제로트러스트 가이드라인 2.0 발표…단계별 고려사항 구체화
제로트러스트 가이드라인 2.0 발표…단계별 고려사항 구체화
[IT동아 김예지 기자] 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA)이 ‘제로트러스트(Zero Trust) 가이드라인 2.0’을 발표해 실질적인 보안 지침
it.donga.com
- 제로트러스트(Zero Trust) 보안은 "절대 믿지 말고, 계속 검증하라"는 철학을 바탕으로 내부 및 외부 네트워크 경계를 없애고 모든 접근 요청을 검증하는 보안 모델
- 기존 방식의 허점(내부자 공모, 권한 탈취 등)을 극복하기 위해 설계
- 다중요소 인증(MFA), 마이크로 세그먼트 및 지속적인 모니터링 적용
- 네트워크 및 리소스 보호 강화
- 제로트러스트 가이드라인 2.0 주요 특징
- 기존 3단계 성숙도 모델을 4단계(초기, 향상, 최적화)로 세분화
- 6가지 기업망 핵심 요소(식별자·신원, 기기·엔드포인트, 네트워크, 시스템, 애플리케이션·워크로드, 데이터)와 52가지 보안 역량 제시
- 도입 절차: 준비 → 계획 → 구현 → 운영 → 피드백 및 개선
- 도입 후 보안 성숙도 평가를 위한 체크리스트 제공
- 실증 시나리오를 통해 클라우드 및 온프레미스 환경의 보안 취약점 분석 및 개선 방안 마련
- 클라우드 환경에서의 적용 사례
- SaaS 서비스 사용 환경에서 자료 전송 시스템 보안 미비점 발견
- 보안 강화 방안으로 파일 송수신 제어 기능 추가
- 제로트러스트 기반 정책 실행 지점(PEP)을 통해 각종 데이터 및 시스템 접근을 제어
- 제로트러스트 확산 지원 사업 성과
- 공공 및 민간 부문에서 맞춤형 보안 모형 개발 및 운영 지원
- KB국민은행, 야놀자 등 민간 기업이 연합체를 통해 시범사업에 참여
- 결론
- 제로트러스트 보안 모델은 디지털 전환 및 원격 근무 확산에 필수적
- 조직의 비즈니스 모델과 목표에 따라 맞춤형 보안 전략을 수립해야 함
- 정기적인 성숙도 평가와 지속적인 보안 강화를 통해 보안 수준을 유지
- 클라우드와 같은 동적 환경에서 제로트러스트 아키텍처 도입이 필수적이며, 데이터 접근 정책 강화와 인증 절차의 고도화가 요구됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 엔터프라이즈 클라우드 지출을 최적화하는 4단계 (0) | 2025.01.03 |
|---|---|
| 망분리 완화와 클라우드 확산, '옥타 아이덴티티 거버넌스'의 중요성 (0) | 2025.01.03 |
| Android 제로데이 취약점 이용한 스파이웨어 캠페인, 국제앰네스티가 셀레브라이트 연루 지목 (2) | 2025.01.03 |
| 사이버 회복탄력성을 강화하는 4가지 전략 (2) | 2025.01.03 |
| DarkGate 악성코드, 팀즈(Teams)·AnyDesk 악용해 원격 설치 주의 (1) | 2025.01.03 |