보안 방법론 및 전략 ‘제로 트러스트(Zero trust)

제로 트러스트란? – 신뢰 개념의 제거, 0에서 시작

‘제로 트러스트(zero trust)’는 특정 기술이나 솔루션 이름이 아닙니다. 보안 방법론, 전략, 프레임워크로 보는 게 맞습니다.

사용자나 기기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무도 신뢰하지 않는 전략입니다. 접근을 허락하기 전에 먼저 누구인지, 어떤 접근권한을 가지고 있는지, 인가된 장비인지 유효성을 입증한 뒤 권한을 부여합니다.

이러한 ‘제로 트러스트’ 개념은 2010년 포레스터 리서치(Forrester Research) 보안위협 팀의 존 킨더백(John Kindervag) 수석 애널리스트가 제안했습니다.

제로 트러스트 개념의 핵심 3

• 모든 사용자, 패킷, 네트워크 인터페이스 및 장치에 기본 신뢰 수준인 0 부여
• 최소 권한 액세스 시행
• 포괄적인 보안 모니터링 구현

 바이든 대통령, 취임하자마자 ‘제로 트러스트’ 명령! 

바이든 대통령은 ‘제로 트러스트’가 필수라고 말하며 사이버 보안 전략을 강화하고 있습니다.

21년 1월에 구성된 바이든 행정부는 5월에 행정명령을 통해 연방정부와 클라우드 서비스 공급업체가 ‘제로 트러스트’ 보안 정책을 채택하고 이에 따른 원칙과 프레임워크를 준수하도록 했습니다.
연방정부의 사이버 보안을 현대화하고, 클라우드 서비스로의 전환을 가속화하기 위해 제로 트러스트 아키텍처는 필수, 각 기관장은 이를 구축하기 위한 계획을 60일 이내에 수립하도록 명령하고 있죠.
올해 1월에는 Log4j 취약점을 언급하며, 미국 정부가 ‘제로 트러스트’ 아키텍처로 완전히 전환하기 위한 연방 전략도 발표합니다.

AWS, 구글클라우드, Azure와 같은 클라우드 서비스 업체는 물론 수많은 SaaS 업체가 미국을 기반으로 서비스를 하고 있는 만큼 ‘제로 트러스트’가 개념이 아닌 실행이 되어야 하는 때가 도래한 것이죠.

 한국 기업 8%만 ‘제로 트러스트’ 진행중 – 어떻게 시작해야 될까?

옥타의 ‘2021 APAC 지역 Zero Trust 보안 현황 리포트‘에 따르면 ‘제로 트러스트’ 보안을 현재 진행중인 한국 기업은 8%에 불과했습니다. 2천대 글로벌 기업의 53%라는 수치에 비하면 굉장히 낮은 수준이죠.