제로 트러스트 도입을 위한 기법 및 기술 고려 사항

CTO실 보고서

제로 트러스트 도입을 위한 기법 및 기술 고려 사항

  • Share to Facebook
  • Share to X
  • Share to Linkedin
  • Share to email
  • Share via AddThis
작성자: Mudit Tyagi, Ken Arora
"왜"에서 출발하여 확장하는 기본 원칙1, 제로 트러스트의 "왜"에서 시작해 다음 관심사는 이러한 원칙을 구현하는 데 사용되는 기법과 기술인 "어떻게"입니다.

가장 넓은 관점에서 제로 트러스트 원칙은 시스템 설계, 사용되는 하드웨어 플랫폼, 조달 절차를 포함한 전체 어플리케이션 개발 수명주기에 적용될 수 있습니다.2 그러나 이 백서에서는 런타임에 어플리케이션과 데이터를 보호하기 위한 제로 트러스트 구현의 운영 측면에 대해 설명합니다.

기법과 기술

일반적으로 제로 트러스트 보안은 세 가지 목표 중 하나를 달성하기 위해 기술을 사용합니다.

  1. 트랜잭션 제약 조건 적용: 누가 누구에게 무엇을 할 수 있는가?
  2. 시스템 운영자에게 상황 인식 기능을 제공합니다.
  3. 머신 러닝(ML)으로 지원하는 의심 지표와 해당 트랜잭션의 위험-보상 프로필을 기반으로 고급 위험 감소/정비를 수행합니다.

다음 그래픽은 이러한 전체 제로 트러스트 보안 트랜잭션 모델을 보여 주며, 다음 섹션에서는 각 기술 클래스에 대해 자세히 설명합니다.

그림 1: 제로 트러스트 보안 트랜잭션 모델.

시행: 인증 및 액세스 제어

동기

처음 두 가지 기술인 인증과 액세스 제어는 "누가 무엇을 할 수 있는지"를 시행하는 데 핵심이 되는 기술이기 때문에 밀접하게 관련되어 있으며 "명시적으로 확인"과 "최소 권한"이라는 원칙에 직접적인 동기를 부여합니다. 보다 정교한 인증 구현은 행위자의 지속적인 행동을 관찰하여 "지속적으로 평가"하는 사고방식을 사용합니다.

인증

인증 기술은 거래 당사자라는 검증된 신원에 대한 신뢰를 구축하는 것입니다. 인증 프로세스에는 세 가지 구성 요소가 있습니다.

  1. 행위자의 신원을 명시하는 행위자의 진술 또는 주장이 있는 경우.
  2. 일반적으로 행위자가 제공하는 일부 데이터는 증명의 진실성을 입증할 수 있는 증거가 됩니다.
  3. 시스템은 인증이 올바른지, 즉 행위자가 자신이 주장하는 사람인지에 대한 판단 또는 결정을 내립니다. 아래 그래픽은 인증의 다양한 측면과 각 측면에 대한 성숙도 모델을 보여주고 있으며, 각 측면에 대한 자세한 논의가 이어집니다.

다이어그램

그림 2: 제로 트러스트 보안 인증 성숙도 모델

증명

가장 기본적인 증명 형식을 흔히 "사용자"라고 합니다. 즉, 트랜잭션을 수행하려는 사람 또는 사람을 대신하여 행동하는 에이전트입니다. 그러나 응용프로그램 내에서 제로 트러스트가 사용되는 경우 작업량(예: 프로세스, 서비스 또는 컨테이너)이 행위자일 수 있으므로 일반화된 신원 개념에는 이러한 행위자가 포함되어야 합니다. 다른 경우에, 누가라는 개념은 인간이나 워크로드뿐만 아니라 신원에 대한 추가적인 고려사항이나 차원을 포함합니다. 이러한 관점에서 ID의 추가 차원에는 사용자/워크로드의 장치 또는 플랫폼, 상호 작용 또는 에이전트의 위치에 사용되는 에코시스템 등이 포함될 수 있습니다. 예를 들어, 사용자 "Alice"는 IPv4 주소 10.11.12.13에서 원본으로 제공되는 특정 지문 브라우저 인스턴스를 사용하여 "ABC-0001"로 태그가 지정된 PC에 있을 수 있습니다.

