Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

제로트러스트

CI/CD 파이프라인을 보호하는 모범 사례 5가지

엔지니어의 사고는 문제 이해하기, 해결책 만들기, 그리고 프로덕션 환경에 견고하고 안전한 구현을 배포할 방법 알아내기 순서로 흐른다.   일단 해결책이 구현된 이후 보안 모범 사례를 집어넣으면 복잡하고 자원이 많이 든다.  또한 혁신을 빠르게 내놔야 한다는 압박으로 인해 데브옵스 팀이 보안 부채를 떠안고 릴리즈하는 사례가 빈번하게 발생한다. 최선의 데브섹옵스 모범 사례는 지식, 권장 사항, 보안을 개발 프로세스의 “왼쪽으로 옮겨(shift left)” 애자일 개발 팀이 마이크로서비스, 애플리케이션 또는 데이터베이스에 바로 보안을 구현해 넣도록 하는 것이다.   그러나 지속적 통합, 지속적 제공(CI/CD) 파이프라인은 어떻게 해야 할까? 코드를 빌드, 통합, 패키징해서 환경에 제공하기까지의 수작업 단계가 CI/CD 도구에 스크립팅되어 있을 때 이 자동화는 배포의 안정성을 높여준다. 견고한 CI/CD 구현을 갖춘 데브옵스 팀은 그 다음 단계로 프로덕션 환경을 위한 지속적 배포까지 고려하는 경우가 많다. 따르는 위험은 더 높지만 더 자주 배포할 수 있게 된다.   안전하고 견고한 CI/CD 파이프라인을 구축할 때 필요한 권장 사항과 모범 사례를 확인해 보자.   1. 모범적인 보안 개발 방법 구축 캡제미니(Capgemini)의 애자일 및 데브옵스 리더인 쿨비르 라이나는 가장 중요한 일을 가장 먼저 해야 한다면서 “CI/CD 파이프라인에서 자동화를 다룰 때 보안과 품질은 코드에 내장해야 하며 품질 관리 단계로 미루면 안 된다. 개발자가 적절히 코드를 린팅하기 위해서는 개발자의 통합 개발 환경에 통합된 보안 도구가 필요하다”라고 말했다.   린팅은 코딩 스타일 편차와 안전하지 않은 관행을 식별하는 도구에서 수행하는 프로세스다. 고급 정적 애플리케이션 보안 테스트(SAST) 도구는 버퍼 오버플로우, SQL 주입 결함을 비롯한 여러 문제점을 찾을 수 있다. 라이나는 SAST를 지속적 통합에 통합할 것을 권장한다. ...

AI옵스 보안자동화 CICD 2022.09.22

“기업 자산을 보호하는 보이지 않는 경계” SDP의 이해

사이버 공격을 차단하려는 방편으로 인터넷에 연결된 리소스 주변에 보이지 않는 경계선을 그리는 기업이 늘고 있다. 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)라고 하는 이 기술의 기본 개념은 비교적 단순하다. 서버와 라우터, 프린터 및 기타 엔터프라이즈 네트워크 구성요소 주변에 가상의 방벽을 설치하는 것이다.   SDP의 목적은 유연한 소프트웨어 기반의 경계 뒤에서 네트워크를 보호하는 것이다. IT 및 비즈니스 컨설팅 업체 캡제미니 아메리카(Capgemini Americas)의 수석 SD-WAN 및 SASE 아키텍트인 론 하웰은 “더 강력한 보안과 높은 유연성, 일관성 등이 SDP의 이점”이라고 말했다. 전용 서버에 위치하는 기존 모놀리식 앱과 달리 둘 이상의 서버에 위치할 수 있는 마이크로서비스로 만들어진 애플리케이션이 등장하면서 보안 문제가 더욱 복잡해졌다. SDP는 바로 이런 문제에 대처한다. VM웨어의 글로벌 보안 전문가 채드 스키퍼는 “최근 애플리케이션은 더욱 모듈화되어 이제 기업의 데이터 센터 또는 퍼블릭 클라우드의 여러 워크로드 유형과 마이크로서비스로 구성된다”라고 설명했다. 권한 없이 볼 수 없다 비즈니스 자문 업체 딜로이트의 사이버 및 전략적 위험 부문 상무 이사 챌런 아라스는 “SDP 프레임워크는 일반적으로 내부 네트워크의 서버 또는 노드를 읽기 어렵게 만든다. SDP는 ID를 비롯한 입증 방법을 사용해 최소 권한 혹은 액세스 필요성에 따라 네트워크 노드와 서버에 대한 가시성과 연결을 허용한다”라고 말했다. 구체적으로 SDP는 외부에서 인프라 요소를 볼 수 없도록 한다. 인프라가 클라우드에 있든 온프레미스에 있든 라우터, 서버 프린터 같은 하드웨어를 비롯해 엔터프라이즈 네트워크와 인터넷에 동시에 연결된 거의 모든 요소가 승인되지 않은, 권한 없는 사용자에게는 보이지 않는다. 기술 연구 자문업체 ISG의 사이버보안 부문 수석 컨설턴트 존 헨리는 “먼저 인증한 다음 액세스를 허용하므로 무단 사용...

