Kant's IT/Issue on IT&Security

CISA 제로 트러스트 성숙도 모델, ‘바이블’ 아니다

Kant Jo 2024. 9. 15. 12:20

[제로 트러스트①] “CISA 제로 트러스트 성숙도 모델, ‘바이블’ 아니다” - 데이터넷

 

[제로 트러스트①] “CISA 제로 트러스트 성숙도 모델, ‘바이블’ 아니다” - 데이터넷

[데이터넷] 제로 트러스트가 보안의 기본 원칙이 되었다. 보호해야 할 대상이 외부에 공개되지 않도록 숨긴 후 자산에 접근하려는 사람·기기의 신원과 권한, 상황을 검증한 다음 접근을 허용하

www.datanet.co.kr

 

  • 제로 트러스트의 핵심 원칙
    • 제로 트러스트는 보안 경계를 없애고, 신원과 권한을 철저히 검증하며, 지속적인 모니터링을 통해 보안 위협을 최소화하는 보안 전략
    • 이는 외부에 공개되지 않도록 보호해야 할 자산을 관리하고, 한 번 허가된 자산 외에는 접근하지 못하게 하는 방식으로 운영
  • 제로 트러스트의 과대광고 문제
    • 제로 트러스트 개념은 종종 '아무도 믿지 말라'는 문구로 과장되어 실제 이점을 파악하기 어렵게 함
    • 특정 기술 요소나 사례에 집중된 마케팅으로 인해 기업들이 제로 트러스트의 전체적인 이점을 명확히 이해하기 어려운 경우가 많음
  • 제로 트러스트의 필요성
    • 제로 트러스트는 단순한 마케팅 용어가 아니며, 멀티·하이브리드 클라우드 환경에서 일관된 보안을 유지하기 위한 필수적인 정책
    • 공격자는 정상적인 프로세스를 악용하는 경우가 많기 때문에 지속적인 신뢰 검증이 필요한 상황
  • 최적의 제로 트러스트 도입 전략
    • 제로 트러스트를 도입할 때는 성급히 모든 것을 적용하기보다는 소규모로 시작해 점차 확장하는 방식이 바람직
    • 특히 침해가 발생할 수 있다는 현실을 받아들이고, 이를 제한하는 방식을 통해 보안의 회복탄력성을 높이는 것이 중요
  • CISA와 가트너의 제로 트러스트 모델 비교
    • CISA의 제로 트러스트 성숙도 모델(ZTMM)은 복잡한 아키텍처로 설계되었으나, 가트너는 이를 보다 간단하게 4가지 기둥으로 재구성할 것을 권장
    • 조직마다 환경과 비즈니스 특성에 맞는 최적의 제로 트러스트 모델을 찾아야 함
  • 제로 트러스트 모델 선택의 유연성
    • 제로 트러스트는 특정한 아키텍처나 솔루션에 국한되지 않으며, 각 조직의 특성과 보안 요구사항에 맞는 모델을 선택해야 함
    • 이를 통해 전체적인 디지털 자산에 대한 통합적인 보안 철학을 구축하는 것이 중요