신원 증명

일부 시스템에서는 "게스트" 또는 "익명" 사용자라고도 하는 인증되지 않은 사용자가 제한된 범위의 트랜잭션을 수행할 수 있도록 허용합니다. 이러한 시스템에서는 신원을 증명하는 추가 단계와 시스템에서 판결을 내리는 것은 관련이 없습니다. 그러나 특정 신원이 증명된 경우에는 일반적으로 다음 방법이 해당 증명을 지원하기 위해 사용됩니다.

  • 비밀번호와 같은 공유 비밀에 대한 지식.
  • 서명된 인증서와 같이 신뢰할 수 있는 제3자가 제공하는 일종의 자격 증명.
  • 사용자, 워크로드 또는 플랫폼에 대한 자동화된(예: 장치 지문) 또는 능동적인(예: 보안 문자 질문) 심문.
  • 지리적 위치, IP 평판, 접속 시간 등 행위자와 관련된 메타데이터.
  • 수동 생체 인식 분석 또는 어플리케이션 상호 작용의 워크플로 패턴과 같은 행동 분석.

높은 수준의 신뢰도가 필요한 경우 여러 가지 방법을 사용하는 경우가 많습니다. 이는 Google BeyondCorp 모델에서 확인할 수 있습니다.3 더 높은 가치의 거래를 허용하기 전에 다단계 인증(MFA)이 필요합니다. 더 정교한 인증 솔루션은 각 ID에 '신뢰도'를 연결하고 거래의 가치와 위험에 따라 각 거래 유형에 대한 최소 신뢰도 수준을 지정합니다.

정적 인증과 동적 인증

마지막으로, 이러한 방법 중 일부는 정적인 일회성 조치가 아니라 '지속적 평가' 원칙에 따라 진행 중일 수 있으며 진행되어야 합니다. 이러한 경우 신원 증명에 할당된 신뢰 점수는 시간이 지남에 따라 증가하거나 감소할 수 있습니다. 예를 들어, 단일 사용자 세션 내에서 브라우저 지문 또는 IP 주소가 변경되어 의심스러운 것으로 간주되어 신뢰 점수가 감소할 수 있고, 세션에서 행위자의 행동에 대한 데이터가 수집되면 현재 행동이 과거 관찰과 어떻게 비교되는지에 따라 신뢰 점수가 증가하거나 감소할 수도 있습니다.

동적 인증은 고급 시스템에서 액세스 제어와 함께 사용할 수 있습니다. 이러한 상호 작용의 첫 번째 단계로 액세스 제어 정책은 앞서 언급한 것처럼 다양한 트랜잭션 클래스에 대한 최소 신뢰 점수를 지정할 수 있습니다. 다음 단계의 상호 작용을 통해 액세스 제어 하위 시스템은 일반적으로 신뢰 점수를 최소 임계값으로 높이기 위해 추가 인증을 요청하는 등 인증 하위 시스템에 피드백을 제공할 수 있습니다.

액세스 제어

인증 기술을 사용하여 트랜잭션의 행위자가 누구인지 확인했다면, 다음 질문은 해당 행위자가 무엇을 할 수 있는지, 그리고 누구에게 허용되는지입니다. 이는 액세스 제어 기술의 영역입니다.

물리적 보안에 비유하자면, 군사 기지를 방문하고 싶다고 가정해 보겠습니다. 경비원이 여러분이 민간인인지, 정치인인지, 군인인지 확실하게 판단한 후, 그 판단을 바탕으로 출입이 허용되는 건물과 출입이 허용될 수 있는 각 건물에 카메라를 가져갈 수 있는지 여부를 결정합니다. 이러한 선택에 적용되는 정책은 매우 포괄적으로 모든 건물에 적용되거나(예: "정치인은 모든 건물 출입 가능") 더 세분화될 수 있습니다(예: "정치인은 건물에만 출입할 수 있지만 에는 카메라만 가져올 수 있음").

즉, 최적의 접근 제어 정책은 행위자가 필요로 하는 권한만 정확히 허용하고 그 외의 모든 권한은 허용하지 않는 것입니다. 또한, 이상적인 강력한 정책은 행위자 신원의 진위 여부에 대한 특정 최소 신뢰 수준을 조건으로 하며, 신뢰 임계값은 허용된 각 권한의 세부 수준에서 지정됩니다.

