제로트러스트를 활용한 사이버 위협 선제적 대응 방안

1. 개요

사이버 위협이 고도화되고 비대면 원격 근무의 증가, 디지털 전환에 따른 환경 변화가 가속화됨에 따라 보안의 중요성은 더욱 커지고 있는 반면 전통적인 보안 아키텍처로 대응하기에 한계가 있습니다. 이에 ‘과학기술정보통신부’(이하 ‘과기부’)는 국내 기업들을 위한 사이버 위협 선제적 대응 방안에 대한 가이드를 발표했습니다. 이는 제로트러스트 기반의 기업 보안 전환이 필요함을 전달하고 있습니다.
‘과기부’에서 언급하는 침해사고 발생 3단계를 보면 전체 침해 과정을 3 영역으로 나누어 설명하고 있습니다.

 

사이버 공격 단계
[사이버 공격 단계] -과학기술정보통신부-

요약하면 ①인증을 우회하여 내부망 접속 후 ②관리시스템 등으로 접근 후 악성코드 유포 등의 행위를 하고 ③내부 DB로 접근하여 개인정보 등 데이터를 외부로 유출합니다.
이에 따른 대응 방안으로 제로트러스트 기반의 아키텍처를 적용하여 선제적으로 방어해야 한다고 말하고 있습니다.

2. 왜 제로트러스트인가?

디지털 전환, 비대면 등은 더 이상 경계 보안만으로 통제가 불가능하고 익명성이 높은 인터넷에서 유입되는 접근들 중 내부 직원들을 정확하게 식별할 수 있는 기술적 방안이 필요합니다. 제로트러스트 아키텍처는 “누구도 믿을 수 없다”는 기본 원칙에서 시작하기 때문에 확인된 사용자 ID라 하더라도 단순 인증만으로 권한을 허용하지 않습니다. 따라서 이는 모든 산업군(공공, 금융, 기업)에 동일하게 적용되야 할 과제입니다.

“누구도 믿지 못해! 당신이 사장이라 해도 난 못 믿어!” 에서 시작합니다. 그렇다면 어떻게 해야 할까요? 자신의 신원을 정확하게 증명하면 됩니다. 따라서 강력한 접근 인증 체계가 필요합니다. MFA(Multi Factor Authentication)을 통해 사용자와 단말을 식별해야 합니다. 여기서 지식기반(비밀번호)인증만으로는 탈취가 가능하므로 특성(생체), 소유기반(휴대폰 등)의 인증이 추가되어야 안전을 보장할 수 있습니다. 또한 접근하는 단말이 우리가 인가한 단말인지도 중요한 요소가 됩니다. 따라서 단말의 반출입을 관리하여 정상적으로 반출된 단말인지 확인할 수 있다면 보안을 한층 더 강화 시킬 수 있습니다.

인증을 거쳐 내부로 접속했다면 여기서 멈출 수 없습니다. 접속한 사용자에게 제공되는 권한은 최소로 유지해야 합니다. 권한에 따른 접근 허용을 최소로 해야 불필요한 시스템 접속을 예방할 수 있습니다. “늦은 시간에 영업부 김대리가 왜! 방화벽에 접속을 시도한 거야?” 와 같은 업무 역할과 전혀 상관없는 접속은 확인하고 미리미리 차단해야 합니다.

제로트러스트 아키텍쳐는 항상 모든 것(사람, 단말, 애플리케이션 등)을 리소스로 간주하고 모니터링해야 한다는 원칙이 있습니다. 따라서 김대리와 같은 행동은 지속적인 모니터링을 통해 탐지될 수 있으며, 위반 사항에 따른 적절한 대응이 이루어져야 합니다.
최종적으로 인가된 사용자 및 단말들의 행동 이력은 관리되고 주요 데이터 접근에 대한 이상징후를 식별하고 추적함과 동시에 악성코드 유입 및 데이터 유출에 대한 행위분석을 통해 탐지 및 대응할 수 있어야 합니다.

3. Genian ZTNA가 제안하는 위협에 대한 선제적 대응 방법

지능화되는 위협과 경계 구분없이 확장되는 업무 영역, 디지털 전환에 따른 원활한 비즈니스를 지속시킬 수 있도록 Genian ZTNA가 그 해법을 제공합니다.