SDP ZTNA 제로트러스트 2022.09.15

ABM이 제로 트러스트를 중심으로 응집력 있는 보안 프로그램을 구축한 방법

스테파니 프랭클린-토마스는 2021년 초 설비 관리 솔루션 제공업체 ABM 인더스트리(ABM Industries)에 초대 CISO로 합류했다. 프랭클린-토마스는 당시 회사가 적절한 구성요소를 많이 갖춘 보안 접근방식을 취하고 있었음을 발견했다. 구성요소를 많이 갖추었다는 점은 긍정적이었지만, 그 요소들이 완전히 조립된 상태가 아니었다는 점은 부정적이었다. 그 결과 회사의 보안 태세는 미흡했다. 프랭클린-토마스는 “다들 잘하고 싶어 하는 것은 분명한데 프로그램이 없었다. 프로그램의 조각들은 존재했지만 함께 연결되지 않아서 총체적인 면이 부족했다”라고 지적했다.     이에 프랭클린-토마스는 이런 시나리오를 바꾸는 일에 착수했다. 응집력 있는 보안 프로그램을 만들 수 있도록 다양한 조각을 연동할 뿐만 아니라 빠진 조각을 파악해 추가해 넣는 계획을 추진했다. 프랭클린-토마스는 “기존의 것은 ‘우연한 보안’이었다. 올바른 작업이 진행되고 있었지만, 완전한 프로그램은 없었다. 훨씬 계획적인 접근방식이 필요했다”라고 설명했다.   부임 후 1년 반이 된 프랭클린-토마스는 그동안 ABM을 위한 본격적인 보안 프로그램을 시행했다. 제로 트러스트 보안 모델을 중심으로 사람, 프로세스, 기술이 혼연일체가 되어 회사를 효과적이고 효율적으로 방어/보호하며 궁극적으로 비즈니스를 가능하게 하는 보안 프로그램이었다. ABM의 제로 트러스트 프로젝트로 프랭클린-토마스는 비즈니스 가치와 사고 리더십을 인정 받아 2022년 CSO50 상(The CSO50 Awards)을 수상했다.   프랭클린-토마스는 “이제 모두가 같은 방향으로 노를 젓고 있다”라고 말했다. 완벽한 재료, 완성되지 않은 요리 신임 최고 보안 책임자 겸 SVP로 부임한 프랭클린-토마스의 최우선 순위는 보유한 구성요소, 즉 구비된 보안 요소와 누락된 보안 요소를 파악하는 것이었다. 가장 먼저 NIST 평가를 실시했다. 통제 매트릭스를 기준으로 기존의 보안 정책과 절차, 기...

제로트러스트 보안 인터뷰 2022.08.23

제로 트러스트를 구현할 때 반드시 피해야 할 5가지 실수

지난 2년 동안 많은 기업이 원격 근무자, 협력 업체, 서드파티 업체가 클라우드와 온프레미스 환경의 데이터에 접근하는 더 나은 방법을 모색했다. 이런 상황에서 주목받기 시작한 것이 바로 제로 트러스트(Zero Trust) 보안이다.   제로 트러스트 보안을 트렌드로 이끈 요인은 매우 다양하다. 갈수록 정교해지는 사이버 위협, 클라우드 도입의 가속, 코로나19 팬데믹으로 인한 원격 및 하이브리드 근무환경 도입 등이 대표적이다. 많은 기업이 경계 안에 있는 모든 것을 암묵적으로 신뢰하는 전통적인 보안 모델이 경계가 존재하지 않고 데이터와 사용자가 갈수록 탈중앙화되는 오늘날 환경에 적합하지 않다는 사실을 깨달았다. 미국에서는 2021년 5월 바이든 행정부가 연방 기관에 제로 트러스트 보안을 구현하라는 행정 명령을 내리면서 제로 트러스트 보안에 대한 연방 기관의 관심이 커졌다. 보안 업체 일루미오(Illumio)의 위탁을 받아 포레스터 리서치가 실시한 최근 조사에 따르면, 응답자의 2/3가 2022년 제로 트러스트 예산을 높였다고 답했다. 응답자 중 절반 이상(52%)이 자사 제로 트러스트 프로그램이 중대하고 전사적인 이점을 가져올 것이라고 답했고, 50%는 클라우드 마이그레이션이 더 안전해질 것이라고 전망했다. 사이버보안 업체들은 큰 기회를 감지하고 ‘제로 트러스트’라는 단어가 붙은 제품들을 서둘러 내놨다. 리서치 업체인 IT하베스트(IT-Harvest)가 약 2,800곳의 업체의 웹사이트를 대상으로 시행한 비공식 조사에 따르면, 조사 대상 사이트 중 238곳이 제로 트러스트를 유독 강조하는 것으로 나타났다. IT하베스트의 최고 연구 애널리스트 리처드 스타이넌은 “백악관과 CISA가 제로 트러스트 접근법으로 전환하라는 가이드를 발표한 후부터 모두가 이 가이드에 발맞추고 싶어 하는 것”이라고 말했다.  제로 트러스트를 둘러싼 과대 선전은 상당한 혼란을 초래했다. 급기야 제로 트러스트라는 개념을 처음 소개했던 포레스터 리서치는 2022년 초 ...