따라서 액세스 제어 솔루션의 가치는 이러한 이상에 얼마나 부합하는지에 따라 판단할 수 있습니다. 특히 제로 트러스트 보안 솔루션에는 접근 제어가 포함되어야 하며, 아래에 설명된 기준에 따라 접근 제어 기술을 평가하고 그 이후에 설명해야 합니다.

다이어그램

그림 3: 제로 트러스트 보안 액세스 제어 성숙도 모델
  1. 액세스 제어 권한은 얼마나 세분화되어 있는가?
  1. 작업의 세부 사항(트랜잭션의 내용)이 무엇인가?
  1. 2진법: "모든" 트랜잭션을 허용하거나 "허용하지 않음". 군사 기지에 비유하면 "모든 군인은 모든 건물에 들어갈 수 있고 원하는 것은 무엇이든 할 수 있음"과 "민간인은 어떤 건물에도 들어갈 수 없음"에 해당합니다.
  2. 세분화: API 엔드포인트 또는 트랜잭션의 '유형'(예: 파일 I/O, 네트워크 통신, 프로세스 제어)으로 세분화합니다. 이 예에서는 "정치인은 건물에 들어갈 수는 있지만 사진을 찍을 수는 없습니다."와 같이 허용되는 행동에 대한 미묘한 수준의 차이를 허용합니다.
  3. 미세: 하위 API(즉, API의 매개변수 또는 버전에 따라 달라짐) 또는 트랜잭션의 '하위 유형'(예: 파일 I/O 읽기 전용 또는 TCP 수신 전용)에서. 다시 한 번 비유하자면, "민간인은 군인을 동반한 경우에만 건물에 들어갈 수 있습니다."와 같이 세밀하게 제어할 수 있는 것입니다.
  1. 작업의 대상, 즉 거래에서 누구를 대상으로 할지 세분화되어 있는가?
  1. 대상이 세분화되지 않음: 액세스 제어 정책에서 작업 대상을 고려하지 않습니다. 이 예에서 이 접근 방식은 일부 건물에는 출입을 허용하지만 다른 건물에는 출입을 허용하지 않는 세분화, 즉 '출입' 작업의 대상이 되는 건물에 매핑될 수 있습니다.
  2. 대상이 세분화된, 인프라 수준: 액세스 제어 정책에는 조치 대상을 포함할 수 있지만 대상에 대한 IP 주소, DNS 이름 또는 Kubernetes(K8S) 컨테이너 이름과 같은 일부 인프라별 태그/레이블을 사용합니다. 이렇게 하면 정책을 건물 단위로 설정할 수 있지만 모든 군 기지는 건물에 대해 다른 명명 규칙을 사용할 수 있습니다.
  3. 대상 세분화, 신원 인식: 액세스 제어 정책에는 행위자(Who)에 사용된 것과 동일한 신원 이름 공간(예: SPIFFE)을 사용하여 대상을 식별하는 행위 대상이 포함될 수 있습니다. 이전 접근 방식에 비해 이점은 모든 군사 기지에서 건물 식별 방식에 일관된 체계를 사용하여 정책의 이식성을 높일 수 있다는 점입니다.
  1. 액세스 제어 솔루션은 덜 위험한 행동과 더 위험한 행동의 개념을 어떻게 다루는가?
  1. 위험 인식 미흡: 액세스 제어 솔루션은 모든 액세스 제어 권한을 허용 또는 불허 결정과 관련하여 동일하게 취급합니다.
  2. MFA를 통한 위험 관리: 액세스 제어 솔루션은 정책에 따라 허용된 일부 트랜잭션에 대해 트랜잭션에 관련된 행위자(누구), 작업(무엇) 또는 대상(대상자)에 따라 여전히 다단계 인증을 사용하도록 지정할 수 있도록 하여 위험을 관리합니다.
  3. 신뢰도를 통한 위험 관리: 접근 제어 솔루션은 정책에 거래의 행위(무엇) 및 대상(대상자)에 따라 행위자의 진위 여부에 대한 최소한의 신뢰 수준을 요구할 수 있도록 지정하여 위험을 관리합니다. 다른 수단을 사용할 수 있지만 MFA는 신뢰도를 높일 수 있으며, 거래의 가치가 높고 행위자의 진위가 충분히 불확실한 경우 거래가 전혀 허용되지 않을 수도 있습니다.

