Your browser does not support JavaScript!

웹서비스에서 제로트러스트(Zero Trust) 보안 모델의 구현과 적용 방안

일일 보고서 2024년 07월 13일
goover

목차

  1. 요약
  2. 제로트러스트 개념 및 배경
  3. 제로트러스트의 핵심 구성 요소
  4. 국내외 제로트러스트 도입 동향
  5. 제로트러스트 보안 모델 구현 사례
  6. 제로트러스트 도입 시 고려 사항 및 도전 과제
  7. 결론

1. 요약

  • 이 리포트는 웹 서비스에서 제로트러스트 보안 모델의 구현과 적용 방법을 다루고 있습니다. 제로트러스트의 개념 및 배경, 필요한 구성 요소, 국내외 도입 동향, 그리고 실제 사례들을 분석하여 제로트러스트 모델의 중요성을 설명합니다. 주요 구성 요소로는 IAM(Identity and Access Management), 마이크로 세그멘테이션, 최소 권한 접근, 지속적인 모니터링, 제로트러스트 네트워크 접근(ZTNA) 등이 있으며, 이를 통해 보다 안전한 웹 서비스 환경을 구축할 수 있는 방안을 제시하고 있습니다. 또한, 제로트러스트 보안 모델을 도입할 때 고려해야 할 통합 문제, 직원 교육, 업무 효율성 간의 조화 등도 논의되었습니다.

2. 제로트러스트 개념 및 배경

  • 2-1. 제로트러스트의 정의

  • 제로트러스트는 모든 사용자, 모든 단말기, 모든 트래픽을 의심하고, 적절한 확인을 거쳐야 비로소 접속 권한이 부여되는 보안 개념입니다. 내부/외부 누구도 적절한 인증이 없다면 신뢰하지 않는다는 원칙에 기반을 둡니다. 이 개념은 2010년에 처음 등장했으나, 코로나19와 클라우드 확대, 스마트 오피스 확대 등의 이유로 2020년부터 급부상하기 시작했습니다.

  • 2-2. 제로트러스트의 필요성

  • 비대면 및 원격근무가 발전하면서 내부/외부 경계가 모호해졌고, 보안이 취약한 접점들이 늘어났습니다. 기존 보안 체계는 이러한 변화에 효과적으로 대응하지 못했으며, 제로트러스트 모델이 이러한 환경에서 보안 강화를 위해 반드시 필요하게 되었습니다.

  • 2-3. 기존 보안 체계와의 차이점

  • 기존 보안 체계는 주로 경계 보안(Perimeter Security)에 초점을 맞추고 있습니다. 하지만 제로트러스트 모델은 모든 시스템과 데이터 접근 시마다 적절한지 검증하는 방식으로, 기존 보안 체계에서 추가적인 확인 과정이 포함된 것입니다. 이로 인해 제로데이 취약점이나 권한 오남용을 막을 수 있으나, 업무 효율성이 저하될 수 있는 단점도 존재합니다.

3. 제로트러스트의 핵심 구성 요소

  • 3-1. IAM(Identity and Access Management)

  • IAM(Identity and Access Management)는 제로트러스트 보안 모델의 중요한 구성 요소입니다. 이는 사용자의 신원을 확인하고, 적절한 권한을 부여하며, 지속적으로 모니터링합니다. 이를 통해 승인된 사용자만이 필요한 리소스에 접근할 수 있도록 보장합니다.

  • 3-2. 마이크로 세그멘테이션(Micro-segmentation)

  • 마이크로 세그멘테이션(Micro-segmentation)은 네트워크를 작은 여러 구역으로 나누어, 각 구역에 대해 개별적인 보안 정책을 적용하는 방식입니다. 이를 통해 특정 구역 내에서 발생하는 보안 위협이 다른 구역으로 확산되는 것을 방지할 수 있습니다.

  • 3-3. 최소 권한 접근(Least Privilege Access)

  • 최소 권한 접근(Least Privilege Access)은 사용자가 업무를 수행하는 데 필요한 최소한의 권한만 부여받도록 하는 접근 제어 방식입니다. 이를 통해 불필요한 접근 권한으로 인한 보안 위험을 줄일 수 있습니다.

  • 3-4. 지속적인 모니터링(Continuous Monitoring)

  • 지속적인 모니터링(Continuous Monitoring)은 네트워크와 시스템의 상태를 지속적으로 감시하여 이상 징후나 잠재적인 보안 위협을 신속하게 탐지하고 대응할 수 있도록 하는 방법입니다. 이를 통해 실시간으로 보안 상황을 파악하고 적절한 조치를 취할 수 있습니다.

