목차
제로 트러스트 기술의 정의, 기존 보안 아키텍처와의 차이, 그리고 국가별 동향에 대한 종합적인 내용을 다루었다. 제로 트러스트는 모든 상호작용을 믿을 수 없다고 가정하는 보안 아키텍처이다. 이는 전통적인 아키텍처의 결함을 메우려는 시도이지만, 실제 도입을 위해 기술적 한계를 극복할 필요가 있다. 또한, 제로 트러스트 아키텍처를 도입하는 기업들의 현황과 솔루션 개발 동향, 한국과 미국의 정부 차원의 노력을 다루었다.
1. 제로 트러스트 기술 개요
1-1. 제로 트러스트 정의
- 제로 트러스트란 모든 상호작용을 신뢰할 수 없는 상태를 전제로 한 보안 아키텍처 방식이다.
- 제로 트러스트 아키텍처는 방화벽 내부에서 시작되는 통신을 무조건 신뢰하는 전통적인 아키텍처와는 대조되며, 일회성 인증에 의존하는 기존 보안 아키텍처의 결함을 메우려는 시도이다.
- 방화벽 내부의 통신을 포함해 모든 접근을 신뢰하지 않기 때문에 네트워크 전체에 걸쳐 증명과 인증을 요구한다. 그러므로 네트워크의 모든 구성요소는 독립적으로 신뢰성을 확보하고, 상호 작용하는 다른 구성요소를 통해 인증되어야 한다.
1-2. 기존 보안 아키텍처의 문제점
- 전 세계적으로 위협이 증가하고 다양화되며, 네트워크 내부자의 활동은 신뢰할 수 있다는 전통적인 아키텍처가 무용해지고 있다.
- 예를 들어, 지능적인 사이버 범죄 조직은 내부자를 모집하여 사회 공학의 기회를 노리고, 방화벽 외부를 통과할 수 있는 방법을 끊임없이 찾고 있다.
- 또한, 정교한 악성 프로그램이 상용화되면서 금전적 이익을 노리는 사이버 테러리스트가 더 손쉽게 활동하고 있다. 이러한 위협은 데이터 유출, 비즈니스 실패, 심지어는 인명 피해로까지 이어진다.
1-3. 제로 트러스트의 현행
- 많은 기업들이 제로 트러스트 아키텍처를 구현하기 위한 프레임워크를 도입하거나, 관련 정책을 강화하여 일상 업무에 적용되고 있는 상황이다.
- 미국 연방 정부와 유럽 등 국가 차원에서도 도입을 시도하고, 진전을 보고한 상태이다.
1-4. 제로 트러스트의 한계
- 제로 트러스트는 대개 추상적인 용어로 기술되며, 신뢰 경계의 최소화에 완성도가 달려 있다. 이러한 아키텍처를 설계하고, 실현하는 과정에서 많은 비용이 유발되므로 경영진과 보안 전문가의 위험 평가에 따라 도입이 제한적일 수 있다.
- 또한 모든 액세스 요청에 대해 인증을 요구하므로, 업무에 차질을 줄 수 있다고 평가된다. 이러한 한계에 대해서 개선이 이루어져야 비로소 모든 보안 아키텍처가 제로 트러스트의 시대로 나아갈 수 있을 것이다.
2. 시장 조사
2-1. 기업의 제로 트러스트 도입 현황
- 포티넷 코리아의 ‘2023 글로벌 제로 트러스트 현황 보고서’에 따르면, 제로 트러스트를 구축 중에 있다고 응답한 기업이 66%에 달한다.
- 또한 이 보고서는 과반수의 조직들이 해당 전략을 실행하는 데 어려움을 겪고 있다고 말했다.
- 제로 트러스트 솔루션이 당면한 과제 중 하나는, 온프레미스와 원격 사용자에 대해 모두 제로 트러스트 정책을 운영하기 위해, 솔루션 간 상호운용성이 필요하다는 것이다.
- 이에 솔루션을 공급하는 기업들은 비용을 줄이고 상호운영성을 높이기 위한 솔루션 통합을 모색하고 있다.
2-2. 제로 트러스트 솔루션 개발 현황
- 글로벌 IT 기업인 IBM, Cloudflare, McAfee 등이 이미 시장에 뛰어들어 제로 트러스트 솔루션을 공급하고 있다.
- 제로 트러스트 솔루션은 크게 클라우드 기반과 온프레미스 기반 솔루션으로 나뉜다.