제로트러스트 ZTNA 2022.07.14

sw 개발자가 공급망 보안에서 던져야 할 질문 "너무 많이 신뢰하지는 않는가?"

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 2022.07.14

"설명할 수 없으면 탐지도 의미 없다" 풀 패킷 분석으로 완성하는 차세대 NDR - Tech Summary

오늘날의 보안 환경은 이전과 완전히 다르다. 기업 외부에서 내부로의 공격은 정교해졌고, 이후 공격자가 기업 내부에서 내부로의 확산 공격을 활발하게 감행하고 있다. 위협 그룹은 더 조직화, 전문화됐고, 이들의 랜섬웨어 공격을 당하면 기업은 금전 피해 외에 정보 탈취까지 걱정해야 한다. 반면 기업 내부는 다양한 경로와 네트워크의 복잡성 때문에 기본적으로 관리가 까다롭고, 여전히 신뢰구간으로 여겨져 충분한 모니터링과 분석이 이뤄지지 않고 있다. 이런 상황에서는 단일 보안 취약점에 대한 이벤트 분석만으로 위협 그룹 공격의 전체 윤곽을 파악할 수 없다. 네트워크에서 트랜잭션된 모든 콘텐츠와 데이터에 대한 분석이 가능해야 실제적 대응이 가능하다. 바로 'NDR(Network Detection and Response)'이다. 최근의 위협 동향과 NDR의 정의를 알아보고, 탐지(Detection), 헌팅(Hunting), 포렌식(Forensic), 대응(Response) 등 NDR의 4가지 핵심 기능과 솔루션 선택 기준 등을 살펴보자. 주요 내용 - 외부-내부 공격 정교해지고, 내부-내부 공격 ‘확산일로’ - 이중 갈취로 더 악랄해진 랜섬웨어 - 가장 효과적인 보안 출발점은 ‘제로 트러스트’ - ‘설명할 수 있는 보안’ NDR의 4가지 핵심 기능 - IP만 입력하면 ‘확정적 증적’ 확인 - OT망 운영 기업이라면 NDR 도입 필수 - 보안 이벤트 의미를 설명할 수 있는 솔루션 선택해야

풀패킷분석 NDR 보안 2022.06.03

데이터 센터에서 제로 트러스트를 달성하기 위한 실질적인 방법

제로 트러스트 이니셔티브는 네트워크, 원격 사용자, BYOD, 클라우드 기반 자산 및 애플리케이션에 대한 더욱 세분화된 제어를 통해 데이터 센터를 보호할 목적으로 점점 더 많은 각광을 받고 투자 대상이 되고 있습니다. 하지만 이러한 접근법이 작동하기 위해서는 워크로드를 서로 분리해 개별적으로 보호하는 등 워크로드 수준에서의 네트워크 보안이 필요합니다. 제로 트러스트를 위해 특별히 설계된 분산 내부 방화벽은 보안을 빠르게 강화할 수 있는 최고의 방법입니다. 제로 트러스트로의 여정에서 반드시 이뤄야 하는 핵심 요건을 알아보고, 데이터 센터에서 이를 구축하는 5단계 프로세스와 VMware 서비스 정의 방화벽을 소개합니다. <11p> 주요 내용 - 전통적인 방화벽의 한계 - 마이크로 세그멘테이션 오케스트레이터 - 분산 내부 방화벽 - 두 가지 방식의 장점을 합친 최상의 조합 - 데이터 센터의 제로 트러스트를 위한 단계별 프로세스