  • 3-5. 제로트러스트 네트워크 접근(ZTNA)

  • 제로트러스트 네트워크 접근(ZTNA)은 네트워크 접근 제어를 강화하기 위한 제로트러스트 원칙의 실현 방법 중 하나입니다. ZTNA는 모든 네트워크 트래픽을 검증하고 인증하며, 지속적으로 보안 정책을 적용합니다. 이를 통해 내부와 외부의 경계를 엄격하게 관리하고 보안성을 높일 수 있습니다.

4. 국내외 제로트러스트 도입 동향

  • 4-1. 국내 제로트러스트 도입 및 정책 추진 현황

  • 국내에서 제로트러스트 도입은 과학기술정보통신부(과기정통부)와 국가정보원이 주도하고 있습니다. 과기정통부는 KISA 및 민간 전문가들과 함께 2022년 '사이버보안 패러다임 전환 연구반'을 구성해 제로트러스트 도입의 필요성을 연구하였습니다. 이를 토대로 2023년 7월에는 '제로트러스트 가이드라인 1.0'을 공개하였으며, 같은 해 6월부터 11월까지 실증 지원 사업을 통해 보안 기업의 경쟁력 강화를 도모했습니다. 또한 과기정통부는 2024년부터 제로트러스트 도입을 확대할 계획입니다. 국가정보원 역시 국가 및 공공 영역에서 제로트러스트 도입의 필요성을 인지하고, 2023년 7월 언론사 초청 사이버안보간담회에서 2024년까지 'K-제로트러스트 구축 가이드라인'을 개발하고 시범 적용할 예정입니다. 또한, 2026년부터 전 국가·공공기관에 적용하는 로드맵을 발표했습니다. 과기정통부와 국가정보원은 각각 민간 기업의 안전성과 국가·공공기관의 보안을 중점적으로 강화하겠다는 차별점을 가지고 있습니다.

  • 4-2. 해외 제로트러스트 도입 사례

  • 해외에서도 제로트러스트 도입 사례가 증가하고 있습니다. 미국의 경우, 국가표준기술연구소(NIST)와 사이버보안 및 인프라 보안청(CISA)이 제로트러스트 관련 문서를 발표하여 기본 원리를 제시하고 있습니다. 이와 같은 국제적인 가이드라인을 참고하여 제로트러스트 보안 모델을 국내에 도입하고 있으며, 미국의 제로트러스트 접근법을 본보기로 삼아 한국에서도 유사하게 적용하고 있습니다. 그 외에도 유럽과 아시아 국가들 역시 제로트러스트 도입을 추진 중이며, 각국의 보안 정책 및 환경에 맞춘 모델을 개발하고 있습니다.

  • 4-3. 국내외 도입 사례 비교

  • 국내외 제로트러스트 도입 사례를 비교해 보면, 미국은 NIST와 CISA의 지침을 기반으로 민간 및 공공 부문에서의 제로트러스트 도입을 적극 권장하고 있습니다. 이에 반해, 한국은 과기정통부와 국가정보원의 주도 아래 제로트러스트 도입을 추진하고 있으며, 각 기관의 역할에 차이가 있습니다. 과기정통부는 주로 민간기업과 연계하여 보안 모델을 실증하고 확산하는데 집중하는 반면, 국가정보원은 국가·공공기관을 중심으로 보안 지침을 마련하여 적용합니다. 또한, 국내외 제로트러스트 도입의 주요 차이점은 각국의 보안 환경, 정책, 기술 수준 등에 따라 차별화됩니다.

5. 제로트러스트 보안 모델 구현 사례

  • 5-1. SASE(Secure Access Service Edge)

