제로 트러스트 보안 모델은 새로운 것이 아닙니다. Forrester Research의 John Kindervag가 2010년에 "No More Chewy Centers:Introduction to Zero Trust Model of Information Security(정보 보안의 제로 트러스트 모델 소개)"라는 논문을 쓴 이후로 등장했습니다.
제로 트러스트 접근 방식은 이미 네트워크 경계 내부에 있는 사용자나 응용 프로그램을 포함하여 본질적으로 신뢰할 수 있는 사용자나 응용 프로그램이 없다는 믿음을 중심으로 합니다.
이 아이디어는 Google, Coca-Cola 및 NSA와 같은 대기업 및 조직에서 사이버 공격의 증가하는 위협에 맞서기 위해 이미 수용하고 있습니다. 그러나 여전히 주류 채택을 가로막는 장애물이 있습니다.
제로 트러스트 보안에 대한 오해
제로 트러스트 모델 접근 방식에 대한 조직의 관심이 높아짐에 따라 프레임워크의 기본 원칙에 대한 일부 오해가 채택에 방해가 되었습니다. 다음은 믿지 말아야 할 몇 가지 오해입니다.
잘못된 믿음:제로 트러스트가 불신의 문화를 만듭니다
제로 트러스트에 대한 일반적인 오해는 직원을 신뢰하지 않는다는 생각을 조장한다는 것입니다. 제로 트러스트 프레임워크를 사용하려면 기업이 네트워크 리소스에 액세스하는 사용자를 면밀히 조사해야 하지만 개인 정보로 잘못 해석되어서는 안 됩니다.
사실 신뢰는 조직을 공격의 위험에 빠뜨릴 수 있는 취약성을 나타냅니다. 사이버 범죄자들은 특히 표적 회사에 대한 신뢰를 악용하며 Zero Trust는 이를 완화하는 방법을 제공합니다. 모든 사람이 건물에 들어갈 수 있는 것이 아니라 카드 키를 입력하는 것과 같습니다.
POLP(Principle of Least Privilege)를 사용하여 조직은 임계값 정책을 개인화하여 사용자가 얻은 신뢰를 기반으로 필요한 리소스에만 액세스 권한을 부여할 수 있습니다.
두 번째 오해:제로 트러스트가 제품
제로 트러스트는 제품이 아니라 전략이나 프레임워크입니다. 절대 신뢰하지 않고 항상 확인한다는 아이디어를 기반으로 구축되었습니다.
공급업체에서 제공하는 다양한 제품은 제로 트러스트를 달성하는 데 도움이 될 수 있습니다. 그러나 제로 트러스트 제품이 아닙니다. 제로 트러스트 환경에서 잘 작동하는 제품일 뿐입니다. 따라서 공급업체가 제로 트러스트 제품을 구매하도록 요청하면 기본 개념을 이해하지 못한다는 표시입니다.
제로 트러스트 아키텍처와 적절하게 통합되면 다양한 제품이 공격 표면을 효과적으로 최소화하고 침해 시 폭발 반경을 억제할 수 있습니다. 완전히 구현되면 지속적인 검증이 포함된 제로 트러스트 솔루션으로 공격 표면을 완전히 제거할 수 있습니다.
세 번째 신화:제로 트러스트를 구현하는 방법은 단 하나뿐입니다.
제로 트러스트는 지속적인 검증, 최소 권한 액세스 원칙 및 공격 표면 완화를 포함하는 보안 원칙의 모음입니다.
수년에 걸쳐 제로 트러스트 모델을 시작하기 위해 두 가지 접근 방식이 등장했습니다. 첫 번째 접근 방식은 ID로 시작하고 빠른 결과를 제공하는 다단계 인증을 포함합니다.
두 번째 접근 방식은 네트워크 중심이며 네트워크 분할로 시작합니다. 이 개념에는 네트워크 세그먼트를 생성하여 해당 세그먼트 내 및 세그먼트 간의 트래픽을 제어하는 것이 포함됩니다. 그런 다음 네트워크 관리자는 각 세그먼트에 대해 별도의 인증을 유지 관리하여 시스템에서 측면 위협의 확산을 제한할 수 있습니다.
네 번째 오해:제로 트러스트는 대기업에만 적용됩니다.
