Zero trust security model
제로트러스트는 ‘아무것도 신뢰할 수 없다는 가정하에, 사용자 및 다양한 정보를 바탕으로 최소한의 권한과 세밀한 통제를 지속적으로 수행하는 보안 활동’ 이라고 이해할 수 있습니다. 이를 한마디로 표현하자면 ‘Never Trust, Always Verify’ 라고 할 수 있지 않을까요?
제로 트러스트 모델의 개념
제로 트러스트(Zero Trust)는 말 그대로 신뢰가 없다, 즉 '아무도 믿지 마라'라는 뜻입니다. 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략입니다. 앞서 전통적인 보안 시스템에서는 성문, 관문이라 불리는 보안 시스템을 통과해서 IT 시스템에 들어오게 되면 해당 사용자나 단말기는 보안 시스템을 통과했기 때문에 신뢰하는 사용자, 단말기로 인식을 하게 됩니다. 하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제입니다.
제로 트러스트 개념에서는 IT 시스템에 접근을 하기 위해서, 즉 접근 허가를 받기 위해서 먼저 사용자가 누구인지, 혹은 단말기가 안전한 허가를 받은 단말기인지, 그리고 어떤 접근 권한을 갖고 있는지 등 모든 유효성을 다 입증한 다음에 권한을 받아서 접근 허가를 수락하게 됩니다. IT 시스템에 접근하기 위해서만도 아니고 IT 시스템에 접속한 이후에 IT 시스템 안에서도 여러 시스템들이 존재하는데 각 시스템에 접근할 때마다 앞서 언급한 모든 유효성을 다 입증해야 합니다. IT 시스템 안에 존재하는 데이터를 사용할 때도 마찬가지입니다. 즉, IT 시스템에 들어왔다고 하더라도 그것으로 끝나는 것이 아니라는 얘기입니다.
이런 제로 트러스트 모델은 2010년 포레스터 리서치(Forrester Research) 보안위협팀의 존 킨더백(John Kindervag) 수석 애널리스트가 제안한 모델입니다. 이미 10년 전에 제안한 모델이 10년이 지난 지금에 다시 주목을 받고 있는 상황입니다. 그리고 현재 구글, 코카콜라, 웨스트젯 항공 등 다양한 기업에서 제로 트러스트 모델을 도입하여 보안 시스템을 구축하여 적용하고 있으며 미국 하원은 2013년 12월부터 2014년 5월까지 있었던 인사관리국(OPM) 시스템의 침해사고 이후 모든 정부 기관에 제로 트러스트 모델을 채택할 것을 권장하고 있습니다.