해 선택한 각 기술의 특정 기능을 식별하고 그 우선 순위를 정해야 합니다.  예를 들어, 워크로드에 대해 사용해 온 대로 트래픽의 '데이터 경로'에 있는 SDP 솔루션 확보를 우선적으로 수행하여 보고 및 보안 위협 차단을 위한 트래픽 검사 기능을 제공하고 위험한 사용자 행위가 발견된 경우 MFA 툴을 통해 한층 수준 높은 인증을 적용할 수 있습니다.  또는 웹과 상호 작용할 때 사용자의 브라우저를 보호하는 격리 솔루션을 통해 Secure Web Gateway와 통합하여 위험한 웹 트래픽의 특정 유형만 선택적으로 격리하는 것이 중요할 수 있습니다.

하지만 이와 같이 비록 초점은 달라도 결국 기업에서 정의한 전략에 따라 제로 트러스트 기능을 제공하는 데 필요한 일련의 기능 및 기술 측면에서 결국 상당히 복잡한 매핑 기능에 도달하게 될 수 있습니다.  예를 들어, SaaS 애플리케이션에 업로드된 컨텐트에 제로 트러스트 보안을 적용하는 전략과 연계된 능력, 기술, 기능 매핑에 있어 기업 인프라스트럭처 전반에 대해 11개에 달하는 철저하고 제어된 단계를 고려해야 할 수 있습니다.

제로 트러스트 원리를 적용하는 것이 SaaS 애플리케이션에 데이터를 업로드하는 것처럼 간단해보일 수 있지만 실제로는 서로 다른 여러 기술, 다중 통합, 수많은 벤더가 연관된 매우 복잡한 과정입니다.

ZTX 플랫폼 접근 방식의 장점

이로 인해 유수의 수많은 기업들이 제로 트러스트 계획을 시작할 때 플랫폼 접근 방식의 중요성에 우선 순위을 맞춥니다.  기업이 거의 대부분의 제로 트러스트 요구 사항을 충족할 수 있도록 지원하는 벤더를 발견하기만 하면 이 프로그램을 대폭 간소화할 수 있습니다.  저자가 속한 회사의 시만텍 통합 사이버 방어(Symantec Integrated Cyber Defense) 플랫폼과 같은 제로 트러스트 플랫폼은 해당 플랫폼에 기업이 필요로 하는 능력, 기술, 기능을 통합하여 사전에 구축함으로써 이러한 복잡성을 해소합니다. 그 결과, 운영 복잡성을 줄이고 더 나은 가시성을 제공하며 자동화 및 조정(orchestration)을 간소화하고 효율적인 소싱 및 벤더 관리를 수행하면서 보다 향상된 보안을 실현할 수 있습니다.

시만텍 플랫폼은 기업에 간소화된 보안 모델을 제공하여 해당 기업에 가장 중요한 제로 트러스트 보안 성과를 제공합니다. 시만텍은 관련 기능을 직접 ZTX 모델에 매핑했는데, 최근 Forrester Research는 시만텍을 The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018 부문의 리더로 선정한 바 있습니다.

제로 트러스트 및 Zero Trust Extended 에코시스템 모델에 대해 자세히 알아보려면 시만텍에 문의하십시오. 클라우드 기반 환경으로 이전하면서 기업에는 보안 인프라스트럭처를 재설계할 수 있는 환상적인 기회가 주어졌으며, ZTX 모델은 기업이 이러한 과정을 거치는 데 필요한 멋진 청사진을 제공합니다. 최근 노벨상을 수상한 Bob Dylan이 언급한 대로 우리는 “변화의 바람이 이동할 때 강력한 기반을 가지고자 합니다.” 제로 트러스트는 이렇듯 오늘부터 향후 몇 년간 변화하는 기술의 바람에 적합한 강력한 기반을 제공합니다.

About the Author

Gerry Grealish

Head of Product Marketing, Network Security

Gerry is the Head of Product Management for Symantec’s Network Security product line. Prior to joining Symantec through the acquisition of Blue Coat, Gerry was CMO at Perspecsys, a leader in the fast growing CASB cloud security market.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.