Offcanvas

CSO / How To / 보안 / 비즈니스|경제

NSTAC 제로 트러스트 보고서에서 주목해야 할 8가지

2022.03.15 Chris Hughes  |  CSO
제로 트러스트에 초점을 둔 여러 자료와 정부 기관의 지침이 쏟아져 나오고 있다. 이제 제로 트러스트에 대한 의심은 설 자리가 없어 보인다. 미국에서는 연방 제로 트러스트 전략(Federal Zero Trust Strategy)이 발표된 직후 미 국가안보통신자문위원회(National Security Telecommunications Advisory Committee, NSTAC)가 ‘제로 트러스트 및 신뢰할 수 있는 ID 관리 보고서(Zero Trust and Trusted Identity Management report)’를 발표했다.
 
ⓒ Getty Images Bank

이 보고서에는 민간 분야에서 시작된 제로 트러스트의 역사와 정부 기관에서 꾸준히 내놓고 있는 다양한 제로 트러스트 관련 활동과 지침, 요구사항이 잘 요약돼 있다. 대표적인 것이 ‘행정 명령(Executive Order) 14028 : 국가 사이버보안 개선’이다. 이 행정 명령에 따라 NSTAC는 제로 트러스트 및 신뢰할 수 있는 신원 관리를 포함한 주요 이슈에 초점을 맞추었다.
 
또한 보고서는 제로 트러스트 구현의 과제와 실현을 위한 조건을 강조했다. 적절한 감독 및 성숙도 지표, 투명성, 그리고 지속적 개선에 집중해야 할 필요성과 같이 모두 연방 정부뿐 아니라 민간 분야에도 적용되는 조건이다. 공공 및 민간 분야의 보안 리더가 NSTAC 보고서에서 주목해야 할 8가지 핵심적인 내용을 정리했다.


1. 제로 트러스트는 장기적, 변혁적 노력이다

가장 중요한 점은 제로 트러스트가 10년 이상의 장기적인 노력을 필요로 하는 변혁적인 활동임을 인식하는 것이다. 제로 트러스트 문화를 이끌고 조직의 기술 시스템 체계를 근본적으로 재설계하는 방대한 작업을 시작하기 위한 산업 및 조직 정책 변화도 필요하다. 제로 트러스트 도입을 고민하는 조직은 하루 아침에 ‘제로 트러스트에 부합하는’ 기업으로 만들어준다는 솔루션 업체의 주장을 접할 때 항상 이 점을 염두에 두어야 한다.


2. 제로 트러스트 지침을 활용하라

제로 트러스트에 대한 지식을 갖추려면 잘 정립된 지침과 자료를 찾아보면 된다. 미국의 경우 NIST 800-207 : 제로 트러스트 아키텍처, DoD(Department of Defense)의 제로 트러스트 참조 아키텍처, NSA(National Security Agency)의 제로 트러스트 보안 모델 채택 가이드, CISA(Cybersecurity and Infrastructure Security Agency)의 제로 트러스트 성숙도 모델, OMB(Office of Management and Budget)의 연방 제로 트러스트 전략 등이 있다. 다양한 제로 트러스트 지침과 문서를 통해 기업은 연방 정부처럼 대형 기관을 끌어들이는 제로 트러스트의 특성과 권장 사항, 각 정부의 목표를 잘 이해할 수 있다.

보고서에는 암호화, 미세 분할, 강력한 인증, 제로 트러스트 구현 과정에서 클라우드 컴퓨팅이 수행할 수 있는 혁신적 역할처럼 제로 트러스트의 기초적인 측면을 강조하는 CISA 및 NSA의 5G 클라우드 보안 지침과 같은 다른 소스의 내용도 포함돼 있다.


3. 구현 계획을 수립하라

모든 장기적이고 전략적인 프로젝트가 그렇듯이 제로 트러스트 구현에도 계획이 필요하다. NSTAC 지침은 제로 트러스트 구현을 위한 5단계를 제안한다.
 
  1. 보호 표면 정의
  2. 트랜잭션 흐름 매핑
  3. 제로 트러스트 아키텍처 구축
  4. 제로 트러스트 정책 마련
  5. 네트워크 모니터링 및 유지

5단계 프로세스는 제로 트러스트를 위해서는 반복적이고 많은 시간이 소비되는 과정이 필요하다는 점을 강조하며, 제품 구매로 간단하게 제로 트러스트를 구현할 수 있다는 잘못된 인식을 바로잡는다.