"지속적으로 평가하고 재평가한다"는 원칙에 따라 행위자의 신빙성에 대한 믿음은 시간이 지남에 따라 조정되어야 합니다. 간단한 솔루션에서는 단순히 타임아웃을 설정할 수 있지만, 보다 정교한 시스템에서는 시간 경과에 따른 행위자의 행동 관찰에 따라 신뢰도가 달라질 수 있습니다.

상황 인식: 가시성 및 ML 지원 컨텍스트 분석 동기 부여

인증과 액세스 제어가 "항상 확인"과 "최소 권한"이라는 사고방식의 구현이라면, 가시성과 상황 분석은 "지속적으로 평가"와 "위반 가정"이라는 원칙의 기반입니다.

가시성은 분석의 필수 전제 조건이며, 시스템은 볼 수 없는 것을 완화할 수 없습니다. 따라서 제로 트러스트 보안 솔루션의 효율성은 시스템 운영 및 외부 컨텍스트에서 수집할 수 있는 텔레메트리의 깊이와 폭에 정비례합니다. 그러나 최신 가시성 인프라는 사람의 도움을 받지 않는 합리적인 사람이 적시에 처리할 수 있는 것보다 훨씬 더 유용한 데이터, 메타데이터 및 컨텍스트를 제공할 수 있습니다. 더 많은 데이터와 그 데이터를 더 빠르게 통찰력으로 추출하는 능력에 대한 요구로 인해 인간 운영자를 위한 기계 지원은 핵심 요구 사항으로 자리 잡고 있습니다.

이러한 지원은 일반적으로 규칙 기반 분석에서 통계적 방법, 고급 머신 러닝 알고리즘에 이르기까지 다양한 범위의 자동화된 알고리즘을 사용하여 구현됩니다. 이러한 알고리즘은 원시 데이터의 소방 호스를 인간 운영자가 평가하고 필요한 경우 수정하는 데 사용할 수 있는 소모적이고 운영화된 상황 인식으로 변환하는 역할을 담당합니다. 이러한 이유로 ML 지원 분석은 가시성과 함께 진행됩니다.

원시 데이터(가시성)에서 조치(수정)에 이르는 일반화된 파이프라인은 아래와 같습니다.

다이어그램

그림 4: 문제 해결 파이프라인을 위한 제로 트러스트 가시성

가시성

가시성은 "지속적으로 평가"하는 제로 트러스트 원칙의 구현, 즉 "방법"입니다. 여기에는 사용 가능한 데이터 입력의 인벤토리 유지(카탈로그), 실시간 텔레메트리 및 과거 데이터 보존(수집)이 포함됩니다.

제로 트러스트 가시성 구현의 성숙도는 다음 네 가지 요소를 고려해야 합니다.

  1. 지연 시간: 데이터가 실시간에 얼마나 가까운가?

지연 시간은 잠재적 위협에 얼마나 빨리 대응할 수 있는지에 대한 하한선을 제공합니다. 제로 트러스트 솔루션의 지연 시간은 초 단위 이하로 측정되어야 하며, 그렇지 않으면 아무리 정확하더라도 데이터 유출/암호화 또는 리소스 고갈로 인한 사용 불가와 같은 악용의 영향을 막기에는 분석이 너무 늦을 가능성이 큽니다. 보다 정교한 시스템에서는 동기식 및 비동기식 완화를 모두 사용할 수 있습니다. 동기식 완화는 완전한 가시성과 분석이 완료될 때까지 트랜잭션 완료를 억제합니다. 동기식 완화는 트랜잭션에 지연 시간을 추가할 수 있으므로 이 운영 모드는 특히 비정상적이거나 위험한 트랜잭션에 예약하고 다른 모든 트랜잭션은 텔레메트리를 보내고 비동기로 분석할 수 있도록 허용하는 것이 좋습니다.


  1. 소비 가능성: 데이터를 얼마나 쉽게 소비할 수 있는가?

이 우려는 데이터가 여러 소스 또는 유형의 데이터 센서에서 수신되는 경우(일반적인 시나리오)와 관련이 있습니다. 이 요소는 일반적으로 두 가지 하위 우려로 나뉩니다.

