[제로 트러스트①] “CISA 제로 트러스트 성숙도 모델, ‘바이블’ 아니다” - 데이터넷
- 제로 트러스트의 핵심 원칙
- 제로 트러스트는 보안 경계를 없애고, 신원과 권한을 철저히 검증하며, 지속적인 모니터링을 통해 보안 위협을 최소화하는 보안 전략
- 이는 외부에 공개되지 않도록 보호해야 할 자산을 관리하고, 한 번 허가된 자산 외에는 접근하지 못하게 하는 방식으로 운영
- 제로 트러스트의 과대광고 문제
- 제로 트러스트 개념은 종종 '아무도 믿지 말라'는 문구로 과장되어 실제 이점을 파악하기 어렵게 함
- 특정 기술 요소나 사례에 집중된 마케팅으로 인해 기업들이 제로 트러스트의 전체적인 이점을 명확히 이해하기 어려운 경우가 많음
- 제로 트러스트의 필요성
- 제로 트러스트는 단순한 마케팅 용어가 아니며, 멀티·하이브리드 클라우드 환경에서 일관된 보안을 유지하기 위한 필수적인 정책
- 공격자는 정상적인 프로세스를 악용하는 경우가 많기 때문에 지속적인 신뢰 검증이 필요한 상황
- 최적의 제로 트러스트 도입 전략
- 제로 트러스트를 도입할 때는 성급히 모든 것을 적용하기보다는 소규모로 시작해 점차 확장하는 방식이 바람직
- 특히 침해가 발생할 수 있다는 현실을 받아들이고, 이를 제한하는 방식을 통해 보안의 회복탄력성을 높이는 것이 중요
- CISA와 가트너의 제로 트러스트 모델 비교
- CISA의 제로 트러스트 성숙도 모델(ZTMM)은 복잡한 아키텍처로 설계되었으나, 가트너는 이를 보다 간단하게 4가지 기둥으로 재구성할 것을 권장
- 조직마다 환경과 비즈니스 특성에 맞는 최적의 제로 트러스트 모델을 찾아야 함
- 제로 트러스트 모델 선택의 유연성
- 제로 트러스트는 특정한 아키텍처나 솔루션에 국한되지 않으며, 각 조직의 특성과 보안 요구사항에 맞는 모델을 선택해야 함
- 이를 통해 전체적인 디지털 자산에 대한 통합적인 보안 철학을 구축하는 것이 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
IT 프로젝트가 실패에 이르고 있다는 전조 7가지 (1) | 2024.09.15 |
---|---|
크라우드스트라이크 사태 이후 ‘SaaS 백업 서비스’에 쏠리는 관심 (1) | 2024.09.15 |
韓 방산업체 인니 사무소 보안점검…'기술 유출' 확인했나 (0) | 2024.09.15 |
관공서에서 유출된 개인정보 '500만 명분'... 해킹에 뚫리고, 불법 조회로 흘려 (0) | 2024.09.15 |
인공지능・클라우드(SaaS) 등을 활용한 개인정보의 분석・활용이 편리해집니다 (0) | 2024.09.15 |