제로 트러스트(Zero Trust)란?

얼마 전 보안 전문가분들과 회의을 하다가 ‘제로 트러스트(Zero Trust) 보안’이라는 생소한 단어를 듣게 되었습니다. ‘제로 트러스트 보안’이 무엇인지 알아볼까요? 시사상식사전(pmg 지식엔진연구소)에 나와있는 '제로 트러스트'의 정의는 다음과 같습니다. "사이버 보안 전문가이자 포레스터 리서치 수석연구원인 존 킨더버그(John Kindervag)가 2010년 제시한 개념으로, '아무것도 신뢰하지 않는다'는 것을 전제로 한 사이버 보안 모델로, 사용자 또는 기기가 접근을 요청할 때 철저한 검증을 실시하고, 그 검증이 이뤄진다 해도 최소한의 신뢰만 부여해 접근을 허용하는 방식을 말한다." 개념을 보다 쉽고 명확하게 이해하기 위한 좋은 방법 중 하나는, 해당 개념의 역사를 이해하는 것입니다. 시장조사기관 'TechTarget'의 '제로 트러스트 보안의 역사와 진화(The history and evolution of zero-trust security)'라는 기사에는 다음의 내용들이 있습니다. - 제로 트러스트 보안 이전에는 기업 내부자는 신뢰할 수 있었지만 외부자는 그렇지 않았다. - 제로 트러스트는 기업 네트워크 및 시스템에 대한 연결을 신뢰할 수 없다고 가정하는 기업 사이버 보안에 대한 접근 방식이다. - 제로 트러스트에서는 사용자, 디바이스 및 시스템이 처음 연결되기 전에 인증을 받고, 이후에도 네트워크, 시스템 및 데이터에 액세스하기 전에 여러 지점에서 재검증되어야 한다. - 제로 트러스트 보안 모델은 묵시적(implicit) 신뢰를 제거하고 강력한 ID 및 액세스 관리(IAM) 제어를 구현함으로써 조직이 승인된 개인,디바이스 및 애플리케이션만 조직의 시스템 및 데이터에 액세스할 수 있도록 보장할 수 있다는 믿음을 기반으로 한다. 이로 인해 제로 트러스트를 구현하면 무단 액세스, 내부자 위협 및 악의적인 공격의 위험이 크게 제한된다. - "The State of Zero Trust Security 2022" 보고서에 따르면, 응답자의 55%가 제로 트러스트 이니셔티브를 진행중이라고 밝혔는데 이는 2021년 리포트의 24%에 비해 크게 향상된 수치이다. - '제로 트러스트 보안' 이전의 수십 년 동안 기본 보안 태세였던 '경계 기반 접근 방식(perimeter-based security해)'은 경계 내의 모든 사용자 및 장치에 대해 광범위하거나 무제한적인 액세스를 허용하였으나, 지난 20년 동안 클라우드, 모바일 통신, IoT, 원격 업무 등으로 인해 경계가 붕괴됨을 목격하였다. - 악의적 행위자는 이러한 조직을 악의적으로 이용하여, 증가하는 트래픽 양에 맞춰 공격을 시작하였다. - 제로 트러스트는 암묵적 신뢰를 제거하고 승인된 사용자, 디바이스 및 시스템이 액세스 권한을 얻기 전에 승인되었음을 증명하도록 요구함으로써 이러한 공격을 중지하고 피해를 제한하기 위한 것이다. 제로 트러스트 보안의 역사를 연도순으로 나열하면 다음과 같습니다. - 2004년 이전: 경계 기반 접근 방식이 무너지기 시작함 - 2004년: 제로 트러스트의 개념의 태동기 - 2010년: '제로 트러스트'라는 용어 탄생 - 2011년: 구글에서 BeyondCorp 출시 - 2018년: 제로 트러스트의 핵심 요소 도입(eXtended Ecosystem) - 2019년: ZTNA(zero-trust network access)라는 용어 도입 - 2021년: MS의 2021년 "Zero Trust Adoption Report"에서 1,200명 응답자의 96%가 조직의 성공에 매우 중요하다고 응답 - 2021년: 백악관에서 제로 트러스트 전략 발표 - 2022년 1월: OMB(Office of Management and Budget)는 연방 정부의 제로 트러스트 여정을 발전시키기 위한 전략의 세부 사항 발표 - 2022년 6월: OMB에서 연방 제로 트러스트 아키텍처 전략에 따라 모든 기관이 FY2024 말까지 특정 사이버 보안 표준 및 목표를 충족해야 한다고 경고 - "The State of Zero Trust Security 2022"에 따르면 전 세계 정부 기관의 제로 트러스트를 향한 노력으로 인해 정부 기관이 민간 부문 기관보다 앞서게 되었음 제 기사를 통해서 '제로 트러스트'에 대한 정의와 역사에 대해 어느 정도 명확해 지셨으면 좋겠습니다. 제로 트러스트에 대한 상세 내용은 아래 링크를 통해 확인하실 수 있습니다. 감사합니다.