  • 코로나19 대유행이 지속되면서 재택·원격근무가 일상화되고 클라우드 기반의 애플리케이션(SaaS) 사용이 증가하고 있습니다. 이러한 환경에서 커지는 보안 위협에 효과적으로 대응할 수 있는 방안으로 ‘시큐어액세스서비스엣지(SASE)’가 부상하고 있습니다. SASE는 모바일과 클라우드 확산으로 전통적인 보안 방법이 한계를 갖게 되면서 새로운 보안 모델인 제로트러스트(ZeroTrust)를 구현할 수 있는 최적의 방안으로 최근 부각되고 있습니다. 제로트러스트는 네트워크 경계가 허물어지면서 내부 네트워크는 안전하고 신뢰할 수 있다는 가정을 하지 않으며, 모든 연결을 사전에 인증하고 검증해야 한다는 의미를 담고 있습니다. 글로벌 시장분석 업체인 가트너는 2020년 10%에 불과했던 기업들 가운데 최소 60%가 2025년까지 SASE 채택을 위한 명확한 전략과 계획을 갖게 될 것이라고 전망하고 있습니다. 최근 네트워크 및 보안 업체들은 클라우드와 모바일을 중심으로 변화하는 환경에 맞는 보안 방안으로 SASE를 경쟁적으로 강조하고 있으며, 멘로시큐리티 역시 제로트러스트 인터넷을 구현하는 원격 브라우저 격리(RBI) 기술을 기반으로 한 웹 격리 보안 솔루션 시장의 선두 업체로 자리매김하고 있습니다. 멘로시큐리티는 SASE를 ‘퍼블릭 엣지 클라우드(Public Edge Cloud)’ 서비스로 정의하고, 모든 사용자가 언제 어디서나 접근할 수 있는 퍼블릭 클라우드를 기반으로 네트워크 서비스를 제공해야 한다고 설명합니다. 이는 IT 기반 업무 환경이 재택 근무와 SaaS 앱의 사용 증가로 인해 변화하고 있기 때문입니다. SASE는 네트워크 서비스(NaaS)와 보안 서비스(Security as a Service)를 동시에 제공하는 융합 서비스로, 다양한 보안 요소들을 포함하여 원격 근무 환경에서도 안전을 보장합니다.

  • 5-2. 웹 격리(Remote Browser Isolation)

  • 웹 격리(RBI)는 제로트러스트 인터넷 환경을 지향하는 기술로, 모든 웹 기반 인터넷 콘텐츠는 보안상 안전하지 않다고 가정하고 사전에 위협이 될 만한 요소들을 모두 제거해 사용자가 안전하게 이용할 수 있게 하는 것이 목표입니다. 사용자가 브라우저를 사용할 때 위험 요소가 될 수 있는 콘텐츠는 제외하고 안전한 콘텐츠만 전달하여 브라우저상에 나타내는 방식으로 동작합니다. 멘로시큐리티는 RBI 기술에 대해 설명하면서, 사용자가 웹브라우저를 열면 클라우드에 격리 플랫폼이 사용자만을 위한 원격 브라우저를 생성해 대신 콘텐츠를 가져오고 실행한 뒤 안전한 렌더링 정보만을 사용자에게 전달한다고 합니다. 이는 사용자를 외부 위협으로부터 단절시키면서도 원하는 콘텐츠는 제공하므로, 악성 사이트 방문 시에도 안전한 상태를 유지할 수 있게 합니다. RBI 기술은 웹서핑 중 랜섬웨어, 악성코드 감염을 예방하고, 제로데이 브라우저 취약점을 이용한 드라이브바이다운로드(Drive-by-Download) 및 파일리스 공격을 막을 수 있습니다. 또한, 다양한 문서 파일을 열더라도 안전한 렌더링 정보만을 제공하여 사용자를 보호합니다.

  • 5-3. 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)

  • 소프트웨어 정의 경계(SDP)는 제로트러스트 보안 모델의 중요한 요소 중 하나로, 네트워크 자원의 접근을 사전에 인증하고 승인된 사용자에게만 허용하는 방식으로 동작합니다. 이는 전통적인 네트워크 보안 방식에서 탈피하여, 네트워크 경계를 허물고 모든 연결을 검증해야 한다는 제로트러스트 철학을 바탕으로 합니다. SDP는 네트워크와 사용자 간의 직접적인 연결을 방지하고, 중간 게이트웨이를 통해 사용자 신원을 확인하며, 필요할 때마다 접근 권한을 재평가합니다. 이를 통해 네트워크에 대한 불법적인 접근 시도를 효과적으로 차단하고, 안전한 네트워크 환경을 구축할 수 있습니다.

6. 제로트러스트 도입 시 고려 사항 및 도전 과제

  • 6-1. 기존 시스템과의 통합

  • 제로트러스트 보안 모델을 도입할 때 가장 큰 도전 과제 중 하나는 기존 시스템과의 통합 문제입니다. 제로트러스트 보안 모델은 모든 트래픽을 의심하고 검증하는 철학을 기반으로 하므로, 기존 시스템과의 통합을 위해서는 높은 수준의 기술적 조정이 필요합니다. 예를 들어, NIST는 제로트러스트를 '이미 침해가 이루어진 환경에서 피해를 최소화 하기 위한 일련의 컨셉'으로 설명하며, 이를 위해서는 불확실성을 제거하고 최소한의 접근권한을 강제화하는 것이 필요하다고 합니다. 이는 기존 시스템에서 이러한 보안 정책을 반영하기 어려움을 나타냅니다. (출처: '제로트러스트(Zero Trust)의 올바른 이해 - Genians')