4. 제로 트러스트 전략을 규정 준수 요건에 맞춰라

제로 트러스트를 추구하는 것이 지난한 과정인 것은 부정할 수 없다. 비용, 시간, 노동력 투입이 필요한 과정이다. 하지만 제로 트러스트를 추구한다고 해서 규정 준수와 같은 기존의 요구사항이 효력을 잃는 것은 아니다. 보고서는 제로 트러스트 전략과 기존 규정 준수 요구사항(미국의 경우 FISMA)을 명확하게 정리하고, 정렬시킬 필요성을 강조한다.

조직은 기존 보고 및 규정 준수 요구사항 대처에도 이미 어려움을 겪고 있으므로 2가지가 정렬되지 않으면 실패할 가능성이 매우 높다. NIST가 800-53에서 제어 기능을 제로 트러스트에 매핑해서 2가지 노력이 상호 격리되지 않고 함께 수행되도록 한 것이 주요 권장 사항이다.

또 현실적으로는 조직이 제로 트러스트에 맞춰 시스템과 네트워크 재설계를 시작할 때 규정 준수 및 인증과 관련된 작업을 다시 수행해야 할 수도 있다. 이런 경우 자동화되어 있지 않으면 기관과 조직은 2가지 작업을 동시에 실행해야 하는 어려움에 빠지게 된다. 이 작업은 상당히 고되다. 제로 트러스트를 별개로 추진한다면 그 부담은 더욱 가중된다.


5. 제로 트러스트 프로그램 사무소를 구축하라

제로 트러스트 프로그램 전담 사무소, 주요 영역의 공유 서비스 사용 최대화도 권장 사항이자 제로 트러스트 실현을 위한 요건이다. DoD는 최근 제로 트러스트 프로그램 전담 사무소를 마련했다. NSTAC 보고서는 연방 정부도 그렇게 해야 한다고 강조했다. 이는 구현 지침, 아키텍처, 플레이북 등을 운영하기 위한 전담 부서를 만드는 데도 도움이 된다.

이런 사무소는 제로 트러스트 구현 속도를 높이기 위한 일종의 중앙 통제소를 역할을 한다. 민간 조직, 특히 각 사업부가 사일로 형태로 운영되는 경우가 많은 대기업 역시 같은 방법을 사용할 수 있다. 제로 트러스트는 응집을 위한 중앙 통제소가 필요한, 기업과 조직 전반에 걸친 과업이다.


6. 특정 기능을 위한 보안 서비스를 공유하라

중앙 프로그램 사무소를 기반으로 인터넷 액세스 자산 검색과 같은 특정 기능을 위한 보안 서비스를 공유하는 것이 좋다. IT/사이버보안 공유 서비스는 정부 기관과 조직에 비용/라이선스 효율성, 시야 개선, 효과 증대와 같은 여러 혜택을 제공할 수 있다.

무분별하게 난립한 툴과 사일로화된 솔루션으로는 특히 DoD 같은 대규모 조직에서 제로 트러스트의 성공을 위해 필요한 전사적인 가시성과 영향력을 구축할 수 없다. 툴의 난립이라는 현실은 제로 트러스트가 시장 과열과 솔루션 업체의 유행 편승으로 이어진 것과 관련된다. NSTAC 보고서는 다양한 솔루션으로 인해 관리 복잡성과 최종 사용자 통합 및 마찰이라는 문제가 발생하고, 제로 트러스트의 성공에 방해가 된다고 지적한다.


7. 클라우드 서비스를 사용하여 도입을 가속화하라

지난 몇 년 동안 IT 분야에서 일한 사람은 잘 알겠지만, 클라우드는 중요한 역할을 하는 기술이다. 제로 트러스트도 예외는 아니다. NSTAC는 “클라우드 서비스의 빠른 도입은 연방 기관의 제로 트러스트 도입을 대폭 가속화할 것”이라고 언급했다. 클라우드의 이점은 데이터, ID, 자동화 같은 모든 분야를 포괄한다. 또한 클라우드 도입은 원격 인력의 증가에 대처해야 하는 기관과 조직에도 도움이 될 수 있다.


8. 성공을 위해서는 효과적인 신원 관리가 필수

마지막 핵심 내용은 ID가 제로 트러스트에서 근본적인 요소라는 점이다. 사람뿐 아니라 사람이 아닌 개체 모두 ID에 포함된다. 지침은 연방 및 민간 분야 조직이 직면한 현대 클라우드 네이티브 및 원격 인력 환경에 대응하는 현대적 ID 관리 솔루션의 필요성을 강조한다. NIST 800-63-3 : 디지털 ID 가이드라인이 좋은 출발점이다.

지금까지 살펴본 것은 제로 트러스트 도입의 기회와 과제에 대한 권장 사항과 유용한 정보 가운데 일부다. NSTAC 보고서는 제로 트러스트를 시작하는 모든 조직에 유용한 자료가 될 것이다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.