Zero Trust 보안 | Zero Trust 네트워크란?

제로 트러스트 보안이란 무엇입니까?

Zero Trust 보안은 네트워크 경계 내부에 있든 외부에 있든 상관없이 사설 네트워크의 리소스에 액세스하려는 모든 사람과 장치에 대해 엄격한 ID 확인을 요구하는 IT 보안 모델입니다. ZTNA는 Zero Trust 아키텍처와 관련된 주요 기술이지만, Zero Trust는 네트워크 보안에 대한 전체적인 접근 방식으로, 묯 가지 원칙과 기술을 통합한 것입니다.

쉽게 말해 전통적인 IT 네트워크 보안에서는 네트워크 안에 있는 모든 사람과 모든 것을 신뢰합니다. Zero Trust 아키텍처에서는 누구도 아무것도 신뢰하지 않습니다.

전통적인 IT 네트워크 보안은 성과 해자 개념을 기반으로 합니다. 성과 해자 보안에서는 네트워크 외부에서 액세스 권한을 얻기 어렵지만, 네트워크 내부의 모든 사람은 기본적으로 신뢰할 수 있습니다. 이 접근 방식의 문제점은 공격자가 네트워크에 액세스하면 내부의 모든 것을 자유롭게 제어할 수 있다는 것입니다.

성과 해자 보안 시스템의 이러한 취약성은 기업이 더 이상 데이터를 한 곳에만 보관하지 않는다는 사실로 인해 더욱 악화됩니다. 오늘날에는 정보가 클라우드 벤더에 분산되어 있는 경우가 많으므로 전체 네트워크에 대한 단일 보안 제어가 더욱 어려워졌습니다.

Zero Trust 보안은 네트워크 내부 또는 외부에서 기본적으로 아무도 신뢰하지 않으며, 네트워크의 리소스에 액세스하려는 모든 사람에 대하여 확인이 필요하다는 것을 의미합니다.이 추가 보안 계층은 데이터 유출을 방지하는 것으로 나타났습니다.연구에 따르면 단일 데이터 유출로 인한 평균 비용이 300만 달러가 넘는 것으로 나타났습니다.이 수치를 고려하면 현재 많은 조직에서 Zero Trust 보안 정책을 도입하고자 하는 것은 놀라운 일이 아닙니다.

기사

Zero Trust를 통한 조직의 신뢰도 향상

자세한 정보

가이드

앱 액세스 보호를 위한 Zero Trust 가이드

가이드 읽기

Zero Trust의 주요 원칙은?

지속적인 모니터링 및 유효성

Zero Trust 네트워크의 철학은 네트워크 내부와 외부 모두에 공격자가 존재하므로 어떤 사용자나 컴퓨터도 자동으로 신뢰해서는 안 된다는 것을 가정합니다. Zero Trust는 사용자 신원 및 권한은 물론 장치의 신원 및 보안도 확인합니다. 로그인 및 연결이 설정되면 주기적으로 시간이 초과되므로 사용자와 장치를 지속해서 재확인해야 합니다.

최소 권한

Zero Trust 보안의 또 다른 원칙은 최소 권한 액세스입니다. 즉, 육군의 장군이 사병에게 필요한 정보를 제공하는 것처럼 사용자에게 필요한 만큼만 액세스 권한을 부여하는 것입니다. 이렇게 하면 각 사용자가 네트워크의 중요한 부분에 노출되는 것을 최소화할 수 있습니다.

최소 권한을 구현하려면 사용자 권한을 신중하게 관리해야 합니다.VPN에 로그인하면 연결된 전체 네트워크에 액세스할 수 있으므로 VPN은 최소 권한 인증 방식에 적합하지 않습니다.

장치 액세스 제어

사용자 액세스에 대한 제어 외에도 Zero Trust는 장치 액세스에 대한 엄격한 제어를 요구합니다. Zero Trust 시스템은 네트워크에 액세스하려는 다양한 장치 수를 모니터링하고, 모든 장치에 권한이 부여되었는지 확인하며, 모든 장치가 손상되지 않았는지 평가해야 합니다. 이렇게 하면 네트워크의 공격면을 더 줄일 수 있습니다.

마이크로세분화

Zero Trust 네트워크는 또한 세분화를 활용합니다.세분화는 보안 경계를 작은 영역으로 분할하여 네트워크의 각 부분에 대해 별도의 액세스를 유지하는 방식입니다.예를 들어, 세분화를 활용하는 단일 데이터 센터에 파일이 있는 네트워크에는 수십 개의 개별 보안 영역이 포함될 수 있습니다.이러한 영역 중 하나에 액세스할 수 있는 사람이나 프로그램은 별도의 승인 없이는 다른 영역에 액세스할 수 없습니다.