제로트러스트 방화벽 세그먼테이션 2022.06.03

ZTNA 솔루션 구매 전 업체에 꼭 물어야 할 8가지

클라우드에서 핵심 비즈니스 애플리케이션을 운영하는 일이 늘어나고 팬데믹으로 인해 원격 근무가 확산하면서 전통적인 ‘기업 해자(corporate moat)’ 방식의 보안 개념은 자취를 감추었다. 오늘날의 하이브리드 워크에서 직원은 외근하고 집에서 일하고 일주일에 한두 차례 사무실에 방문한다. 따라서 네트워크 및 보안팀은 네트워크, 신원, 인증을 관리하는 더 유연한 접근법을 도입해야 하는 상황이다.   제로 트러스트 네트워크 접근법(Zero Trust Network Access, ZTNA)은 오늘날 보안이 가진 이런 문제에 대응하는 인기 있는 방법으로 주목받고 있다. 개념은 그리 어렵지 않다. 제로 트러스트는 방화벽, IDS/IPSes, 안티바이러스 소프트웨어라는 계층적 경계를 구축하는 대신, 충분히 검증되기 전까지 '어떤 사용자나 기기도' 신뢰하지 않는 것이다. 그러나 이 간단한 개념을 구현하는 과정은 그리 쉽지 않다. 대다수 기업은 제로 트러스트 업체의 온갖 마케팅에도 불구하고 IT 임원이 제로 트러스트를 기성품으로 구매해 단기간에 적용할 수 없음을 알고 있다. 제로 트러스트는 제품이 아니다. 프레임워크이자 아키텍처이고 철학이다. 여러 형태를 취할 수 있고 성공적으로 구현하는 데는 상당한 시간과 노력이 필요하다는 의미다. 기업이 제로 트러스트를 도입할 때 제로 트러스트 업체에 반드시 물어야 하는 질문을 정리했다.   ZTNA로 전환할 때 기존의 보안 및 네트워킹 인프라를 어떻게 활용할 수 있나 기업은 여러 해에 걸쳐 보안/네트워킹 하드웨어 및 소프트웨어에 상당한 돈을 투자했다. 따라서 기존 기술을 최대한 활용하면서 ZTNA로 전환하는 것이 매우 중요하다. 대다수 기업은 ID 관리, 접근 제어, 이중 인증, 네트워크 분할, 정책 관리 등 ZTNA에 필요한 조각을 이미 갖고 있다. 그러나 종합적이고 확장성 있고 정책 주도적 방식으로 제로 트러스트의 모든 측면에 두루 숙달된 기업은 별로 많지 않다. 네트워크 자동화 업체인 글루웨어(Gluwar...

ZTNA 제로트러스트 2022.05.23

“엔데믹 시대를 대비하라” 하이브리드 업무 환경의 선결 과제와 해결 방안 - Tech Summary

사회적 거리 두기 해제는 기업에 고민거리를 안겨주었다. 특별 방역 지침에 따라 해오던 유연, 재택 근무 종료를 선언하고 전면 출근 체제로 전환해야 하는가? 아니면 유연 근무와 재택 근무를 뉴노멀로 받아들여야 하는가? 디지털 전환 수준이 높은 기업들의 선택은 혼합형 근무 환경(Hybrid workspace)을 제공하는 것이다. 혼합형 근무 환경은 풀타임, 파트타임, 재택 근무 선택지를 모두 제공해 코로나19 이전의 근무 방식으로 돌아가는 것에 대한 어색함과 거부감을 줄이는 효과가 있다. 하지만 이런 환경을 구현하려면 접근 관리, 다양한 장치 통합 관리, 윈도우 장치 보안 관리, 애플리케이션 보안 관리라는 기술적 난제를 풀어야 한다. VM웨어 워크스페이스 원을 활용해 코로나19 이후 일하는 방식을 새롭게 정의한 VM웨어의 경험을 통해 혼합형 근무 환경을 위한 디지털 기술 활용 방안을 소개한다. 주요 내용 - 하이브리드 업무 환경의 전제 조건과 기술 과제 - 제로 트러스트 보안이 접근 관리의 해법 - PC부터 모바일까지 모든 디바이스의 통합 관리 - 현대화가 필요한 윈도우 디바이스 관리 - 자체 앱스토어로 애플리케이션과 데이터 보호

엔데믹 하이브리드업무환경 제로트러스트 2022.05.09

글로벌 칼럼 | “원격 근무에 제로 트러스트는 반드시 필요하다”