  • 구문 수준에서는 데이터를 추출하고 표현할 수 있는 방법입니다. 예를 들어, 소스 IP 평판이 한 소스의 syslog 메시지에서는 텍스트 필드('악성', '의심', '알 수 없음' 등)로, 다른 소스의 데이터 파일에서는 숫자로 이진 인코딩된 필드로 도착하는 경우 표준 표현을 구분해야 합니다. 들어오는 데이터를 해당 표현으로 추출하고 변환하려면 데이터 직렬화가 필요합니다.
  • 의미적 수준에서는 소스마다 구문과 전송 방식뿐만 아니라 의미도 다를 수 있습니다. IP 평판의 예를 다시 사용하면, 한 제공업체는 위협 점수를 숫자로 제공하는 반면 다른 제공업체는 IP를 'TOR 노드', 'DNS 제어', '피싱' 등의 버킷으로 분류할 수 있습니다. 가시성 솔루션은 또한 수신 데이터를 일관된 구문으로 정규화하는 메커니즘을 제공해야 합니다.
  1. 완전성: 사용 가능한 데이터의 폭과 깊이는 어느 정도인가?

고품질 가시성 솔루션에서 얻을 수 있는 중요한 가치 중 하나는 위반 가능성을 나타내는 지표로서 의심스러운 활동을 발견할 수 있는 능력입니다. 이를 효과적으로 수행하려면 솔루션이 애플리케이션 제공의 모든 관련 "계층"(애플리케이션 자체는 물론 애플리케이션 인프라, 네트워크 인프라, 애플리케이션에 적용되거나 사용되는 모든 서비스, 심지어 클라이언트 디바이스의 이벤트)에 대한 텔레메트리를 받아야 합니다. 예를 들어, 이전에 본 적이 없는 새 장치에서 들어오는 사용자를 식별하는 것 자체가 약간 의심스러울 수 있지만, 네트워크 정보(예: 외국의 GeoIP 매핑)와 결합하면 의심 수준이 더 높아집니다. 이 의심 수준은 사용자의 신원에 대한 낮은 신뢰 점수로 나타납니다. 제로 트러스트 보안 정책의 맥락에서 이 행위자가 고액 거래(예: 외국 계좌로의 자금 이체)를 시도할 때 액세스 제어 솔루션은 낮은 신뢰도를 기반으로 거래를 차단하도록 선택할 수 있습니다.

제로 트러스트 사고방식과 관련하여, 가시성 솔루션이 더 깊고 완벽할수록 시스템이 트랜잭션을 적절히 제한하고 위반을 탐지하는 데 더 효과적일 수 있습니다.

  1. 거버넌스: 법적 및 라이선스 기반 데이터 사용 요건이 얼마나 잘 지원되는가?

마지막으로, 모든 데이터 수집은 데이터의 보안, 보존 및 사용과 관련된 법적 및 라이선스 요건을 준수해야 합니다. 따라서 강력한 가시성 솔루션은 이러한 각 요구 사항을 해결해야 합니다. 거버넌스에 내포된 데이터 사용에 대한 제약을 제로 트러스트 가시성 솔루션에 고려해야 합니다. 예를 들어, IP가 개인 식별 정보(PII)로 간주되는 경우 분석을 위한 IP 주소의 사용 및 장기 보존은 IP 주소의 허용 가능한 사용에 부합해야 합니다.

기계 지원을 통한 상황별 분석

가시성 외에도 '지속적인 평가'를 구현하는 데 필요한 다른 기계는 의미 있는 평가를 수행하는 데 필요한 분석 도구, 즉 제로 트러스트 솔루션으로 운영할 수 있는 평가를 갖추는 것입니다.

분석 시 고려해야 할 사항 중 하나는 입력 데이터의 범위와 폭입니다. 분석 알고리즘에 대한 입력은 단일 소스의 단일 데이터 스트림으로 제한되거나 다양한 데이터 소스와 인프라 및 어플리케이션의 모든 계층을 포함한 여러 스트림에 걸쳐 살펴볼 수 있습니다.

