제로트러스트가 뭐야?

아무도믿지말라

제로트러스트가 뭐예요? 뭔 말인지 잘..

필자는 단순히 보안 모델이라고 생각하고 있다. 모델이라는 단어도 어색할 텐데.. 좀 더 단순하게 '보안 개념'으로 이해하면 될 것 같다. 내부/외부 누구도 적절한 인증이 없다면 신뢰하지 않는다는 개념이다.

(zero trust => 믿음 0)

제로트러스트도 여러 단어와 합치고 줄여서 말한다. ZT(Zero Trust), ZTA(ZT Access), ZTA(ZT Architecture), ZTNA(ZT Network Access).. 결국 ZT라고 생각하면 된다.

특정 시스템에 접속하기 전에 모든 사용자, 모든 단말기, 모든 트래픽을 의심하고 적절한 확인을 거쳐야 비소로 접속 권한이 부여되는 것이다. 용어 자체는 2010년도에 처음 나왔으나 2020년 쯔음부터 부상하기 시작한 것 같다. 

10년 만에 갑자기 왜요?

가장 큰 이유는 코로나19, 클라우드 확대, 스마트 오피스 확대라고 생각한다. 비대면 및 원격근무가 발전하고 확대되면서 내부/외부 경계가 모호해지고 보안이 취약한 접점들이 무수히 늘어났다. 편의성과 효율성은 기술의 발전으로 폭발적으로 증대되었으나 보안기술은 뒤따가지 못하는 상황이다. 

그렇기 때문에 내부/외부를 구분하지 않고 모든 것을 의심해보고 검증해야 하는 제로트러스트가 급부상하지 않았나 생각한다.

근데 아직도 잘 이해가 안 가요.

시나리오 기반으로 경계 보안과 제로트러스트는 아래와 같이 비교해볼 수 있다.

  1) 경계 보안

     - 재택근무시스템을 통해 집에서 ID/PW로 PC 로그인한다.

     - 정보계 DB에 접속하여 데이터를 Select 한다.

  2) 제로트러스트

     - 재택근무시스템을 통해 집에서 안전한 PC인지 검증을 마친 후,  ID/PW로 PC 로그인한다.

     - 정보계 DB에 접속하여 관련 DB에 대해 권한 확인을 마친 후, 데이터를 Select 한다.

이와 같이 중간중간 시스템/데이터에 접근을 할 때마다 적절한지 검증을 하는 게 제로트러스트의 개념이다.

기존 보안에..
중간중간 검증이 더 추가된 거잖아요?

맞다. 제로트러스트는 새로운 것이 아니다. 기존 보안에서 추가적으로 확인하고 검증하는 것이다. 이를 통해 제로데이 취약점이나 권한의 오남용을 막을 수 있는 장점이 있으나, 업무 효율이 저하될 수 있다는 단점이 있다. 이러한 단점을 보완하기 위해서 SSO와 MFA를 활용하는 등 여러 방안들을 생각해 볼 수 있다.

제로트로스트가 개념이라고 했는데,
제로트러스트 솔루션이라고 소개하는 건 뭐예요?

제로트러스트 개념이 녹아든 솔루션이라고 생각하면 된다. 예를 들어 VPN의 취약점을 보완한 SDP(Software Defined Perimeter)가 있다. (관련링크) 

SDP에 대해선 추후에 설명하도록 하겠다.