  • 6-2. 직원 교육 및 인식 제고

  • 제로트러스트 보안 모델의 성공적인 도입을 위해서는 전 직원의 교육과 인식 제고가 필수적입니다. 보안 모델의 특성상 모든 사용자가 인증과 검증 절차를 반복적으로 거쳐야 하므로, 직원들의 협조 없이는 보안 정책을 효과적으로 시행하는 것이 어렵습니다. 반대로, 제로트러스트 모델을 명확하게 이해하지 못하고 모호하게 받아들일 경우, 직원들은 이러한 보안 절차를 불필요한 번거로움으로 여길 수 있습니다. 따라서, 과학기술정보통신부와 한국인터넷진흥원(KISA)에서 권장하는 것처럼 제로트러스트 모델에 대한 기본적인 이해와 인식 제고는 반드시 필요합니다. (출처: '“아무 것도 믿지 말라” 제로트러스트보안 확산 본격화')

  • 6-3. 업무 효율성과 보안 간의 조화

  • 제로트러스트 보안 모델은 업무 효율성과 보안 간의 조화를 맞추는 것도 중요한 과제입니다. 보안이 강화될수록 업무 흐름이 지연되거나 번거로워질 수 있어 사용자 경험에 부정적인 영향을 미칠 수 있습니다. 예를 들어, 제로트러스트 아키텍처는 기업 내의 모든 구성요소, 워크플로우 및 접근 정책에 대해 지속적인 검증과 최소한의 접근권한을 요구합니다. 이는 업무 효율성에서 반드시 고려해야 할 요소입니다. 따라서, 제로트러스트 모델을 도입하더라도 업무 효율성을 유지하기 위한 방안을 함께 모색해야 합니다. (출처: '제로트러스트(Zero Trust)의 올바른 이해 - Genians')

7. 결론

  • 이 리포트는 제로트러스트 보안 모델이 기존의 경계 보안 체계를 대체할 수 있는 효과적인 방안임을 강조합니다. 제로트러스트 모델은 모든 사용자와 트래픽을 철저히 검증하여 보안 위협을 최소화하고 안전한 IT 환경을 구축할 수 있으며, 이를 통해 기업과 공공 기관은 더욱 강력한 보안 체계를 마련할 수 있습니다. 그러나 제로트러스트 도입에는 기존 시스템과의 통합, 직원 교육 및 인식 제고, 업무 효율성 유지 등의 도전 과제가 존재합니다. 앞으로는 이러한 도전 과제의 해결 방안과 SASE, 웹 격리, 소프트웨어 정의 경계(SDP)와 같은 실제 적용 사례를 더욱 구체적으로 분석하고자 하는 연구가 필요합니다. 또한 제로트러스트 도입의 실질적인 적용 가능성을 높이기 위해 지속적인 모니터링과 실제 사용 환경에 맞춘 조정을 통해 안전하고 효율적인 보안 모델을 구현하는 것이 중요합니다.

8. 용어집

  • 8-1. 제로트러스트(Zero Trust) [보안 철학]

  • 제로트러스트는 네트워크 경계가 허물어진 현대 IT 환경에서 모든 사용자, 디바이스, 애플리케이션 및 네트워크 트래픽을 불신하고 지속적으로 검증하는 보안 철학입니다. 이를 통해 보안 위협을 최소화하고 안전한 IT 환경을 유지할 수 있습니다.

  • 8-2. SASE(Secure Access Service Edge) [보안 솔루션]

  • SASE는 퍼블릭 엣지 클라우드(Public Edge Cloud)를 이용하여 모든 사용자들이 언제 어디서나 접근할 수 있도록 지원하는 보안 솔루션입니다. 네트워크 서비스와 보안 서비스를 융합하여 제공하며, 특히 원격근무와 클라우드 환경에서 중요한 보안 방안으로 부상하고 있습니다.

  • 8-3. 웹 격리(Remote Browser Isolation, RBI) [보안 기술]

  • 웹 격리는 사용자가 웹을 탐색할 때 잠재적인 악성 코드를 격리된 환경에서 실행시킴으로써 사용자 디바이스로의 침투를 방지하는 보안 기술입니다. 이메일과 웹을 통한 보안 위협을 최소화하는 데 효과적입니다.

9. 출처 문서