Skip to content Skip to navigation Skip to footer

포티넷 코리아 뉴스룸

[블로그] 제로 트러스트의 역사 : 중세부터 현대까지

대한민국, 서울 - 2022년 5월 27일


‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify).’
팬데믹 이후 디지털 전환이 더욱 가속화되는 요즘, 아무도 믿지 말라는 뜻을 지닌 ‘제로 트러스트(ZeroTrust)’가 최적의 사이버보안 접근방식으로 부각되었습니다.

제로 트러스트 보안 모델은 사실 최근에 대두된 새로운 개념이 아닙니다. 이미 10여년 전, 모바일과 클라우드가 한창 확산되면서 조직의 내·외부 네트워크 경계가 허물어지던 시기에 등장했습니다. 2009년 포레스터리서치의 애널리스트인 존 킨더박(John Kindervag)이 처음 ‘제로 트러스트’란 용어와 개념을 보안에 접목해 사용했다고 하죠.

전통적인 사이버보안 접근방식을 흔히 ‘경계 보안(Perimeter security)’이라고 부릅니다. 방화벽을 놓고 네트워크를 드나드는 트래픽을 제어하면서 내·외부 네트워크를 구분했죠. 기업 내에 안전한 경계를 구축해 놓고 내부 네트워크 안에 있는 모든 것은 안전하다고 여겼습니다.

zero-trust-image1.jpg

마치 중세시대 성곽의 모습과 유사합니다. 이 시대 왕들은 높고 견고한 성벽을 쌓아 성 안에 사람들과 재산을 침략자들로부터 보호했습니다. 성을 두르고 있는 깊은 못인 '해자'도 만들었습니다. 성을 드나들 수 있는 방법은 성에서 해자 위로 내려오는 도개교(다리) 뿐입니다.

성벽과 해자로 ‘경계’를 치고 드나드는 사람을 통제하는 방식은 방화벽을 두고 그 안에 있는 시스템과 사용자를 보호하려는 전통적인 기업 네트워크 보안 방식과 똑같습니다. 만일 경계근무가 허술해지면, 그 틈을 타고 침략자가 성 안으로 들어와 큰 혼란을 일으킬 수 있습니다. 이들은 평범한 도성 안 사람들로 가장해 성 안으로 몰래 들어오게 되면 누구에게도 방해받지 않고 어디든 돌아다닐 수 있습니다.

이처럼 사용자들이 네트워크 경계 안에 있으면 누구도 신뢰할 수 있고 안전하며, 외부에 있으면 신뢰할 수 없다고 여겨왔습니다. 내부는 항상 안전하고 신뢰할 수 있는 영역이라고 가정하고 있는 상황에서 만약 공격자가 이미 경계 내부에 잠입해 있다면 어떻게 할까요? 그리고 조직의 사용자들이 외부에 나가 있을 경우에 기업의 애플리케이션과 데이터에 접근하려 한다면 악의적인 행위로 보고 연결할 수 없도록 막아야하는 것일까요?

제로 트러스트는 왜 필요한가.

업무 환경은 큰 변화가 일어나고 있습니다. 이제는 원격·재택 근무와 사무실 근무를 병행하는 하이브리드 방식을 채택하는 조직이 많아졌습니다.

직원들은 이제 늘 사무실에서 일하는 것이 아니기 때문에, 언제 어디서나 어떠한 디바이스로든 직원들이 기업 애플리케이션과 데이터에 접근해 편리하고 안전하게 업무를 할 수 있어야 합니다. 기업 애플리케이션과 데이터 역시 기업 데이터센터 내에만 있는 것이 아닙니다. 서비스형소프트웨어(SaaS)와 클라우드가 발전하면서 기업 네트워크든, 클라우드에 있든 어디에서든 안전하고 일관된 방법으로 접근하는 것이 중요합니다. 그 과정에서 중요 데이터 유출과 악성코드 감염과 전파를 막을 수 있도록 제어할 수 있어야 합니다.

제로 트러스트 : 오래된 것은 버리고 새로운 방식으로 채우기

조직의 하이브리드 근무 인력이 요구하는 대로 사용자가 어디에 있더라도 보다 유연하면서도 안전한 연결을 지원하려면 오히려 신뢰를 기반으로 하는 전통적인 ‘암묵적 신뢰(implicit trust)’ 개념에서 벗어나야 합니다.

전통적인 경계 보안 방식이 주류를 이루고 있던 시기에도 가상사설망(VPN)을 바탕으로 원격 접속이 지원됐습니다. 그런데 레거시 VPN은 과거의 성벽과 해자, 도개교의 개념과 매우 유사하게 작동합니다. 제로 트러스트 네트워크 액세스(ZTNA)는 직원이나 파트너가 접속해 협업하는데 부여돼 있는 ‘과도한 신뢰(excessive trust)’를 없애면서도 기존 VPN 기술을 보완·강화합니다.

ZTNA의 원칙 첫 번째는 앞서 언급한 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’입니다. 모든 사용자, 기기와 애플리케이션 세션은 완전히 검증될 때까지 신뢰할 수 없습니다.