Google은 2009년 오로라 작전에 대응하여 제로 트러스트 아키텍처를 배포한 최초의 회사 중 하나였습니다. 이는 Google, Yahoo, Morgan Stanley 및 Adobe Systems와 같은 대기업을 겨냥한 일련의 공격이었습니다.
Google이 공격 직후 제로 트러스트 모델을 채택했을 때 많은 기업은 이것이 대규모 조직에만 적용된다고 생각했고 지금도 생각하고 있습니다. 이 개념은 사이버 공격이 대기업에 국한된 경우에만 사실일 것이며 그렇지 않습니다. 실제로 2021년 데이터 침해의 약 46%가 중소기업을 대상으로 했습니다.
언론은 대기업에 영향을 미치는 데이터 침해를 다루는 경향이 있지만 중소기업에도 사이버 공격에 대한 보호가 필요하다는 데는 의문의 여지가 없습니다.
좋은 소식은 소규모 조직이 제로 트러스트 모델을 구현하기 위해 큰 비용을 들이지 않아도 된다는 것입니다. 제품이 아니므로 기업은 제로 트러스트 아키텍처에 매년 적당한 투자를 할당하여 점진적으로 도입할 수 있습니다.
오해 5:제로 트러스트가 사용자 경험을 방해
제로 트러스트 채택의 장애물 중 하나는 사용자 경험에 대한 인지된 영향입니다. 사용자의 신원을 지속적으로 확인할 때 사용자의 생산성과 민첩성이 저하될 것이라고 가정하는 것은 이해할 수 있습니다. 그러나 적절하게 구현되면 Zero Trust는 사용자 친화적인 경험을 제공할 수 있습니다.
조직은 사용자 프로필을 평가하고 위험 기반 인증과 기계 학습을 결합하여 위험을 식별하고 빠른 액세스 결정을 내릴 수 있습니다. 위험이 높으면 시스템에 추가 인증 단계가 필요하거나 리소스를 보호하기 위해 액세스를 완전히 차단할 수 있습니다. 반대로 위험이 낮으면 인증 문제를 제거할 수 있습니다.
제로 트러스트 접근 방식은 또한 사물의 관리 측면에서 복잡성을 줄입니다. 계약자 및 직원은 더 이상 귀하와 비즈니스를 중단하는 경우 보안 책임을 지지 않습니다. 효율적인 제로 트러스트 모델에서 시스템은 백도어를 제거하여 주요 자산에 대한 액세스를 즉시 종료합니다.
신화 6:제로 트러스트는 온프레미스 환경으로 제한됩니다.
많은 기업은 여전히 제로 트러스트를 온프레미스에서만 관리할 수 있는 모델로 보고 있습니다. 민감한 데이터가 이제 하이브리드 및 클라우드 환경에 상주하기 때문에 이는 주요 문제가 됩니다. 사이버 공격 및 해킹이 온프레미스 아키텍처에 영향을 미치면서 점점 더 많은 기업이 클라우드로 이동하고 있습니다.
좋은 소식은 제로 트러스트가 이에 따라 빠르게 움직이고 있다는 것입니다.
클라우드에서 제로 트러스트 아키텍처를 구축함으로써 기업은 민감한 데이터를 보호하고 네트워크에서 취약한 자산의 노출을 줄일 수 있습니다.
또한 원격 근무 문화가 강화되고 사이버 범죄자들이 취약점을 악용하는 새로운 방법을 개발함에 따라 온프레미스 인프라에 의존하는 기업은 중단 위험이 있습니다.
절대 신뢰하지 마십시오. 항상 확인
조직을 대상으로 하는 데이터 침해 건수를 기반으로 볼 때 보안에 대한 구식 접근 방식으로는 충분하지 않다는 것이 분명합니다. 많은 사람들이 제로 트러스트가 비싸고 시간이 많이 걸린다고 생각하지만 현재의 보안 문제에 대한 환상적인 해독제입니다.
제로 트러스트 모델은 사이버 공격에서 너무 자주 악용되기 때문에 신뢰 기반 시스템을 제거하려고 합니다. 네트워크 리소스에 액세스하기 전에 모든 사람과 모든 것이 확인되어야 한다는 원칙에 따라 작동합니다. 이는 위험을 줄이고 보안 태세를 개선하려는 기업에게 가치 있는 추구입니다.