작년 여름, ‘리커션 팀(Recursion Team)’이라는 사이버 범죄 조직과 연루된 해커가 경찰로 위장해 애플과 메타에 ‘비상 데이터 요청’ 형태로 고객 데이터를 요구했다. 두 기업 모두 깜빡 속아 요구에 응하고 말았다. 약 3년 전에는 영국에 소재한 애너지 기업의 CEO가 독일에 있는 모기업 CEO로부터 헝가리 공급업체에 25만 달러를 송금하라는 전화를 받고 지시에 따랐다. 알고 보니 모회사의 CEO라던 사람은 딥페이크 오디오 기술을 사용해 다른 사람의 목소리를 변조한 사이버 범죄자였다. 두 해커는 각각 데이터와 돈을 성공적으로 갈취했다. 이들은 모두 신뢰를 악용해 범죄를 저질렀다. 피해자는 해커가 말하는 정보 만을 곧이곧대로 믿었다.     제로 트러스트의 정의 제로 트러스트는 경계 보안에 의존하지 않는 보안 프레임워크이다. 경계 보안은 오래 전부터 보편적으로 사용돼 온 모델로, 기업의 건물이나 방화벽 안에 있는 모든 사람과 사물을 신뢰하는 것은 전제로 한다. 여기서 보안은 경계 밖에 있는 사용자가 내부로 들어오지 못하도록 막는 데 중점을 둔다. ‘제로 트러스트’는 1994년 영국 스털링 대학에서 박사 과정을 밟고 있던 스티븐 폴 마시가 처음 만든 용어이다. ‘탈경계화’라고도 불리는 이 개념은 포레스터 익스텐디드(Forrester eXtended), 가트너의 CARTA 및 NIST 800-207과 같은 가이드라인에서 구체화됐다. 경계 보안의 효용성이 떨어진 데는 여러 가지 이유가 있지만, 이 중에서도 원격 근무의 확산이 대표적이다. 이밖에 모바일 컴퓨팅과 클라우드 컴퓨팅, 갈수록 증가하는 정교한 사이버 공격, 그리고 내부에서 비롯되는 위협 등을 이유로 들 수 있다. 다르게 말하면, 네트워크 경계는 더 이상 존재하지 않는다. 경계가 존재한다고 해도 침해될 수 있다. 해커는 경계 안으로 들어오면 더 쉽게 이동한다. 제로 트러스트의 목표는 각 사용자와 디바이스, 애플리케이션이 네트워크 컴포넌트나 기업 리소스에 액세스할 때마다 ...

원격근무 제로트러스트 보안 2022.04.26

SaaS 애플리케이션 보안의 핵심 과제와 SASE 기반의 제로 트러스트 전략 - Tech Summary

SaaS 애플리케이션의 보안 문제는 크게 애플리케이션, 데이터, 사용자 측면으로 나누어 볼 수 있다. 사용자는 기업에서 허용한 애플리케이션만이 아니라 개인용 애플리케이션도 사용하고, 개발자는 허가 받지 않은 개발 도구를 사용하기도 하는데, 이는 기업 보안의 큰 문제가 되고 있다. 이런 문제의 해답이 바로 SASE 기반의 제로 트러스트 전략이다. SaaS 애플리케이션을 많이 사용하고 원격지, 또는 전 세계에 지사를 운영하는 기업이나 클라우드 환경에서 다양한 형태의 트래픽을 보유한 기업에 안전한 보안을 제공한다. 제로 트러스트의 원칙을 알아보고 SASE와 제로 트러스트를 활용한 SaaS 보안 강화 방안을 살펴본다. 주요 내용 - 클라우드 환경과 SaaS 애플리케이션으로 인한 보안 문제 대두 - 제로 트러스트 아키텍처의 5가지 원칙 - 제로 트러스트 구현 방법과 효과 - SASE, 제로 트러스트 구현을 통한 SaaS 및 클라우드 보안

제로트러스트 SASE 보안 2022.04.04

글로벌 칼럼 | 제로 트러스트가 현재로서는 최선

지난 몇 년 동안 제로 트러스트에 관한 수많은 기사가 보도됐다. 그 중 대부분은 보안 전문가를 위한 제로 트러스트 탐구 및 설명식 기사였다. 하지만 필자는 ‘신뢰 방정식’의 등호 반대편에 있는 원격 근무자를 염두에 두고 이 글을 작성했다. 실제로 많은 재택 근무자가 제로 트러스트 전략을 구현하고 개선하는 과정에서 다양한 변화와 불편함을 겪고 있다.   여기서는 어려운 전문 용어를 사용하지 않고 제로 트러스트를 쉽게 설명했다. 보안 전문가나 IT 담당자라면 재택 근무자와 이 기사를 공유하기 바란다. 재택 근무자는 현재 벌어지고 있는 상황과 그 이유를 이해할 필요가 있다. 우선 제로 트러스트는 제품 및 서비스가 아닌, 하나의 아이디어나 접근법, 전략이다. 직장의 미래를 위해 제로 트러스트는 반드시 필요하다. 오래된 경계 보안 전략은 이제 더 이상 통하지 않기 때문이다. 원래 기업은 경계 보안의 일환으로 방화벽을 구축했다. 방화벽 내부의 모든 사용자와 장치, 애플리케이션은 안전하다고 간주됐다. 기업은 이들이 방화벽에 둘러싸여 있기 때문에 당연히 신뢰할 수 있다고 믿었던 것이다. 원격 직원은 가상 사설망(Virtual Private Network, VPN)을 통해 방화벽을 뚫을 수 있었다. VPN은 데이터를 암호화해 권한 있는 사용자가 방화벽 내부에 진입하도록 하는 소프트웨어이다. 예전에는 경계 보안이 무난하게 작용했지만, 지금은 세상이 많이 변했기 때문에 효과가 없다. 연결은 매우 복잡해졌으며, 사이버 공격자는 더욱 교묘한 기법을 사용하기 시작했다. 오늘날 기업의 모든 네트워크는 구식이 되고 있다. 또한, 많은 기업에 복잡한 클라우드 컴퓨팅 방식과 IoT로 작동하는 수많은 작은 연결 및 센서 기반 장치, 그리고 재택 근무자가 있다. 경계 보안이 의미 없는 가장 큰 이유는 많은 사용자가 홈 오피스 외에도 모든 곳에서 원격으로 작업하기 때문이다. 홈 오피스를 떠올려보자. 경계 보안 방식에서 사용자는 VPN으로 기업 방화벽 내부에 진입해 업무용 노...