  • 가장 기본적인 컨텍스트화는 단일 "유형" 또는 "스트림" 데이터(예: "시간 및 소스 IP 주소가 포함된 사용자 로그인 정보" 이벤트 스트림)의 범위 내에서 이루어지며, 일반적으로 여러 사용자의 과거 컨텍스트 및/또는 데이터를 포함합니다. 이러한 분석을 통해 "이 사용자 는 이 시간대에 로그인한 적이 없음" 또는 "이 사용자 는 항상 다른 사용자 바로 다음에 로그인하는 것으로 보입니다." 전자는 신원에 대한 신뢰를 떨어뜨릴 수 있으며 후자는 악의적인 상위 수준의 패턴을 나타낼 수도 있습니다.
  • 고급 컨텍스트화는 단일 "유형" 데이터에 대한 시간 기반 및 다중 인스턴스 범위를 고려할 뿐만 아니라 다양한 "유형" 또는 "스트림" 데이터에 대한 시간 상관관계를 수행합니다. 예를 들어 사용자 로그인 데이터를 어플리케이션 계층(송금 또는 이메일 연락처 업데이트 등) 또는 네트워크 계층(IP 기반 지리적 위치 조회 등)에서의 특정 작업과 연관시키는 것이 있습니다.

제로 트러스트 프레임워크에서 분석의 두 번째로 특히 중요한 측면은 수집되는 데이터의 양과 속도를 다루는 것으로, 이는 사람이 소화할 수 있는 능력을 초과합니다. 따라서 사람이 소화할 수 있는 인사이트를 형성하기 위해서는 일종의 기계 지원이 필요합니다. 다시 한 번, 지원의 정교함은 발전이라고 설명할 수 있습니다.

  • 시각화만: 첫 번째 단계는 일반적으로 관리 포털에서 사용할 수 있는 대시보드를 통해 통계와 이벤트를 단순 표시하는 것입니다. 표시되는 데이터는 수집된 데이터 스트림(일반적으로 시계열 또는 고정된 기간 내의 사용자/거래에 대한 종단면)을 기반으로 합니다. 고급 대시보드에서는 데이터를 정렬 및 그룹화하고 필터링을 통해 드릴다운하는 기능을 제공합니다. 이 모델에서는 사람이 모든 데이터 탐색, 이벤트 우선순위 지정, 분석 및 수정을 수행하며, 자동화는 주로 데이터 탐색을 돕습니다.
  • 시각화에 구성 가능한 정적 규칙 추가: 시각화의 가장 일반적인 다음 확장 기능은 경고 또는 해결을 위해 사람이 정적으로 지정된 규칙을 정의할 수 있도록 하는 기능입니다. 이러한 규칙의 예로는 "<5분 동안CPU부하가 80%를 초과하면 John에게알림>" 또는 " [Y]가 호출되고 국가가 [미국]이 아닌 경우 이메일을 통한 MFA 필요>"가 있습니다. 이러한 규칙은 솔루션 공급업체가 지정한 사전 정의된 규칙으로 제한되거나 고급 규칙 기반 하위 시스템에서 SecOps 엔지니어가 작성한 사용자 정의 규칙도 허용할 수 있습니다. 어떤 경우든 적용되는 규칙은 일반적으로 설정을 통해 제어(및 필요한 경우 정의)합니다.
  • 시각화 및 머신 러닝 지원: 다음 단계에서는 이전에 식별된 악성 거래의 패턴과 일치하는 행동 이상 및/또는 트랜잭션을 찾는 고급 기술을 사용합니다. 사용되는 기술은 다양하지만(기술 및 비즈니스 장단점에 대한 자세한 논의는 이 백서에서 다루지 않음) 고려해야 할 몇 가지 핵심 사항이 있습니다.
  • 사람의 노력 필요: 일부 머신 러닝 기법에는 '학습'(지도 학습이라고도 함)이 필요하며, 이는 신뢰할 수 있고 신뢰할 수 있는 '분류자'를 사용하여 적당한 크기의 데이터를 미리 분류해야 함을 의미합니다. 신뢰할 수 있는 분류를 위해서는 '분류자'가 결국 사람 또는 사람들이 되는 경우가 많습니다. 이러한 경우 필요한 사람의 노력을 고려해야 합니다. 다른 기술(비지도 학습이라고 함)은 사람의 노력 없이 스스로 이상 징후를 감지하거나 패턴을 인식합니다.
  • 설명 가능성: 머신 러닝 시스템의 출력은 입력 데이터를 모델에 대해 평가한 결과입니다. 이 모델은 "이 사용자는 지난 한 달 동안 이 장치에서 본 적이 있습니까?"와 같이 대답하기 쉬운 간단한 질문을 기반으로 할 수도 있고, "이 사용자는 근무 시간 동안 로그인하지 않는 사용자의 일반적인 패턴에 속합니다"와 같이 쉽게 설명할 수 있는 유사성을 기반으로 할 수도 있습니다. 다른 경우에는 모델이 입력 데이터에 복잡한 벡터 대수 연산 집합을 적용하여 쉽게 식별할 수 없는 높은 수준의 로직을 기반으로 할 수도 있습니다. 마지막 경우는 앞의 두 예보다 분명히 설명하기 어려운 "블랙박스"입니다. 어떤 경우에는 사람의 이해 또는 감사 가능성을 위한 중요한 요소로서 설명 가능성이 있습니다. 그러한 경우에는 설명할 수 없는 모델보다 설명 가능한 모델을 강력하게 선호하게 됩니다.
  • 신뢰도 점수 가용성: 앞서 언급했듯이 모델이 의사 결정에 대해 얼마나 확신하는지를 나타내는 지표, 즉 오탐 또는 오탐의 상대적 가능성을 나타내는 지표는 종종 매우 유용합니다. 일부 알고리즘은 신뢰도 지표 출력이 자연스럽게 나오지만 규칙 기반과 같은 다른 알고리즘의 경우 신뢰도 수준을 출력 중 하나로 명시적으로 지정해야 합니다. 어느 경우든 신뢰도 점수를 제공할 수 있는 알고리즘이 그렇지 않은 알고리즘보다 더 강력합니다.