내부망 이동 방지

네트워크 보안에서 "내부망 이동" 은 공격자가 네트워크에 액세스한 후 네트워크 내에서 이동하는 것을 말합니다. 공격자의 진입점이 발견되더라도 공격자가 네트워크의 다른 부분을 손상시켰을 수 있으므로 내부망 이동을 감지하기 어려울 수 있습니다.

Zero Trust는 공격자가 내부망에서 이동할 수 없게 봉쇄하도록 설계되었습니다. Zero Trust 액세스는 세분화되어 있고 주기적으로 재설정되어야 하므로 공격자가 네트워크 내의 다른 마이크로세그먼트로 이동할 수 없습니다. 공격자의 존재가 감지되면 손상된 장치 또는 사용자 계정을 격리하여 추가 액세스를 차단할 수 있습니다. (성과 해자 모델에서 공격자가 내부망 이동이 가능한 경우, 공격자가 이미 네트워크의 다른 부분에 도달했을 것이므로 원래 감염된 장치 또는 사용자를 격리하는 것은 거의 효과가 없습니다.)

다단계 인증(MFA)

다단계 인증(MFA) 역시 Zero Trust 보안의 핵심 가치입니다.MFA는 사용자를 인증하기 위해 두 가지 이상의 증거를 요구하는 것을 의미하며, 비밀번호 입력만으로는 액세스 권한을 얻을 수 없습니다.일반적으로 MFA를 적용하는 방법은 Facebook 및 Google과 같은 온라인 플랫폼에서 사용되는 2단계 인증(2FA)입니다.이러한 서비스에서 2FA를 활성화하는 사용자는 비밀번호를 입력하는 것 외에도 휴대폰과 같은 다른 장치로 전송된 코드를 입력해야 하므로 자신이 본인임을 증명하는 두 가지 증거를 제공해야 합니다.

가입

모든 Cloudflare 요금제의 보안 및 속도

무료로 시작하기

Zero Trust의 장점은?

Zero Trust는 기존의 보안 접근 방식보다 최신 IT 환경에 더 적합한 철학입니다. 내부 데이터에 액세스하는 사용자와 장치가 매우 다양하고 데이터가 네트워크 내부와 외부(클라우드)에 모두 저장되어 있으므로, 예방적 보안 조치로 모든 취약점을 막았다고 가정하는 것보다 신뢰할 수 있는 사용자나 장치가 없다고 가정하는 것이 훨씬 안전합니다.

Zero Trust 원칙을 적용하면 조직의 공격 표면을 줄이는 데 도움이 된다는 것이 가장 큰 이점입니다. 또한 Zero Trust를 이용하면 세분화를 통해 침입을 하나의 작은 영역으로 제한하여 공격이 발생했을 때 피해를 최소화하고 복구 비용도 낮출 수 있습니다. Zero Trust는 여러 인증 요소를 요구하여 사용자 자격 증명 도용 및 피싱 공격의 영향을 줄입니다. 이는 기존의 경계 중심 보호 기능을 우회하는 위협을 제거하는 데 도움이 됩니다.

또한 Zero Trust 보안은 모든 요청을 확인함으로써 보안 및 업데이트가 어려운 IoT 장치를 비롯한 취약한 장치로 인한 위험을 줄여줍니다(IoT 보안 참조).

Zero Trust 보안의 역사는 어떻게 될까요?

"Zero Trust"라는 용어는 이 개념에 대한 모델이 처음 제시된 2010년에 포레스터 리서치사의 한 애널리스트가 만든 용어입니다. 몇 년 후, Google에서는 네트워크에 Zero Trust 보안을 구현했다고 발표했고, 기술 커뮤니티에서 Zero Trust 도입에 대한 관심이 높아졌습니다. 2019년 글로벌 리서치 및 자문 기관인 Gartner에서는 Zero Trust 보안 액세스를 보안 액세스 서비스 에지(SASE) 솔루션의 핵심 구성 요소로 선정했습니다.

Zero Trust 네트워크 액세스(ZTNA)란?

Zero Trust 네트워크 액세스(ZTNA)는 조직에서 Zero Trust 보안을 구현할 수 있도록 하는 주요 기술입니다. 소프트웨어 정의 경계(SDP)와 유사하게, ZTNA는 대부분의 인프라와 서비스를 숨겨서 장치와 필요한 리소스 간에 일대일로 암호화된 연결을 설정합니다. ZTNA 작동 방식에 대하여 자세히 알아보세요.

Zero Trust 사용 사례에는 어떤 것이 있을까요?