- Cloudflare가 제공하는 SASE 보안 플랫폼은 제로 트러스트를 적용해 네트워크와 보안 서비스를 제공하는 IT 모델이다. 기업들의 인프라가 온프레미스에서 클라우드로 옮겨가는 만큼, 클라우드 기반 제로 트러스트 솔루션이 활발히 개발되고 있다.
- 몇몇 국내 보안 기업들도 제로 트러스트를 지원하는 솔루션을 개발하고 있다.
- SGA솔루션즈의 경우 NIST SP 800-207 기반 SGA ZTA 솔루션을 최근에 출시하였다.
- 엠엘소프트는 제로 트러스트 구현의 핵심 중 하나인 SDP 솔루션을 최근 학회에 선보였다.
3. 국가별 동향 조사
3-1. 한국 정부의 동향
- 최근 과학기술정보통신부는 현재 주요국에서 출원된 제로 트러스트 관련 선도특허를 분석하고 있다. 또한 표준화 작업을 위한 가이드라인을 발표했다.
- 한국정보보호산업협회는 ‘제로트러스트 가이드라인 1.0’에 발맞추어 한국제로트러스트위원회 회의를 개최하기도 하였다.
- 올해와 내년은 정부 정책을 통해 국내에 제로 트러스트 기반이 안정적으로 정착할 수 있을지의 기로에 서있다고 볼 수 있다.
3-2. 미국 정부의 동향
- 제로 트러스트 아키텍처는 조 바이든 대통령의 행정명령의 주요 구성 요소 중 하나이다. 해당 행정명령에 따라 미국 행정부 부서 및 기관은 2024년까지 제로 트러스트 구현 계획과 예산 추정치를 제출해야 한다.
- 따라서 미국 연방 정부 전체의 제로 트러스트 기반화가 곧 실행될 예정이다.
4. 출처
- https://www.redhat.com/ko/topics/security/what-is-zero-trust
- https://www.hpe.com/kr/ko/what-is/zero-trust.html
- https://www.samsungsds.com/kr/insights/zerotrust-0424.html
- https://www.fortinet.com/kr/corporate/about-us/newsroom/
- http://www.itdaily.kr/news/articleView.html?idxno=215200
- https://www.boannews.com/media/view.asp?idx=120501
- https://www.etnews.com/20231006000118
- https://www.boannews.com/media/view.asp?idx=100605
제로 트러스트 기술의 정의, 기존 보안 아키텍처와의 차이, 그리고 국가별 동향에 대한 종합적인 내용을 다루었다. 제로 트러스트는 모든 상호작용을 믿을 수 없다고 가정하는 보안 아키텍처이다. 이는 전통적인 아키텍처의 결함을 메우려는 시도이지만, 실제 도입을 위해 기술적 한계를 극복할 필요가 있다. 또한, 제로 트러스트 아키텍처를 도입하는 기업들의 현황과 솔루션 개발 동향, 한국과 미국의 정부 차원의 노력을 다루었다.
1. 제로 트러스트 기술 개요
1-1. 제로 트러스트 정의
- 제로 트러스트란 모든 상호작용을 신뢰할 수 없는 상태를 전제로 한 보안 아키텍처 방식이다.
- 제로 트러스트 아키텍처는 방화벽 내부에서 시작되는 통신을 무조건 신뢰하는 전통적인 아키텍처와는 대조되며, 일회성 인증에 의존하는 기존 보안 아키텍처의 결함을 메우려는 시도이다.
- 방화벽 내부의 통신을 포함해 모든 접근을 신뢰하지 않기 때문에 네트워크 전체에 걸쳐 증명과 인증을 요구한다. 그러므로 네트워크의 모든 구성요소는 독립적으로 신뢰성을 확보하고, 상호 작용하는 다른 구성요소를 통해 인증되어야 한다.
1-2. 기존 보안 아키텍처의 문제점
- 전 세계적으로 위협이 증가하고 다양화되며, 네트워크 내부자의 활동은 신뢰할 수 있다는 전통적인 아키텍처가 무용해지고 있다.
- 예를 들어, 지능적인 사이버 범죄 조직은 내부자를 모집하여 사회 공학의 기회를 노리고, 방화벽 외부를 통과할 수 있는 방법을 끊임없이 찾고 있다.
- 또한, 정교한 악성 프로그램이 상용화되면서 금전적 이익을 노리는 사이버 테러리스트가 더 손쉽게 활동하고 있다. 이러한 위협은 데이터 유출, 비즈니스 실패, 심지어는 인명 피해로까지 이어진다.