보안 제로트러스트 경계보안 2022.04.01

글로벌 칼럼 | 제로 트러스트로 네트워크 기술 부채에 맞서는 방법

제로 트러스트(Zero Trust)는 기술이 아닌 사고방식이자 방법의 일종이다. 오늘날 제로 트러스트 채택이 추진력을 얻는 이유는 기업 네트워크에서 위험 관리 및 공격 방어 개선의 필요성이 빠르게 증가했기 때문이다. 지속적인 랜섬웨어 공격으로 인한 변화다. IT팀은 제로 트러스트 채택의 시급성을 활용해 기업의 기술 부채를 일부 찾아낼 수 있다. 특히 네트워크 및 네트워크 보안 표준에서 제외된 영역을 찾아 제로 트러스트라는 새로운 패러다임을 촉진할 수 있다.   제어 대상에서 제외되지 않는 네트워크 컴포넌트 제로 트러스트 환경에서 네트워크는 새로운 노드를 신뢰하지 않을 뿐 아니라 네트워크를 통해 이미 통신하는 노드도 신뢰하지 않는다. 제로 트러스트 네트워크는 처음 발견한 노드에 인증 및 인가 확인 절차를 거칠 것을 요구한다. 신원을 증명하는 유효 인증서가 있는지, 해당 ID를 사용한 연결이 허용되는지, 유효한 소프트웨어 버전과 방어 도구를 실행하고 있는지 등을 확인한다. 통신이 허용되기 전에 노드는 이런 장애물을 제거해야 한다. 또한 제로 트러스트 네트워크는 신뢰 관계가 영구적이거나 맥락에서 자유롭다고 가정하지 않는다. 즉, 네트워크상의 노드는 모든 네트워크 작업을 시도할 때마다 인증 및 권한 부여 절차를 거쳐야 한다. 한 작업과 다음 작업 사이에 신뢰 관계가 손상되었을 수도 있고 노드가 비정상적으로 행동해 권한이 박탈됐거나, 혹은 해당 시스템의 사용자가 해고되었을 수 있기 때문이다. 제로 트러스트를 도입하기 위해서 네트워크 전문가는 그동안 생각하던 네트워크 서비스 방식을 근본적으로 바꾸어야 한다. 실제로 802.1x 기반의 기본적인 승인 제어에 익숙해진 네트워크팀이 많아지기 시작한 것도 최근부터였으며, 여전히 네트워크에는 기본 수준의 승인 제어를 적용하지 않는 포트, 스위치, 세그먼트 및 서브넷이 만연하다. 대부분의 경우 포트/세그먼트/서브넷 등은 제어 대상이 되지 않는다. 이를 통해 연결된 시스템이 (심지어 밑단의 하드웨어 자체도) 보안 프...

