과기정통부, 제로트러스트 가이드라인1.0 발표!
국산 제로트러스트 기술 실증으로 국가적 보안수준 높인다!
< 경계 보안 Vs 제로트러스트 보안 비교 >
< 제로트러스트 가이드라인 1.0 주요내용 >
제로트러스트 가이드라인 1.0은 제로트러스트의 기본개념과 보안원리, 제로트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차 및 도입 참조모델 등을 제시하고 있다.
(핵심원칙) 제로트러스트 보안은‘절대 믿지 말고, 계속 검증하라’는 기본철학을 구현하기 위한 ① 강화된 인증(아이디/패스워드 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함), ② 마이크로 세그멘테이션(서버·컴퓨팅 서비스 등을 중심으로 하는 작은 단위로 분리), ③ 소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만들 수 있어야함)를 말한다.
(접근제어 원리) 보호 대상 자원에 대한 접근 요구에 대해 접속을 허락할지 말지를 결정하는 과정으로 제로트러스트 기본철학을 구현하는 가장 중요한 원리 중 하나이다.
안전하고 지속적인 접근제어를 위해서 제로트러스트 보안모델은 ‘제어영역’과 ‘데이터 영역’으로 구분되어야 하며, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두고 운영해야 한다.
(핵심요소의 식별과 관리) 제로트러스트 도입을 검토하고 있는 기관 및 기업의 관계자들은 네트워크, 컴퓨팅 자원 중 어떤 요소를 어느 정도 보안수준으로 설계를 해야 할지, 관련 예산계획 수립, 도입 기간 중 진행상황 점검 등을 위한 지표를 필요로 한다.
이를 위해 식별자・신원, 기기, 네트워크, 시스템, 응용・네트워크, 데이터 등 6개 핵심요소에 대한 보안 수준의 성숙도 단계별 기능을 정의하여 실질적인 정보를 제공할 수 있도록 하였다.
(도입 참조모델) 정부·공공 기관 및 기업 관계자들은 실질적인 도입 전략 수립 시 참고할 수 있는 실제 네트워크 모델과 이를 기반으로 제로트러스트 보안모델을 적용한 사례를 참조모델로 제시하여 제로트러스트 도입 전후 네트워크 구조 변화 및 보안 효과성 등을 확인할 수 있다.
이를 위해 최근 우리나라에 일상화되어 있는 재택・원격지 근무 환경에 제로트러스트 보안모델을 적용한 네트워크에 침투 시나리오를 적용하여 제로트러스트 도입 시 보안성이 강화될 수 있음을 파악할 수 있게 했다.
출처 : 과학기술정보통신부
미국 연방정부 Zero Trust Cyber Security 지침서
제로 트러스트 보안에 대한 주요 키워드는 다음과 같습니다.
1. 제로 트러스트 접근방식: 보안의 경계를 신뢰하지 않는다는 원칙에 기반한 접근 방식으로, 모든 대상을 확인해야 함을 의미합니다.
2. 클라우드 인프라: 클라우드 서비스를 활용한 인프라 구조로, 제로 트러스트 보안 전략에서 자주 언급됩니다.
3. 데이터 분석: 다양한 소스에서 데이터를 활용하여 지능적인 결정을 내리는 작업으로, 제로 트러스트 아키텍처에서 필요한 작업 중 하나입니다.
4. 암호화: 모든 트래픽과 데이터를 암호화하여 보안을 강화하는 작업으로, 제로 트러스트 아키텍처에서 중요한 요소입니다.
5. DNS와 HTTP 트래픽: 제로 트러스트 보안 전략에서 단기적으로 집중되는 중요한 프로토콜입니다.
6. 보안액세스규칙 자동화: 데이터 접근을 규제하기 위한 기반을 구축하는 작업으로, 제로 트러스트 아키텍처에서 중요한 요소입니다.
7. 연방 데이터 및 사이버 보안팀: 기관 내외에서 데이터를 카테고리화하고 보호 요구사항에 기반한 시범프로젝트 및 정부 전체 지침을 개발하는 팀으로, 제로 트러스트 아키텍처 전환에 필요한 협력을 담당합니다.
Identity Vision은 업무에 사용하는 애플리케이션에 액세스하기 위해 엔터프라이즈급의 관리된 신원을 사용하는 것입니다. 이는 피싱에 대응 가능한 MFA(Multi-Factor Authentication)를 통해 정교한 온라인 공격으로부터 보호하는 것을 포함합니다.