네트워크에 의존하고 디지털 데이터를 저장하는 모든 조직에서는 Zero Trust 아키텍처 사용을 고려할 것입니다. 하지만 Zero Trust의 가장 일반적인 일부 사용 사례는 다음과 같습니다.

VPN 교체 또는 보강: 많은 조직에서 데이터를 보호하기 위해 VPN에 의존하고 있지만, 앞서 설명한 것처럼 VPN은 오늘날의 위험을 방어하는 데 이상적이지 않은 경우가 많습니다.

원격 근무를 안전하게 지원: VPN은 병목 현상을 일으키고 원격 근무자의 생산성을 저하시킬 수 있지만, Zero Trust는 어디서나 연결에 대한 보안 접근 제어를 확장할 수 있습니다.

클라우드 및 멀티클라우드에 대한 액세스 제어: Zero Trust 네트워크는 원본이나 대상과 관계없이 모든 요청을 확인합니다.또한 승인되지 않은 앱의 사용을 제어하거나 차단하여 승인되지 않은 클라우드 기반 서비스(" 섀도우 IT"라고 불리는 상황)의 사용을 줄이는 데 도움이 될 수 있습니다.

제3자 및 계약업체 온보딩: Zero Trust는 일반적으로 내부 IT 팀에서 관리하지 않는 컴퓨터를 사용하는 외부 당사자에게 최소 권한으로 제한된 액세스를 신속하게 확장할 수 있습니다.

신규 직원의 신속한 온보딩: Zero Trust 네트워크는 또한 새로운 내부 사용자의 신속한 온보딩을 촉진할 수 있어 빠르게 성장하는 조직에 적합한 솔루션입니다.반면, VPN은 많은 수의 신규 사용자를 수용하려면 용량을 추가해야 할 수 있습니다.

주요 Zero Trust 모범 사례는?

• 네트워크 트래픽 및 연결된 장치 모니터링: 사용자와 컴퓨터를 확인하고 인증하려면 가시성이 매우 중요합니다.
• 장치를 최신 상태로 유지: 취약점은 최대한 빨리 패치해야 합니다.Zero Trust 네트워크는 취약한 장치에 대한 액세스를 제한할 수 있어야 합니다(모니터링과 유효성 검사가 중요한 또 다른 이유).
• 조직의 모든 사람에게 최소 권한 원칙을 적용: 경영진부터 IT 팀에 이르기까지 모든 사람에게 필요한 최소한의 액세스 권한을 부여해야 합니다.이렇게 하면 최종 사용자 계정이 손상될 경우 피해를 최소화할 수 있습니다.
• 네트워크 분할: 네트워크를 더 작은 덩어리로 나누면 유출이 확산되기 전에 조기에 차단하는 데 도움이 됩니다.세분화는 이를 위한 효과적인 방법입니다.
• 네트워크 경계가 존재하지 않는 것처럼 행동: 네트워크가 완전히 에어 갭 격리된 경우(드문 경우)가 아니라면, 인터넷이나 클라우드와 연결되는 지점이 너무 많아서 제거하기 어려울 수 있습니다.
• MFA에 보안 키 사용: 하드웨어 기반 보안 토큰은 SMS나 이메일을 통해 전송되는 일회용 비밀번호(OTP)와 같은 소프트 토큰보다 훨씬 더 안전한 것으로 입증되었습니다.
• 위협 인텔리전스 통합: 공격자가 지속해서 전술을 업데이트하고 개선하므로 최신 위협 인텔리전스 데이터 피드를 구독하는 것은 위협이 확산되기 전에 식별하는 데 매우 중요합니다.
• 최종 사용자가 보안 조치를 우회하도록 동기를 부여하지 않기: 지나치게 엄격한 비밀번호 요구 사항은 사용자가 동일한 비밀번호를 반복해서 재활용하도록 유도하는 것과 마찬가지로, 사용자가 여러 신원 요소를 통해 한 시간에 한 번씩 재인증하도록 강요하는 것은 지나치게 과하여 아이러니하게도 보안을 약화시킬 수 있습니다.항상 최종 사용자의 요구 사항을 염두에 두세요.

Zero Trust 보안을 구현하는 방법

Zero Trust는 복잡한 것처럼 보일 수 있지만, 올바른 기술 파트너와 함께한다면 비교적 간단하게 이 보안 모델을 도입할 수 있습니다. 예를 들어, Cloudflare One은 사용자 및 장치 액세스에 대한 기본 제공 Zero Trust 접근 방식과 네트워킹 서비스를 결합한 SASE 플랫폼입니다. Cloudflare One을 통해 고객은 모든 자산과 데이터에 대해 Zero Trust 보호를 자동으로 구현할 수 있습니다.