제로트러스트 네트워크 기술부채 2022.03.31

“변화하는 시대, 진화하는 사이버 위협” 한국IDG, 퓨처 오브 시큐리티 2022 성료

한국IDG가 3월 24일 '퓨처 오브 시큐리티 2022(Future of Security 2022)' 컨퍼런스를 온라인으로 개최했다. '디지털 시대, 변화하는 기술 트렌드와 보안 위협'을 주제로 진행한 이번 행사에는 여러 보안 전문가가 참여해 디지털 시대의 핵심 보안 전략과 엔터프라이즈 보안 이슈를 살펴보고 구체적인 실행 방안을 논의했다.    뉴노멀과 디지털 시대가 도래하면서 정보 보안의 중요성이 강조되고 있다. 오프닝 기조연설을 맡은 IDC의 리서치 디렉터 크리스 키셀은 "사이버보안은 이제 회의실, 아이덴티티, 사람의 문제다. 사람들의 디지털 발자국이 확장되면서 사이버 공격은 개인적인 위협으로 다가온다"라고 말했다. 오늘날 기업은 온프레미스, 퍼블릭/프라이빗 클라우드, IoT, VPN, 모바일, OT, 와이파이, 소셜 미디어와 같은 다양한 경계(perimeter) 환경에 대응해야 한다. 새로운 디지털 사용 사례가 생겨날 때마다 새로운 디지털 공격도 생겨나기 마련이다. 키셀은 "한국은 국민과 기업의 약 84%가 인터넷에 연결돼 있으며 1인당 보급률은 전 세계 1위다. 하지만 한국의 IT는 의미 있는 애플리케이션, 프로페셔널 및 매니지드 서비스 요소를 갖추고 있지 않다. '셀프 문화'가 한국 기업의 보안 태세에도 자리 잡은 것"이라고 지적했다.  랜섬웨어 공격 행태도 변화하고 있다. IDC가 격주로 진행하는 미래 기업 탄력성 및 지출 설문조사 결과에 따르면, 과거에는 다른 지역보다 북미 지역의 기업이 랜섬웨어 공격의 표적이 된 경우가 많았다. 그러나 북미 기업이 보안 태세를 강화하면서 공격 표적이 유럽, 중동, 아프리카 및 아태지역으로 이동하고 있다. 키셀은 "아태지역을 중심으로 랜섬웨어 피해를 보고한 응답자의 비율이 2021년 7월 22.5%에서 12월 무려 70.4%로 급증했다"라고 말했다.    백업 데이터를 표적으로 하는 공격도 증가하는 추세다. IDC 조사에 따르면 기업의 90%는 백업/재해 복구...

한국IDG 퓨처오브시큐리티2022 Future Of Security 2022 2022.03.25

NSTAC 제로 트러스트 보고서에서 주목해야 할 8가지

제로 트러스트에 초점을 둔 여러 자료와 정부 기관의 지침이 쏟아져 나오고 있다. 이제 제로 트러스트에 대한 의심은 설 자리가 없어 보인다. 미국에서는 연방 제로 트러스트 전략(Federal Zero Trust Strategy)이 발표된 직후 미 국가안보통신자문위원회(National Security Telecommunications Advisory Committee, NSTAC)가 ‘제로 트러스트 및 신뢰할 수 있는 ID 관리 보고서(Zero Trust and Trusted Identity Management report)’를 발표했다.   이 보고서에는 민간 분야에서 시작된 제로 트러스트의 역사와 정부 기관에서 꾸준히 내놓고 있는 다양한 제로 트러스트 관련 활동과 지침, 요구사항이 잘 요약돼 있다. 대표적인 것이 ‘행정 명령(Executive Order) 14028 : 국가 사이버보안 개선’이다. 이 행정 명령에 따라 NSTAC는 제로 트러스트 및 신뢰할 수 있는 신원 관리를 포함한 주요 이슈에 초점을 맞추었다.   또한 보고서는 제로 트러스트 구현의 과제와 실현을 위한 조건을 강조했다. 적절한 감독 및 성숙도 지표, 투명성, 그리고 지속적 개선에 집중해야 할 필요성과 같이 모두 연방 정부뿐 아니라 민간 분야에도 적용되는 조건이다. 공공 및 민간 분야의 보안 리더가 NSTAC 보고서에서 주목해야 할 8가지 핵심적인 내용을 정리했다. 1. 제로 트러스트는 장기적, 변혁적 노력이다 가장 중요한 점은 제로 트러스트가 10년 이상의 장기적인 노력을 필요로 하는 변혁적인 활동임을 인식하는 것이다. 제로 트러스트 문화를 이끌고 조직의 기술 시스템 체계를 근본적으로 재설계하는 방대한 작업을 시작하기 위한 산업 및 조직 정책 변화도 필요하다. 제로 트러스트 도입을 고민하는 조직은 하루 아침에 ‘제로 트러스트에 부합하는’ 기업으로 만들어준다는 솔루션 업체의 주장을 접할 때 항상 이 점을 염두에 두어야 한다. 2. 제로 트러스트 지침을 활용하라 제로 ...