Identity Actions는 다음과 같습니다.
1. 기관들은 사용자들을 위해 애플리케이션 및 공통 플랫폼에 통합할 수 있는 사용자를 위한 중앙 집중식 보안 정책을 더 일관되게 시행해야 합니다.
2. 필요할 때 이상 행동을 신속하게 감지하고 조치를 취할 수 있도록 해야 합니다.
3. 각 연방 기관은 가능한 많은 기관 애플리케이션에 통합할 수 있는 잘 설계된 엔터프라이즈 신원 관리 시스템을 활용해야 합니다. 이를 통해 대형 기관은 인증을 통합함으로써 퇴사한 직원의 계정을 신속하게 비활성화하는 등의 기본적인 작업을 효율적으로 수행할 수 있습니다.
4. 엔터프라이즈 신원 관리는 일반적인 애플리케이션 및 플랫폼과 호환되어야 하며, 사용자는 일단 로그인한 다음 조직의 IT 인프라 내에서 다른 애플리케이션 및 플랫폼에 직접 액세스할 수 있어야 합니다.
이러한 목표는 CISA가 개발한 제로 트러스트 성숙도 모델을 기반으로 제시되었습니다. 이 모델은 신원, 기기, 네트워크, 애플리케이션 및 워크로드, 데이터라는 다섯 가지 상호 보완적인 영역과 가시성과 분석, 자동화와 오케스트레이션, 거버넌스라는 세 가지 주제로 구성되어 있습니다. Identity는 이 모델의 첫 번째 영역으로, 엔터프라이즈 신원을 사용하여 애플리케이션에 접속하고 MFA를 통해 보호하는 것이 중요합니다.
DEVICES에 대한 Vision은 공식 업무를 위해 허가를 받고 운영되는 모든 기기에 대한 전체 목록을 작성하고 유지하는 것입니다. 이를 통해 기기에서 발생하는 사건을 예방, 감지하고 대응할 수 있습니다.
DEVICES에 대한 Actions은 다음과 같습니다.
1. 자산 목록화 (INVENTORYING ASSETS): 기관 내에서 상호 작용하는 기기, 사용자 및 시스템을 완전히 이해하는 것이 필요합니다. 이를 위해 완전한 자산 목록을 작성하고, 이 목록의 기기에서 발생하는 사건을 예방, 감지 및 대응합니다.
2. 기기 보안 상태 확인: 기관의 기기들은 보안 상태가 고려되어야 합니다. 기기의 패치가 최신인지 여부, 기기가 기관에서 알려진 기기인지 여부 등을 확인하여 기기의 보안 상태를 평가합니다.
3. 기기 감지 및 대응: 기기에서 발생하는 사건을 감지하고 대응합니다. 예를 들어, 악성 소프트웨어 감염이나 불법적인 액세스 시도 등을 탐지하고 이에 대한 적절한 대응을 수행합니다.
이러한 Actions을 통해 DEVICES에 대한 Vision을 실현하고, 기기에서 발생하는 사건을 예방하고 대응할 수 있습니다.
NETWORKS에 대한 Vision은 "각 기관들의 환경 내에서 모든 DNS query와 HTTP 트래픽을 암호화하고, 그들의 네트워크 경계를 격리된 환경으로 분리하기 위한 계획을 실행하기 시작해야 합니다."입니다.
이를 위해 다음과 같은 Actions이 제시되었습니다.
1. 기관들은 기술적으로 지원 가능한 경우에 암호화된 DNS를 사용하여 DNS query를 응답해야 합니다. CISA의 Protective DNS 프로그램은 암호화된 DNS 요청을 지원할 것입니다.
2. 기관들은 환경 내의 모든 웹 및 응용 프로그램 인터페이스 (API) 트래픽에 대해 HTTPS 프로토콜을 강제화해야 합니다. CISA와 협력하여 .gov 도메인을 웹 브라우저에 HTTPS로만 접근 가능하도록 "preload"해야 합니다.
3. CISA는 FedRAMP와 협력하여 정부 전체적으로 전송 중인 이메일에 대한 암호화 솔루션을 평가하고 이를 토대로 OMB에 권장 사항을 제시해야 합니다.
4. CISA와 협의를 하여 네트워크 환경의 격리를 위한 기관의 접근 경로를 개괄적으로 제시한 것입니다.
이러한 Actions을 통해 각 기관은 DNS query와 HTTP 트래픽을 암호화하고, 네트워크 경계를 격리된 환경으로 분리하여 보안을 강화할 수 있습니다.
