제로 트러스트 보안 모델
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
제로 트러스트 보안 모델은 1994년 스티븐 폴 마시가 처음 사용한 용어로, 시스템에 대한 접근 시 어떠한 대상도 신뢰하지 않고, 모든 접근 시도에 대해 검증하는 보안 개념이다. 2003년 제리코 포럼에서 경계 없는 보안을 논의하고, 2009년 구글이 BeyondCorp 아키텍처를 도입하면서 발전했다. 2010년 존 킨더버그는 기업의 사이버 보안 강화를 위해 제로 트러스트 모델을 제시했으며, 2019년 영국 국립 사이버 보안 센터는 클라우드 서비스 이용 시 제로 트러스트를 검토하도록 권고했다. 2021년 조사에 따르면 보안 위협 증가, 재택근무 확산, 클라우드 서비스 도입이 제로 트러스트 도입의 주요 요인으로 나타났다. 미국 국립 표준 기술 연구소는 제로 트러스트를 정보 시스템 접근 시 불확실성을 줄이기 위한 개념으로 정의하며, 제로 트러스트 아키텍처는 이러한 개념을 활용한 사이버 보안 계획을 의미한다.
더 읽어볼만한 페이지
- 정보 기술 - 정보기술
정보기술은 컴퓨터와 네트워크를 기반으로 데이터의 축적, 획득, 조작, 전달을 포괄하는 광범위한 분야이며, 다양한 산업에 응용되지만 윤리적 문제와 프로젝트 관리의 어려움과 같은 과제도 안고 있다. - 정보 기술 - 정보통신기술
정보통신기술(ICT)은 정보와 통신 기술을 활용하여 정보를 생성, 저장, 처리, 전달하는 기술의 총체로서, 경제에 막대한 영향을 미치며 다양한 분야에서 활용되고 개발도상국의 성장에도 기여하지만 디지털 격차 해소 및 환경 문제와의 조화가 필요하다. - 네트워크 보안 - 스파이웨어
스파이웨어는 사용자의 동의 없이 설치되어 개인 정보를 수집하거나 시스템을 감시하며, 다양한 형태로 존재하여 광고 표시, 정보 탈취, 시스템 성능 저하 등의 피해를 유발하는 악성 프로그램이다. - 네트워크 보안 - 가상 사설 서버
가상 사설 서버(VPS)는 공유 웹 호스팅과 전용 호스팅의 중간 단계 서비스로, 가상화 기술을 기반으로 슈퍼유저 수준의 접근 권한, 높은 운용 자유도와 향상된 보안성을 제공하지만, 환경 유지 관리 필요성, 상대적으로 높은 비용, 회선 공유 문제 등의 단점도 가진다.
| 제로 트러스트 보안 모델 | |
|---|---|
| 개요 | |
| 이름 | 제로 트러스트 보안 모델 |
| 다른 이름 | 제로 트러스트 아키텍처 제로 트러스트 네트워크 아키텍처 (ZTNA) |
| 정의 | 네트워크에 대한 기본 신뢰를 제거하는 사이버 보안 패러다임 "절대 신뢰하지 말고, 항상 검증하라"는 원칙에 기반 |
| 핵심 개념 | 네트워크 내부 또는 외부의 그 누구도 자동으로 신뢰하지 않음 접근을 시도하기 전에 모든 사용자와 장치를 인증하고 권한을 부여해야 함 |
| 목표 | 데이터 및 리소스에 대한 접근을 세분화하여 제어하고, 잠재적인 침해 범위를 최소화 |
| 주요 원칙 | |
| 명시적 검증 | 모든 사용자와 장치는 접근하기 전에 신원을 확인해야 함 |
| 최소 권한 접근 | 사용자에게 필요한 최소한의 접근 권한만 부여 |
| 지속적인 검증 | 접근이 허용된 후에도 지속적으로 사용자, 장치 및 트래픽을 모니터링하고 검사 |
| 구현 기술 | |
| 다단계 인증 (MFA) | 여러 인증 요소를 사용하여 사용자 신원 확인 |
| 마이크로세분화 | 네트워크를 작은 세그먼트로 나누어 접근 제어 및 보안 강화 |
| 상호 TLS (mTLS) | 클라이언트와 서버 모두 인증서를 사용하여 상호 인증 |
| 소프트웨어 정의 경계 (SDP) | 애플리케이션 접근을 제어하기 위한 동적이고 적응 가능한 경계 생성 |
| 이점 | |
| 향상된 보안 | 무단 접근 및 데이터 유출 위험 감소 |
| 규정 준수 | HIPAA, PCI DSS 등 다양한 규정 요구 사항 충족 지원 |
| 유연성 | 클라우드, 온프레미스, 하이브리드 환경에 적용 가능 |
| 가시성 | 네트워크 활동에 대한 향상된 모니터링 및 로깅 기능 제공 |
| 참고 자료 | |
| 관련 용어 | 사이버 보안 네트워크 보안 접근 관리 |
| 관련 표준 | NIST SP 800-207 CISA Zero Trust Maturity Model |
| 외부 링크 | |
| 참고자료 | NRI(노무라 종합 연구소) 용어 해설 - 제로 트러스트 |
2. 연혁
"제로 트러스트"라는 용어는 1994년 4월 스티븐 폴 마시가 스터링 대학교의 컴퓨터 보안에 관한 박사 논문에서 처음 사용했다.[3] 2003년에는 Jericho Forum|제리코 포럼영어에서 IT 시스템 경계 정의의 어려움, 즉 "경계를 없애는 것"에 대한 논의가 이루어졌다.