규칙 기반 접근 방식과 마찬가지로 ML 지원은 탐지 전용일 수도 있고 자동 수정과 연결될 수도 있습니다. 또한 ML 지원은 규칙 기반 시스템과 함께 사용할 수 있으며, 여기서 ML "평결"(또는 의견 또는 신뢰도)을 규칙의 입력으로 사용할 수 있습니다. 예를 들어 과 같습니다.

이스케이프 처리: 자동화된 위험 기반 문제 해결

제로 트러스트 사고방식의 마지막 원칙은 "침해를 가정하는 것"입니다. 명확히 하고 관점을 제시하자면, 적절하게 구현된 인증 및 접속 제어 방법은 압도적으로 많은 악성 거래를 방지하는 데 효과적입니다. 그러나 지나친 편집증으로 인해 인증 및 접속 제어의 시행 메커니즘이 충분한 동기나 운이 좋은 공격자에 의해 패배할 것이라고 가정해야 합니다. 이러한 탈출에 적시에 대응하는 데 필요한 침해를 탐지하려면 가시성과 기계 지원 분석이 필요합니다. 따라서 다른 시행 메커니즘이 때때로 패배하기 때문에 ML 지원 상황 분석을 제공하는 가시성 기술이 위험 기반 치료의 제로 트러스트 보안 백스톱 솔루션에 필수적으로 요구됩니다.

다이어그램

그림 5: 제로 트러스트 위험 인식 문제 해결

실제 악성 거래가 인증 및 접근 제어를 통과한 "오탐지" 사례의 경우, 자동화된 위험 기반 교정 메커니즘을 백스톱으로 사용해야 합니다. 그러나 이 기술은 이전 시행 검사를 통과한 거래에 대한 백스톱으로 적용되기 때문에, 실제로는 '진짜 탐지'(유효하고 바람직한 트랜잭션)이었던 것을 '오탐지'(악성 트랜잭션로 잘못 플래그 지정)로 잘못 표시할 우려가 높습니다. 이러한 문제를 완화하려면 인증 또는 접근 제어에서 어떻게든 포착되지 않은 악성 가능성이 있다는 믿음으로 트리거된 모든 교정 작업은 다음 3가지 요소를 기반으로 수행해야 합니다.4