APPLICATIONS AND WORKLOADS(애플리케이션 및 워크로드)에 대한 Vision은 모든 애플리케이션을 인터넷에 연결된 것으로 간주하고, 엄격하고 실증적인 테스트를 실시하며 외부의 취약점 보고서를 적극적으로 수용하는 것입니다. 이를 통해 기관은 애플리케이션과 워크로드의 보안을 강화하고 온라인 공격으로부터 보호할 수 있습니다.
Actions(실행)에는 다음과 같은 내용이 포함됩니다.
1. 애플리케이션 및 공통 플랫폼에 통합 가능한 중앙 집중식 관리된 신원을 사용하여 업무에 사용하는 애플리케이션에 액세스합니다. 이를 통해 피싱에 대응 가능한 MFA(Multi-Factor Authentication)를 구현하여 온라인 공격으로부터 보호합니다.
2. 외부의 취약점 보고서를 적극적으로 수용합니다. 공개 취약성 공개 프로그램을 활용하여 보안 연구원 및 일반 공공의 다른 구성원들이 보안 문제를 안전하게 신고할 수 있도록 지원합니다. 이를 통해 기관은 조직의 온라인 보안 상태를 점검하고 보완할 수 있습니다.
3. 기관은 보안 연락 정보와 명확하고 환영 받는 취약성 공개 정책(VDP)을 게시하도록 요구됩니다. 이를 통해 기관은 일반 공공으로부터 취약점 정보를 수신하고 조직의 보안을 강화할 수 있습니다.
이러한 Vision과 Actions를 통해 기관은 애플리케이션과 워크로드의 보안을 강화하고 온라인 공격으로부터 보호할 수 있습니다.
데이타(DATA)에 대한 Vision은 철저한 데이터 범주화를 활용하여 보호책을 배포하는 공유 경로를 구축하는 것입니다. 이를 위해 클라우드 보안 서비스와 도구를 활용하여 민감한 데이터를 발견, 분류 및 보호하고, 기업 전체에 걸쳐 로깅과 정보 공유를 구현합니다.
데이타(DATA)에 대한 Actions는 다음과 같습니다.
1. 연방 데이터 책임자(CDO) 및 연방 정보 보안 책임자(CISO)는 정부 기관을 위한 제로 트러스트 데이터 보안 안내서를 개발하기 위한 공동 위원회를 구성할 것입니다.
2. 민감한 문서의 태그 지정 및 액세스 관리에 대한 이상 행동을 감지하는 데 이익을 얻을 수 있습니다. 이를 위해 기관 리더십과 연관된 계정이 이전에 액세스하지 않았던 시스템이나 데이터 범주에 액세스하는 경우와 같은 이상 행동을 감지합니다.
3. 머신러닝을 사용하여 유용한 데이터 민감도 범주화 및 보안 자동화의 초기 후보를 식별합니다. 단기적으로는 머신러닝이 필요하지 않고 상대적으로 간단한 스크립트 또는 정규 표현식과 같은 기술 접근 방식을 사용하여 식별합니다.
4. 모든 자동화된 작업은 먼저 "보고 전용" 모드로 구현되어야 합니다. 이를 통해 기관 보안 팀은 휴리스틱의 성능과 범주화 정확성을 활성화되기 전에 직원 작업에 영향을 미칠 수 있는 보안 조치를 모니터링합니다.
5. 이 과제에 착수하기 위해 기관의 최고 데이터 협조를 받아 취약점을 노출하는 프로세스를 필요로 합니다. 또한, 이 전략은 연방 데이터 및 사이버 보안팀에게 기관 내외에서 공동으로 데이터를 카테고리화하는 데 필요한, 보호 요구사항에 기반한 시범 프로젝트 및 정부 전체 지침을 개발할 것을 요구합니다. 이를 통해 보안 액세스 규칙을 자동화하기 위한 기반을 구축할 수 있으며, 이 협력 노력은 기관들이 데이터 접근을 규제하는 데 있어서 데이터에 접근하는 주체나 요청되는 데이터의 민감성을 고려할 수 있게 해줄 것입니다.
원문
번역본
댓글