2009년, 구글은 BeyondCorp라고 불리는 제로 트러스트 아키텍처를 도입했다. 2010년, 포레스터 리서치의 분석가 존 킨더버그는 기업의 사이버 보안 프로그램과 접근 제어를 강화하기 위해 제로 트러스트 모델이라는 용어를 사용했다.[4][5]
모바일 및 클라우드 서비스 도입이 증가하면서, 제로 트러스트 아키텍처가 주목받기 시작했다. 2019년, 영국 국립 사이버 보안 센터(NCSC)는 네트워크 아키텍트에게 새로운 IT 환경, 특히 클라우드 서비스를 대폭 이용할 경우 제로 트러스트를 검토하도록 권고했다.[6]
Dimensional Research의 2021년 10월 보안 및 IT 전문가 대상 글로벌 조사에 따르면, 제로 트러스트 보안 도입의 주요 요인으로 보안 위협 증가(75%), 재택근무 확산(68%), 클라우드 서비스 도입(56%)이 꼽혔다.[7]
2. 1. 개념의 등장
"제로 트러스트"라는 용어는 1994년 4월 스티븐 폴 마시(Stephen Paul Marsh)가 스터링 대학교의 컴퓨터 보안에 관한 박사 논문에서 처음 사용한 것이다.[3] 마시는 신뢰를 수학적으로 기술할 수 있는 유한한 것으로 연구했으며, 신뢰의 개념이 도덕, 윤리, 합법성, 정의, 판단력과 같은 인간적 요소를 초월하는 것이라고 주장했다.[3]2003년에는 Jericho Forum|제리코 포럼영어에서 IT 시스템 경계 정의의 어려움, 즉 "경계를 없애는 것"에 대한 논의가 이루어졌다.
2. 2. 초기 발전
2009년, 구글(Google)은 BeyondCorp라고 불리는 제로 트러스트 아키텍처를 도입했다. 2010년, 포레스터 리서치(Forrester Research)의 분석가 존 킨더버그(John Kindervag)는 기업의 사이버 보안 프로그램과 접근 제어를 강화하기 위해 제로 트러스트 모델이라는 용어를 사용했다.[4][5]2. 3. 확산 및 도입
모바일 및 클라우드 서비스 도입이 증가하면서, 제로 트러스트 아키텍처가 주목받기 시작했다.2019년, 영국 국립 사이버 보안 센터(NCSC)는 네트워크 아키텍트에게 새로운 IT 환경, 특히 클라우드 서비스를 대폭 이용할 경우 제로 트러스트를 검토하도록 권고했다.[6]
Dimensional Research의 2021년 10월 보안 및 IT 전문가 대상 글로벌 조사에 따르면, 제로 트러스트 보안 도입의 주요 요인으로 보안 위협 증가(75%), 재택근무 확산(68%), 클라우드 서비스 도입(56%)이 꼽혔다.[7]
3. 원리 및 정의
2018년, NIST와 NCCoE(National Cybersecurity Center of Excellence|National Cybersecurity Center of Excellence영어)는 SP 800-207 "제로 트러스트 아키텍처"를 발표했다.[8][9] NIST는 제로 트러스트(ZT)를 "네트워크가 위험에 노출된 것으로 간주되는 상황에서 정보 시스템과 서비스에 대한 정확한 요청 단위의 접근을 허용할 때의 불확실성을 줄이기 위해 설계된 개념과 아이디어의 집합체"로 정의한다. 제로 트러스트 아키텍처(ZTA)는 제로 트러스트 개념을 활용한 기업의 사이버 보안 계획으로, 구성 요소 간의 관계, 워크플로우 계획, 접근 정책 등을 포함한다.
NCSC는 제로 트러스트 아키텍처의 핵심 원칙으로 다음을 제시한다.
- 일회성의 강력한 사용자 ID
- 사용자 인증
- 머신 인증
- 정책 준수 및 디바이스 상태 등 추가적인 컨텍스트
- 애플리케이션에 접근하기 위한 인가 정책
- 애플리케이션 내 접근 제어 정책
참조
[1]
웹사이트
ゼロトラスト
https://www.nri.com/[...]
野村総合研究所
2022-04-07
[2]
웹사이트
Mutual TLS: Securing Microservices in Service Mesh
https://thenewstack.[...]
2021-02-01
[3]
간행물
Stephen Marsh
https://scholar.goog[...]
Google Scholar
2021-03-03
[4]
웹사이트
Akamai Bets on 'Zero Trust' Approach to Security
https://www.wsj.com/[...]
2022-02-17
[5]
웹사이트
Forrester Pushes 'Zero Trust' Model For Security
https://web.archive.[...]
2022-02-17
[6]
웹사이트
Network architectures
https://www.ncsc.gov[...]
2020-08-25
[7]
웹사이트
ゼロトラストとは?ゼロトラストセキュリティの全貌を徹底解説
https://www.sailpoin[...]
2022-04-06
[8]
웹사이트
Zero Trust Architecture {{!}} NCCoE
https://www.nccoe.ni[...]
2020-08-25
[9]
웹사이트
Zero Trust Architecture
https://nvlpubs.nist[...]
NIST
2020-10-17
[10]
웹인용
Mutual TLS: Securing Microservices in Service Mesh
https://thenewstack.[...]
2021-02-01
[11]
저널
The zero trust supply chain: Managing supply chain risk in the absence of trust
https://doi.org/10.1[...]
2021-06-03
[12]
서적
2021 Workshop on Communication Networks and Power Systems (WCNPS)
2021-11
[13]
서적
2020 International Conference on Control, Robotics and Intelligent System
Association for Computing Machinery
2021-01-04
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com