제로트러스트 NSTAC 보고서 2022.03.14

미국 NSA "네트워크 보안 위해 제로 트러스트 도입하라"

미국국가안전보장국(NSA)이 기업의 네트워크 인프라를 공격으로부터 보호하기 위한 권고가 담긴 보고서를 공개했다. 네트워킹 프로토콜에 일반적으로 적용할 수 있는 안전한 설정 팁이 포함됐는데, NSA는 기업이 모든 네트워크에 기본적인 보안 조치를 적용할 것을 촉구했다.   특히 이 NSA의 보고서는 네트워크 보안에 있어 제로 트러스트(Zero Trust) 원칙의 중요성을 강조했다. 실제로 보고서의 상당 부분이 네트워크 관리자가 인프라를 안전하게 유지하기 위해 해야 할 단계별 조치로 채워져 있다. 예를 들어 네트워크 관리자를 위한 설정 팁을 보면, 모든 관리자 계정의 암호를 자주 변경하고 로그인 시도 횟수에 제한을 둬야 한다. 보안이 취약할 가능성이 있는 시스템은 패치를 최신 상태로 유지하는 것이 중요하다. SSH(시큐어 셸), HTTP, SNMP(simple network management protocol) 등을 위한 안전한 설정법 내용도 들어 있다. 보고서는 "잘못된 설정과 설정 오류, 취약한 암호화 키 등은 전체 네트워크를 보안 취약점에 노출하는 출발점이 될 수 있다. 기본적으로 모든 네트워크는 공격의 위험 아래 있다. 특히 장비가 적절하게 설정, 유지되지 않는 경우는 더 그렇다"라고 지적했다. NSA는 기업 네트워크에 대한 보안을 강화하기 위해 네트워크 접근 제어 시스템을 추가로 사용할 것을 권고했다. 네트워크에 연결된 개인 기기를 식별하는 강력한 시스템을 도입하라는 것이다. 기존의 포트 중심의 보안은 MAC 주소를 통해 연결된 기기를 추적, 관리하기 힘들고 결국 이런 기기는 공격자의 표적이 되기 쉽다. NSA는 인가와 인증, 계정 서버 등을 중앙화해 관리하는 것도 강력한 보안 조치라며 권고했다. 보통 계정 정보를 네트워크에 연결된 기기에 저장하면 상대적으로 공격에 취약한데, 이런 중앙화는 보안 취약점에 노출될 가능성이 있는 레거시 인증 기술을 회피하는 데 도움이 된다. NSA는 시스템 리소스의 요청을 처리하는 AAA 서버를 함께 사용하면...

NSA 제로트러스트 2022.03.07

글로벌 칼럼 | 제로 트러스트, 핵심 시스템 변경 전에 아키텍처 계획이 우선

제로 트러스트(Zero Trust)는 ID, 애플리케이션, 네트워크, 데이터, 디바이스까지 모든 것과 관련되어 있다. 최상의 접근법은 모든 것을 한꺼번에 바꾸지 않는 것이다. 그보다는 좀 더 큰 그림으로 시작하는 것이 좋다. 네머티스(Nemertes)의 조사에 따르면, 제로 트러스트 구현에 성공한 조직 대부분은 첫 단계에 아키텍처를 만드는 데 전념한 것으로 나타났다. 성급하게 솔루션 도입에 나서지 않은 것이다.   성급하게 뛰어든 조직은 제로 트러스트에 대한 기반 작업과 한 가지 이상의 연쇄 작업을 수행했다. 네트워크와 보안, 데이터 관리를 재설계하고 툴을 구매하고 구현팀을 구성해 작업에 착수할 수 있도록 한 것이다. 물론, 이 모든 일은 어차피 해야 하지만, 제로 트러스트와 관련해서는 실질적인 변화를 단행하기 전에 이 모든 조각이 어떻게 맞아떨어질지 아키텍처 수준이나 툴 세트 관점에서 좀 더 신중하게 생각해야 한다. 성공적인 보안이란 심각한 사이버 보안 사고의 비율이 매우 낮다는 것을 의미한다. 좀 더 성공적인 조직이라면, 100건의 사이버 보안 사고 중 심각한 사고는 2건에 불과한 정도이다. 심각한 사고란 직원이나 비즈니스에 영향을 미치거나 외부에 보고해야 할 정도의 사고를 말한다. 그리고 대부분 경우, 성공적인 조직은 이 비율이 2% 이하이다.  제로 트러스트는 분명 네트워크나 보안, 데이터 액세스와 관련해 아키텍처 수준의 변화가 필요하다. 만약 제로 트러스트 개념을 현실화하고자 한다면, 위치나 기존의 신뢰 관계와 상관없이 절대적인 믿음이란 있을 수 없다. 제로 트러스트는 운영의 모든 측면, 시스템의 모든 수준을 건드릴 수밖에 없다. 게다가 네트워크의 일정 부분을 조금 더 신뢰하고, 일부 사용자를 조직 내에 있다는 이유로 조금 더 신뢰하고, 한 번 접근 권한을 얻은 개체를 계속 신뢰하는 방식의 기존 패러다임은 급격한 변화를 피할 수 없다. 하지만 핵심 시스템에 대한 변화는 제로 트러스트 환경에 대한 큰 그림이 잘 정의된 이후에 ...

제로트러스트 설계 아키텍처 2022.02.24

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.