- 버전
- 다운로드 55
- 파일 크기 19.10 MB
- 파일 수 1
- 생성 날짜 2024년 12월 3일
- 마지막 업데이트 2025년 1월 14일
[과학기술정보통신부] 제로트러스트 가이드라인 2.0
과학기술정보통신부에서 발간한
제로트러스트 가이드라인 2.0입니다.
업무에 참고 바랍니다.
ㅇ 자료명 : 제로트러스트 가이드라인 2.0
ㅇ 발행일 : 2024년 12월
ㅇ 주관부처 : 과학기술정보통신부
제 1절. 가이드라인 2.0 발간 배경
1. 제로트러스트 보안 체계 전환의 필요성
2010년 미국의 연구기관 포레스터 리서티(Forrester Research)의 수석 애널리스트 존 킨더백(John Kindervag)은 제로트러스트라는 기업망 보안에 대한 기존의 경계 보안 체계와는 차별화된 새로운 탈경계화 기반의 접근 방법론을 제시하였다.
기업들이 그동안 기업망에 구축해 왔던 네트워크 보안 모델은 업무 공간에서 발생할 수 있는 기업 자산 탈취, 파괴, 조작 등 외부의 물리적인 공격에 대응하기 위한 전략과 유사하다고 볼 수 있다. 일반적인 기업의 업무 공간은 외부와 물리적인 경계가 형성되어 있으며, 단일 혹은 다수의 출입문을 통해 내·외부자의 진입과 이동을 통제하고 있다. 그러나 출입 통제 시스템만으로는 모든 종류의 침투에 대응하기 어려울 뿐 아니라, 정상적인 출입 통제 절차를 지키거나 우회하여 들어온 침입자가 업무 공간 내부의 기업 자산을 탈취, 파괴하는 모든 행위를 막을 수는 없을 것이다.
따라서, 이를 감시·대처하기 위하여 업무 공간의 각 경계 구간에 별도 출입 통제 장치를 둠으로써 공격자가 권한이 없는 공간에 접근할 수 없도록 조치하거나(Micro-Segmentation), CCTV를 설치하여 수상한 행위에 대해 감시하고(Visibility & Analytics), 중요 자산은 금고에 보관함으로써 추가적인 권한 혹은 인증 수단(Multi-Factor Authentication)을 가지고 있어야 접근할 수 있도록 조치하기도 한다. 이는 기업 업무 공간 역시 기업 외부와 마찬가지로 더 이상 신뢰할 수 있는 공간이 아니며, 내부에서도 공격자가 존재할 수 있다는 어쩌면 당연하다고 할 수 있는 기본적인 보안의 철학이 반영된 결과라고 할 수 있다.
하지만 물리적인 업무 공간과 다르게 네트워크 영역에서는 이러한 접근통제가 지켜지지 않는 경우가 많다. 경계 기반의 보안 체계를 운영하는 상당수 기업의 내부 인가된 사용자는 네트워크만 연결되어 있다면 폭넓은 권한을 통해 시스템 리소스에 언제든지 접근(Access)할 수 있는 것이 현실이다. 이것은 기업의 복잡한 업무 환경의 특성과 구성원의 업무 처리 절차의 신속성, 편의성 확보 등의 다양한 요인이 작용한다. 이러한 내부자 신뢰를 전제로 하는 접근통제 정책의 문제는 내부자의 계정 탈취 또는 내부자에 의한 악성 행위에 대한 안전장치가 없다는 것이다.
최근 다양한 디지털 신기술의 등장으로 사이버 공격의 형태가 고도화·은밀화되고 네트워크의 복잡성 및 관리 포인트가 급격히 증가하는 현 상황은 기업의 운영자와 보안 담당자에게 안전한 네트워크 운영을 위한 많은 고민과 숙제를 안겨 준다. 제로트러스트는 각 네트워크 경계에 있는 진입점을 드나드는 패킷을 감시함으로써 공격 여부를 판단하기보다 리소스 보호에 중점을 두고 사용자 및 접속 기기가 어떤 형태로든 적극적으로 통제하는 개념으로 그동안 보안 분야의 문제를 해결할 수 있는 새로운 방향성을 제시하고 있다. 따라서 근본적인 보안 체계의 체질 개선을 위해 제로트러스트 보안 체계 전환은 필연적이라고 할 수 있으며 이는 보안 산업 분야에서 새로운 기회의 장이 될 수 있을 것이다.
2. 제로트러스트 구현 노력
미국은 제로트러스트 도입에 가장 적극적이며 글로벌 정책을 주도하고 있다. 2014년 OPM(인사관리처)의 대규모 정보 유출 사고를 겪은 이후 미 하원은 약 2년간의 조사와 원인을 분석하였고 감독개혁위원회 보고서를 통해 연방정부의 보안 강화를 위한 제로트러스트 도입을 권고했으며 이후 NIST(국립표준기술연구소)는 2020년 SP 800-207 문서를 통해 제로트러스트 아키텍처를 최초로 정의했다. 2021년 바이든 행정부 출범 이후 고도화되는 사이버 위협은 기존 사이버 보안 체계로 대응할 수 없다는 판단하에 2021년 5월, '국가 사이버 보안 개선을 위한 행정 명령(Executive Order 14028 - Improving the Nation's Cybersecurity)을 발표하면서 연방민간행정기관(FCEB) 전체의 제로트러스트 아키텍처의 도입을 명시하고 공식화하였다. 또한, 연방정부 차원에서 제로트러스트 구현을 현실화하기 위한 다양한 프로젝트를 진행해 오고 있다. NIST의 국가사이버보안센터(NCCoE)에서는 주요 보안 기업들과 함께 제로트러스트 아키텍처 구현 프로젝트를 통한 실증을 진행하고 그 결과로 2023년 7~9월 NIST SP 1800-35 시리즈 문서의 3rd Preliminary Draft를 발간하였으며 2024년 7월 시리즈 문서를 모두 통합한 4th Preliminary Draft를 발간하기도 하였다.
미 국방부(DoD)와 국가안보국(NSA)은 2022년 발표했던 제로트러스트 참조 아키텍처 2.0 및 제로트러스트 전략, 역량 실행 로드맵 이후 이를 뒷받침하는 제로트러스트 핵심 요소 7가지에 대한 성숙도 문서를 2023년 4월부터 2024년 7월까지 발간하였다. 또한 2024년 제로트러스트 오버레이 문서를 발간하여, 제로트러스트 핵심 요소, 제로트러스트 구현 활동과 NIST SP 800-53과의 관련성을 분석하였다. 이는 각 연방 기관들이 제로트러스트 아키텍처를 도입하는 데 있어 단순히 특정 기능만을 도입하라는 것이 아니라, 기관 성격에 맞는 다양한 가이드 문서들을 발간함으로써 각 기관이 자율적이면서도 정부의 일관된 원칙하에 제로트러스트 아키텍처를 구축하고 솔루션을 도입할 수 있는 체계를 구현하고 솔루션을 도입할 수 있는 체계를 구성함과 동시에 사례를 지속 확보·수집하고 있다.