① 제로에서 시작하는 강력한 인증과 안전한 네트워크 체계

- 강력한 인증을 위한 다양한 인증 방식 필요
- FIDO, SAML, OAuth, OTP, IDaaS 연동
- VPN 기술을 통한 통신 보호

지니안 ZTNA 인증방식
사용자 관점에서 번거로움 없이 지문 인증만으로 모든 정책을 적용 받고 VPN이 연결되어 안전한 통신을 쉽게 진행할 수 있습니다.

 

② 접속하는 모든(사람, 단말)에 대한 통제, 관리 체계

- 접속하는 단말의 무결성 보장
- 인사, 자산 DB연동을 통한 인가된 자산의 식별
- RADIUS CoA / Mirror 를 이용한 교정, 통제

ZTNA 단말 통제

인증이 완료된 후라도 접속하는 단말을 추가 제어하고 싶다면 인가된 단말을 식별할 수 있도록 자산 데이터 베이스와 연동을 통해 식별하고 비인가 단말 또는 단말의 컴플라이언스 위반이 있을 시 RADIUS CoA(Change of Authorization) 또는 Mirror 센서를 이용해 접근 통제가 가능 합니다.

 

③ 중요 데이터 유출, 악성코드 식별 및 이상징후 식별, 모니터링 체계

- EDR(Endpoint Detection & Response)의 행위 분석
- 악성행위 및 이상징후 식별

ZTNA EDR

강력한 인증을 통해 정상적으로 접속한 사용자는 내부 업무 PC(또는 VDI)를 통해 업무를 진행하게 됩니다. 그러나 자신도 모르게 발생할 수 있는 악성코드 유포, 실행 행위 등 이상징후가 발생할 경우 EDR(Endpoint Detection & Response)에 의해 분석되고 탐지되며, Genian ZTNA에 의해 통제 및 교정될 것입니다.

 

④ 다양한 보안 시스템과 식별 정보 공유 및 자동 대응 체계

-  위협행위 식별 정보를 SIME 또는 SOAR 연계하여 대응 체계 구현

ZTNA 연계, 공유

계속해서 진화되는 위협이 생겨나고 공급망 취약점들이 지속적으로 발견되기 때문에 단일 솔루션솔루 모든 것을 대응하기란 불가능할 수 있습니다. 따라서 각 솔루션들의 장점을 모아 협업할 수 있는 광범위한 위협 대응 체계를 구축하는 것이 더 안전할 수 있습니다. ZTNA를 통해 정확하고 안전한 접속과 EDR을 통해 이상행위를 탐지하고, 모든 상황을 모니터링하고 신속하게 대응할 수 있는 SIME 또는 SOAR 등과의 협업으로 광범위한 위협 대응을 실현할 수 있습니다.

 

4. 마무리

이미 세계 여러 나라들은 변화된 환경과 디지털 전환에 적합한 새로운 형태의 업무 방식과 그에 적합한 보안 서비스를 채택하고 있습니다. Cloud의 이전, SaaS 등의 사용이 두드러지게 증가되면서 보안의 대안으로 SASE(또는 SSE)의 선택이 자연스럽게 이어지는 추세입니다. 이처럼 변화의 흐름에 맞춰 업무 방식이나 사이버 보안의 형태가 진화되고 그 기반에는 Zero Trust Network Architecture를 따르고 있습니다.

이미 미국 연방정부는 대통령령에 따라 2025년까지 모든 정부기관이 제로트러스트 기반으로 전환해야 한다고 시행령(Executive Office of the President, 2022년 1월)을 발표하였습니다. 그에 맞춰 NIST(미국국립표준기술원구원)는 제로트러스트 아키텍처와 제로트러스트 7가지 원칙을 발표한바 있습니다.

Genian ZTNA는 제로트러스트 7대 원칙을 준수하며 강력한 보안을 제공하기 때문에 사이버 위협의 선제적 대응을 위한 초석으로 사용될 수 있습니다.

 


ZTNA 관련 정보 더 알아보기

ZTNA 제품 소개   뉴스레터 구독