두 번째는 ‘사용자 식별과 디바이스 검증(Identify users, validate devices)’입니다. 액세스 권한을 부여하기 전에 먼저 각 사용자의 아이덴티티(ID), 요청 컨텍스트(Context)와 각각의 디바이스 상태를 확인합니다.

‘적절한 정도의 액세스를 통한 보안(Secure just enough access)’도 필요합니다. 사용자에게는 작업을 수행하는데 필요한, 최소한의 액세스만 제공됩니다. 레거시 VPN처럼 광범위한 네트워크 액세스가 필요하지 않습니다.

‘지속적인 상태 재평가(Continuous posture re-evaluation)’로 사용자와 디바이스의 상태가 변경되면 액세스 권한도 바뀔 수 있게 적용돼야 합니다.

‘위치 독립성(Location independent)’ 보장도 중요합니다. 사용자가 접속한 위치나 애플리케이션의 위치에 관계없이 ZTNA는 똑같이 작동돼야 합니다.

zero-trust-image2.jpg

포티넷 ZTNA 사용 사례(Use Case)

디지털 혁신, 클라우드로의 이전, 장소에 구애 받지 않는 근무 환경 등과 같은 빠른 변화는 조직에는 보안 위험을, 사용자에게는 복잡성을 가중시켰습니다. 이러한 문제를 해결하고 제로 트러스트 필요성을 충족하기 위해 포티넷(Fortinet) ZTNA는 사용자에게 간단하고 직관적인 방식으로 제공되는 강력한 컨텍스트 인식 보안으로 도움을 줄 수 있습니다.

사용자와 조직이 얻을 수 있는 혜택

사용자들은 연결할 VPN이나 리소스가 있는 위치를 알 필요가 없습니다. 그 대신 사무실에 있을 때와 동일한 방법으로 애플리케이션에 액세스할 수 있습니다.

조직은 ZTNA 보안 정책을 쉽게 시행할 수 있습니다. 이에 필요한 포티넷 ZTNA 프록시가 포티OS(FortiOS) 7.0에 내장돼 있어 간단한 업그레이드만 하면 됩니다. 급작스럽게 전체 인프라를 대상으로 한꺼번에 적용하지 않아도 됩니다. 특정 사용자 그룹별로, 또는 애플리케이션을 대상으로 배포할 수 있습니다.

zero-trust-image3.jpg

 

적용 후에는 포트나 워크로드, 애플리케이션에 액세스 권한이 부여됩니다. 인증하지 않으면 보이지 않기 때문에 조직의 공격 표면(Attack Surface)이 감소되는 효과를 얻을 수 있습니다. 액세스(Conditional access) 권한은 조건부로 역할, 날짜, 시간, 위치, 디바이스 상태 같은 사용자 컨텍스트를 기반으로 부여합니다.

아이덴티티(ID) 컨텍스트가 실시간 변경되는 동적 컨텍스트 인식(Dynamic context awareness)이 지원됨에 따라 사용자의 권한(entitlement)도 변경됩니다. 마이크로 세그멘테이션(Micro-segmentation)이 적용돼 리소스에 대한 무단 액세스를 차단하며 그에 대한 가시성도 제공됩니다. 이에 따라 악의적인 공격자들이 수행하는 측면 이동을 방지(Prevent lateral movement)하는 보호 환경이 작동됩니다.

포티넷 ZTNA를 사용하면 재택·원격근무를 선택한 사용자들은 집이든 이동 중이든 기업 애플리케이션에 안전하게 액세스하면서 업무를 수행할 수 있습니다.

또한 엄격한 액세스 제어 정책을 유지하면서도 공급업체, 파트너, 인수한 회사 등과 같은 확장된 인력의 기업 리소스에 대한 액세스를 지원합니다. 

포티넷 (www.fortinet.com/kr)

포티넷은 어디에서나 사용자, 디바이스, 데이터를 보호한다는 미션 하에 모든 이들이 언제나 신뢰할 수 있는 디지털 세계를 구현하고 있다. 이것이 바로 세계 최대 기업, 서비스 제공업체, 정부 기관들이 디지털 여정의 안전한 가속화를 위해 포티넷을 선택하는 이유이다. 포티넷 시큐리티 패브릭(Fortinet Security Fabric) 플랫폼은 전체 디지털 공격 면에서 광범위하고 자동화된 통합 보안을 제공하여 중요한 장치, 데이터, 애플리케이션은 물론, 데이터 센터에서 클라우드, 홈 오피스와의 연결을 안전하게 보호한다. 또한, 포티넷은 가장 많은 보안 어플라이언스를 출하한 전세계 출하량 1위 업체로 전세계 565,000 개 이상의 고객을 확보하고 있다. 포티넷 TAA(Training Advancement Agenda)의 이니셔티브인 포티넷 NSE 트레이닝 인스티튜트(Fortinet NSE Training Institute)는 업계에서 가장 대규모의 광범위한 교육 프로그램을 제공하여 모든 이들이 사이버 교육과 새로운 커리어 기회를 얻을 수 있도록 지원하고 있다. 보다 자세한 사항은 www.fortinet.com 및 www.fortinet.com/kr, 포티넷 블로그포티가드랩에서 확인할 수 있다.

Copyright © 2022 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM. Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.