‘제로 트러스트(Zero Trust)’는 제품이나 솔루션이 아니라는 말을 들어보셨을 겁니다. 사실, ~의 애널리스트 팀을 비롯한 전문가들은 Forrester, … 이 용어가 처음 등장한 곳부터 우리 RSA 전략가들에 이르기까지 모두 이 점을 강조해 왔습니다. 오히려 이는 보안 전략에 가깝습니다. ‘신뢰할 수 있는지 확실히 확인하기 전까지는 누구도 신뢰하지 말라’는 이 개념은 꽤 단순하지만, 실제로 적용하는 과정은 종종 막막하게 느껴집니다. 제로 트러스트(Zero Trust) 접근 방식을 채택하기로 결심하는 순간, 비로소 본격적인 작업이 시작됩니다. 그렇다면 어디서부터 시작해야 할까요?
답은 바로 아이덴티티입니다.
사이버 보안 위협에 대항하는 첫 번째 방어선으로서, 신원 확인은 제로 트러스트를 조직이 보안 태세를 강화하는 데 활용할 수 있는 실질적이고 실용적인 도구로 만드는 데 핵심적인 역할을 합니다. 제로 트러스트의 기본 철학은 신뢰를 결코 당연시해서는 안 되며, 대신 모든 상호작용마다 신뢰를 새롭게 확립해야 한다는 것입니다—바로 아이덴티티가 하는 일입니다.
사용자가 인증할 때마다, 접근 권한이 부여되기 전에 신뢰 여부가 검증됩니다. 이는 ‘제로 트러스트’ 개념을 일상에서 실제로 구현하기 위한 기초가 됩니다.
그게 무슨 뜻인지, 먼저 ‘제로 트러스트’가 정확히 무엇인지부터 살펴봅시다.
제로 트러스트(Zero Trust)는 수년간 우리가 의존해 온 기존의 네트워크 경계가 사실상 사라진, 점점 더 디지털화되는 세상에서 보안을 바라보는 사고방식입니다. 오늘날 사람들은 어디서든 업무를 수행할 수 있으며, 실제로 그렇게 하고 있습니다. 그들이 접근하는 리소스는 클라우드, 온프레미스, 또는 이 둘의 조합에 있을 수 있으며, 이들은 어떠한 보호 경계 너머의 위치에서도 해당 리소스에 접근합니다. 따라서 문제는 이러한 리소스를 어떻게 보호할 것인가에 있습니다.
제로 트러스트(Zero Trust)를 도입하는 것이 이 문제를 해결하는 한 가지 방법입니다. 제로 트러스트의 기본 원칙은 간단히 말해 “신뢰를 절대 전제로 삼아서는 안 된다’는 것입니다. 리소스에 대한 접근과 관련된 모든 상호작용은 잠재적인 위험이 있다고 간주되어야 합니다. RSA의 최고 제품 책임자(CPO)인 짐 테일러(Jim Taylor)가 말한 것처럼, ”제로 트러스트는 더 이상 예전처럼 안전함을 느끼게 해 주던 메커니즘이 없을 때 상황에 대처하는 방식입니다.” 개인이나 기기를 신뢰할 수 있다고 가정하기보다는, 모든 상호작용에서 신뢰를 검증해야 합니다.
기존의 경계가 약화되면서 신원이 신뢰를 구축하는 주요 수단이 되었습니다. "신원은 새로운 경계이며, 통제하고 보호할 수 있는 유일한 수단입니다."라고 Taylor는 말합니다. "사용자가 자신이 말하는 사람이 맞는지 높은 수준의 확신을 가지고 판단할 수 있다면 사용자를 인증하고 권한을 부여할 수 있습니다. 누군가 또는 무언가의 신원을 신뢰할 수 있어야 신원을 기반으로 보안 정책을 수립할 수 있습니다."