  • 트랜잭션의 비즈니스 가치: 트랜잭션마다 위험과 보상의 수준이 다릅니다. 예를 들어, 은행 계좌를 조회하는 거래는 해외 계좌로 돈을 이체하는 트랜잭션보다 위험도가 낮습니다. 마찬가지로, 항공사의 경우 항공권을 구매하는 것이 현재 항공편 지연 정보를 나열하는 트랜잭션에 비해 비즈니스 보상이 더 높은 트랜잭션일 가능성이 높습니다. 비즈니스 가치는 트랜잭션의 위험 프로필과 비교하여 잠재적인 비즈니스 보상의 이점을 평가한 것입니다. 비즈니스 가치가 높은 고보상/저위험 트랜잭션에 비해 투기적 수정을 통해 낮은 보상/고위험 트랜잭션에서 발생하는 '잘못된 긍정적' 효과를 용인하는 것이 더 허용됩니다.
  • "악의적"이라는 믿음에 대한 신뢰: 물론 투기적 수정에 대한 모든 제안이 동일한 것은 아닙니다. 특히 위에서 언급한 위험 보상 외에도, 행위자의 신원 증명에 대한 신뢰와 같이 해당 트랜잭션과 관련된 믿음에 대한 신뢰가 또 다른 핵심 요소입니다. 대략적으로 말하면, "오탐지" 가능성, 즉 집행 메커니즘이 작동하지 않았지만 작동했어야 하는 확률은 행위자에 대한 신뢰와 반비례합니다. 그리고 "오탐지"를 줄이는 것이 위험 기반 수정의 목표이므로 신뢰가 낮을수록 시스템은 수정 적용에 더욱 편향되어 있어야 합니다.
  • 수정 조치의 영향: 마지막으로, 모든 교정이 허용 또는 차단과 같은 이진법적 결정인 것은 아닙니다. 실제로 사용자가 볼 수 있는 일부 기술(예: 추가 자격 증명/MFA 요청, Captcha 등의 과제 제시)부터 사용자가 거의 볼 수 없는 다른 기술(DLP와 같은 심층적인 트래픽 검사 수행 또는 보다 고급/컴퓨팅 집약적인 분석 수행)까지 다양한 위험 감소 기술이 가능합니다. 따라서 사용자가 경험하는 마찰과 어플리케이션 운영 비용(예: DLP 또는 컴퓨팅 집약적 분석)으로 측정되는 이러한 추가적인 리스크 감소를 수행하는 것이 미치는 영향은 고려해야 할 세 번째 요소입니다. 영향력이 적고 고객에게 투명한 문제를 해결하는 것이 고객에게 더 큰 영향을 미치는 문제보다 선호되며, 트랜잭션을 완전히 차단하는 것이 가장 매력적이지 않은 옵션입니다. 그러나 차단은 신뢰도가 높거나 다른 위험 감소 메커니즘을 통해 신뢰도를 충분히 높일 수 없는 위험한 트랜잭션에 적합할 수 있습니다.

결론

제로 트러스트 보안은 심층 방어와 같은 기존 보안 접근 방식에 대한 보다 현대적인 접근 방식으로, 누가 누구에게 무엇을 하려고 하는지에 대한 트랜잭션 중심의 보안 관점을 취함으로써 선행 기술을 확장합니다. 이 접근 방식을 사용하면 어플리케이션에 대한 외부 액세스를 보호할 뿐만 아니라 어플리케이션 내부를 보호하는 데에도 적용할 수 있습니다.5 이러한 기본적인 트랜잭션 관점을 고려할 때 제로 트러스트 보안은 오늘날의 복잡하고 까다로운 환경에서 어플리케이션을 방어하는 데 사용되는 일련의 핵심 원칙에 뿌리를 두고 있으며, 이러한 원칙은 이러한 원칙을 구현하는 일련의 하위 시스템 수준 솔루션 또는 방법에 매핑됩니다. 핵심 원칙과 이러한 원칙이 솔루션 방법에 매핑되는 방식은 아래에 요약되어 있습니다.

다이어그램

그림 6: 제로 트러스트 보안의 핵심 원칙 및 보안 방법

인증, 액세스 제어, 가시성, 컨텍스트 분석, 위험 인식 해결 방법과 같은 이러한 도구는 다양한 공격 유형을 방지하는 데 필요하고 충분합니다.

 

보고서 다운로드


리소스

1 https://www.f5.com/services/resources/white-papers/why-zero-trust-matters-for-more-than-just-access

2제로 트러스트는 CI/CD 파이프라인의 '왼쪽'에도 적용될 수 있으며, 적용되어야 합니다. 취약성 평가 도구, 정적 분석, CVE 데이터베이스, 오픈 소스 코드 평판 데이터베이스, 공급망 무결성 모니터링 시스템과 같은 도구는 제로 트러스트 사고방식과 일치합니다.

3https://cloud.google.com/beyondcorp-enterprise/docs/quickstart

4상황에 따른 위험 인식 접근 제어와 일반적인 위험 인식 문제 해결 사이의 경계는 모호하며 일부 중복되는 부분이 존재합니다.

5앱 간 '남북' 보호와 달리 '동서' 앱 내 보호라고도 합니다.