외부 뿐만 아니라 내부의 위험요소까지 모두 고려하는 '제로 트러스트' 보안 기법에 대해서 알아봅니다.
[ Contents ]
1. 제로 트러스트(Zero Trust)
‘아무도 신뢰하지 않는다’라는 원칙에 기반하여, 내부와 외부를 구분하지 않고 모든 사용자, 디바이스, 어플리케이션, 네트워크 요청을 지속적으로 검증하는 사이버 보안 모델
전통적인 네트워크 보안모델은 외부의 침입을 방어하는 모델이었습니다. 방화벽을 통해 외부의 접근을 막고, 심지어는 망 분리를 통해서 아예 내부망과 외부망을 분리하기도 했죠.
하지만 요즘은 외부보다 내부 요인에 의한 보안 허점이 많은 편입니다. 내부 관리자의 관리 소홀이나 실수로 인한 보안 실책이 주요 요인이 되어 보안이 뚫리는 경우가 허다하죠.
예를 들어, 잠시 외부 서비스 이용을 위해 방화벽을 풀었다가 공격을 당할 수도 있고, 특정 포트를 열어둔 걸 깜빡하고 방치할 수도 있죠. 그래서 내부 위험요인까지 강력하게 통제하는 보안 기법입니다.
2. 주요 개념
1) 상시 인증
모든 사용자와 기기가 네트워크 리소스에 접근하기 위한 철저한 신원 검증
단순히 ID와 비밀번호를 통한 로그인에 그치지 않고, 2차 인증과 같은 멀티팩터 인증(MFA)를 거쳐야 합니다.
요즘은 로그인할 때, 휴대폰 문자 혹은 카톡 메시지로 인증번호를 받는 곳이 많죠. 공인인증서나 금융인증서도 2차 인증수단이 되지만, 근래에는 휴대폰 인증으로 바뀌는 추세입니다.
2) 최소 권한 원칙
사용자와 기기에 필요한 최소한의 리소스와 권한만 부여
당연한 듯 싶지만 어려운 권한 관리입니다. 필요한 권한은 달라고 요청하지만, 필요없는 권한은 회수해달라고 요청하는 경우가 거의 없으니까요.
'역할 기반 접근 제어(Role-Based Access Control)'를 원칙으로 삼지만, 참 어려운 거 같아요. 개인정보의 안전성 확보 조치 기준에서도 공공시스템 운영기관은 인사정보와 연계된 권한 부여를 법으로 강제했습니다. 이를 위한 접근제어 솔루션들은 많지만 실사용과는 조금 괴리감이 있긴 하죠.
3) 세분화된 접근 제어
네트워크를 여러 작은 영역으로 나누어 권한 및 접근 제한
애플리케이션, 사용자 그룹, 네트워크 트래픽에 따라 접근 정책을 적용합니다.
SDN(소프트웨어 정의 네트워크) 등을 통해 논리적으로 네트워크를 나누고, 권한 및 접근 제한을 할 수 있습니다. 보통 기관에서는 고정 IP를 사용하고, 부서별로 사용하는 IP 대역이 있죠. IP번호를 이용해서 부서별 혹은 개인별로 접근 제어를 하기도 합니다.
기존 방화벽 규칙으로 트래픽 제한하는 것도 여기에 포함됩니다.
4) 지속적인 모니터링
모든 활동을 실시간으로 추적하여 비정상적이거나 악의적인 행동 탐지
행동 분석 도구를 통해 이상 징후를 탐지하고, 로그 데이터와 이벤트 데이터 기반으로 보인 인텔리전스를 수집합니다.
보통 네트워크 트래픽이나 사용자 활동을 지속적으로 모니터링하는 대쉬보드를 제공하죠. 고용량 데이터를 업로드하거나 다운로드하면 트래픽 제한에 걸리고 모니터링에 올라오곤 합니다. 그 외에는 black list에 있는 웹사이트 접근 등이 있죠.
5) 컨텍스트 기반 접근 정책
사용자의 컨텍스트(Context)를 바탕으로 접근권한 설정
컨텍스트(Context)는 '맥락'이라는 의미를 갖고 있죠. 사용자의 이용 배경이 되는 '위치, 기기, 접속 시간' 등을 바탕으로 접근 권한을 설정하는 정책입니다.
요즘 국외에서 로그인하거나, 다른 PC로 로그인한 이력이 있을 때 알림톡이 오곤 하죠. 출장 중에 VPN을 통해 접속할 수도 있기 때문에 아예 차단하진 않지만, 알림톡 등을 통해 사용자에게 알림은 가곤 합니다. (안 주는 곳이 더 많긴 하지만요)
6) 암호화 및 데이터 보호
데이터 암호화 및 보호 조치
전송 중인 데이터나 저장된 데이터에 대한 암호화 및 보호 조치를 합니다.
저장된 데이터에 대한 암호화는 잘 되어 있는 편이지만, 전송 데이터에 대한 암호화는 아직 미흡한 부분이 많죠. 카카오페이-알리페이 사태에서도 전송 구간에 쓰인 암호화 기법이 SHA-256 이라서 논란이 되었습니다.
SHA-256은 암호화 정도가 매우 낮아서, 요즘은 SHA-512도 잘 안 쓰는 추세이니까요.
위는 금융감동원에서 카카오페이-알리페이 개인정보 국외 이전 관련 보도자료 중 일부입니다.
7) 제어 가능한 디바이스 및 네트워크
기업 관리 하에 있는 디바이스만 네트워크 접근 허용
새로 PC를 설치하면 제일 먼저 해야하는 게, 전산실에 전화해서 IP를 할당받는 거죠..
대부분의 기관에서는 정해진 IP를 부여받은 PC만 네트워크를 사용할 수 있습니다. 스마트폰이나 노트북 와이파이도 설정된 기기만 이용 가능하죠. 이처럼 관리되지 않은 기기 접근을 차단하거나 제한합니다.
1) 상시 인증
2) 최소 권한 원칙
3) 세분화된 접근 제어
4) 지속적인 모니터링
5) 컨텍스트 기반 접근 정책
6) 암호화 및 데이터 보호
7) 제어 가능한 디바이스 및 네트워크
이상 제로 트러스트 보안기법의 주요 개념들을 살펴봤습니다.
'CS > 보안' 카테고리의 다른 글
| [보안] 서비스 거부 공격의 개념과 종류: TCP SYN Flooding, ICMP Flooding, Tear Drop, Land Attack, (slow) HTTP Get/Post Flooding, cache control Attack (1) | 2023.10.23 |
|---|---|
| [보안] APT 공격의 개념과 단계: 침투, 탐색, 수집/공격, 유출 (0) | 2023.10.13 |
| [보안] 부트 바이러스와 파일 바이러스: 기생형, 겹쳐쓰기형, 산란형, 연결형 (0) | 2023.10.12 |
| [보안] 컴퓨터 바이러스의 개념과 세대별 진화 과정: 원시, 암호화, 은폐형, 갑옷형, 매크로 (0) | 2023.10.10 |
| [보안] SFTP와 FTPS, 그리고 보안 취약점 (FTP 능동모드에서의 보안 취약점) (0) | 2023.08.14 |
댓글