물론, 신원을 통해 신뢰를 구축한다는 개념은 새로운 것이 아닙니다. 하지만 신뢰를 구축하는 맥락이 변화함에 따라 신원의 중요성은 그 어느 때보다 커졌습니다. 오늘날의 인력 구성은 현장 근무 정규직 직원뿐만 아니라, 계약직, 긱 워커(gig worker) 등 자원에 대한 접근 권한이 필요한 다양한 인력으로 점점 더 확대되고 있으며, 이러한 접근은 현장에 국한되지 않습니다. 오늘날 상호작용은 디지털 및 온라인을 통해 이루어지는 비중이 매우 커져서, 더 이상 누군가의 물리적 위치가 신뢰를 구축하는 데 있어 기초가 되지 않습니다. 이러한 변화들 때문에 제로 트러스트(Zero Trust)가 지금 이토록 중요해졌으며, 신원 확인이 핵심적인 요소로 부각된 것입니다.
신원 관리는 세 가지 구체적인 방식으로 제로 트러스트로 가는 길을 열어줍니다.
- 적합한 사람에게만 액세스 권한을 부여합니다. 접근 권한을 부여하기 전에 적절한 수준의 신뢰도를 확립하는 능력은 제로 트러스트(Zero Trust) 사고방식에 따라 운영하기 위해 필수적입니다. 제로 트러스트를 지원하려면, 다양한 다중 요소 인증(MFA) 방식을 포함하는 신원 및 접근 관리 기능과 더불어, 거버넌스 기반의 가시성 중심 접근 권한 부여를 가능하게 하는 강력한 신원 거버넌스 및 관리(IGA) 기능이 필요합니다.
- 동적 의사 결정 지원. 액세스 관리에 제로 트러스트(Zero Trust) 접근 방식을 성공적으로 적용하려면, 컨텍스트를 활용하여 특정 상호작용과 관련된 위험을 평가한 후, 그 위험 수준에 따라 액세스 허용 여부를 결정할 수 있어야 합니다. 제로 트러스트 접근 방식은 컨텍스트 기반의 동적 의사 결정을 필요로 하므로, 위험 기반 인증을 적용할 수 있는 능력이 중요합니다.
- NIST 제로 트러스트 아키텍처 프레임워크와 부합합니다.. 미국 국립표준기술연구소(NIST)는 제로 트러스트 아키텍처를 위한 프레임워크를 개발했습니다. NIST가 요구하는 위험 기반 분석 및 역할·속성 기반 접근 권한을 포함하는 신원 및 접근 관리 구성 요소는 NIST 프레임워크 내에서 운영되는 데 필수적입니다.
제로 트러스트(Zero Trust)를 포함한 모든 보안 접근 방식은 두 가지 측면을 갖습니다. 바로 악의적인 사용자를 차단하고, 신뢰할 수 있는 사용자에게는 접근을 허용하는 것입니다. 방어에만 집중하여 누구도 들어오지 못하게 한다면 위험은 거의 없겠지만, 비즈니스도 거의 이루어지지 않을 것입니다. ‘제로 트러스트’라는 용어는 ‘절대 누구도 믿지 말라’는 의미가 아닙니다. 이는 ‘신뢰할 수 있는지 먼저 확인하지 않고는 누구도 믿지 말라’는 뜻입니다. 그리고 특정 개인이나 대상이 신뢰할 수 있는지 확인하는 데 있어 신원 확인은 핵심적인 역할을 합니다. 적절한 신원 확인 도구를 활용하면, 제로 트러스트 사고방식을 접근 권한 관리에 성공적으로 접목하여 디지털 세상에서 번창할 수 있습니다.
RSA의 독점적인 정체성에 집중 오늘, RSA에서 제로 트러스트에 대해 더 자세히 알아보세요:
- 다운로드 포레스터 제로 트러스트 구현 가이드
- RSA의 해결 방법 확인 제로 트러스트 도전 과제
- RSA에 대해 알아보기 제품 제로 트러스트를 지원하는