1-3. 제로 트러스트의 현행
- 많은 기업들이 제로 트러스트 아키텍처를 구현하기 위한 프레임워크를 도입하거나, 관련 정책을 강화하여 일상 업무에 적용되고 있는 상황이다.
- 미국 연방 정부와 유럽 등 국가 차원에서도 도입을 시도하고, 진전을 보고한 상태이다.
1-4. 제로 트러스트의 한계
- 제로 트러스트는 대개 추상적인 용어로 기술되며, 신뢰 경계의 최소화에 완성도가 달려 있다. 이러한 아키텍처를 설계하고, 실현하는 과정에서 많은 비용이 유발되므로 경영진과 보안 전문가의 위험 평가에 따라 도입이 제한적일 수 있다.
- 또한 모든 액세스 요청에 대해 인증을 요구하므로, 업무에 차질을 줄 수 있다고 평가된다. 이러한 한계에 대해서 개선이 이루어져야 비로소 모든 보안 아키텍처가 제로 트러스트의 시대로 나아갈 수 있을 것이다.
2. 시장 조사
2-1. 기업의 제로 트러스트 도입 현황
- 포티넷 코리아의 ‘2023 글로벌 제로 트러스트 현황 보고서’에 따르면, 제로 트러스트를 구축 중에 있다고 응답한 기업이 66%에 달한다.
- 또한 이 보고서는 과반수의 조직들이 해당 전략을 실행하는 데 어려움을 겪고 있다고 말했다.
- 제로 트러스트 솔루션이 당면한 과제 중 하나는, 온프레미스와 원격 사용자에 대해 모두 제로 트러스트 정책을 운영하기 위해, 솔루션 간 상호운용성이 필요하다는 것이다.
- 이에 솔루션을 공급하는 기업들은 비용을 줄이고 상호운영성을 높이기 위한 솔루션 통합을 모색하고 있다.
2-2. 제로 트러스트 솔루션 개발 현황
- 글로벌 IT 기업인 IBM, Cloudflare, McAfee 등이 이미 시장에 뛰어들어 제로 트러스트 솔루션을 공급하고 있다.
- 제로 트러스트 솔루션은 크게 클라우드 기반과 온프레미스 기반 솔루션으로 나뉜다.
- Cloudflare가 제공하는 SASE 보안 플랫폼은 제로 트러스트를 적용해 네트워크와 보안 서비스를 제공하는 IT 모델이다. 기업들의 인프라가 온프레미스에서 클라우드로 옮겨가는 만큼, 클라우드 기반 제로 트러스트 솔루션이 활발히 개발되고 있다.
- 몇몇 국내 보안 기업들도 제로 트러스트를 지원하는 솔루션을 개발하고 있다.
- SGA솔루션즈의 경우 NIST SP 800-207 기반 SGA ZTA 솔루션을 최근에 출시하였다.
- 엠엘소프트는 제로 트러스트 구현의 핵심 중 하나인 SDP 솔루션을 최근 학회에 선보였다.
3. 국가별 동향 조사
3-1. 한국 정부의 동향
- 최근 과학기술정보통신부는 현재 주요국에서 출원된 제로 트러스트 관련 선도특허를 분석하고 있다. 또한 표준화 작업을 위한 가이드라인을 발표했다.
- 한국정보보호산업협회는 ‘제로트러스트 가이드라인 1.0’에 발맞추어 한국제로트러스트위원회 회의를 개최하기도 하였다.
- 올해와 내년은 정부 정책을 통해 국내에 제로 트러스트 기반이 안정적으로 정착할 수 있을지의 기로에 서있다고 볼 수 있다.
3-2. 미국 정부의 동향
- 제로 트러스트 아키텍처는 조 바이든 대통령의 행정명령의 주요 구성 요소 중 하나이다. 해당 행정명령에 따라 미국 행정부 부서 및 기관은 2024년까지 제로 트러스트 구현 계획과 예산 추정치를 제출해야 한다.
- 따라서 미국 연방 정부 전체의 제로 트러스트 기반화가 곧 실행될 예정이다.
4. 출처
- https://www.redhat.com/ko/topics/security/what-is-zero-trust
- https://www.hpe.com/kr/ko/what-is/zero-trust.html
- https://www.samsungsds.com/kr/insights/zerotrust-0424.html
- https://www.fortinet.com/kr/corporate/about-us/newsroom/
- http://www.itdaily.kr/news/articleView.html?idxno=215200
- https://www.boannews.com/media/view.asp?idx=120501
- https://www.etnews.com/20231006000118
- https://www.boannews.com/media/view.asp?idx=100605
