제로 트러스트 기사 정리

미국 NSA "네트워크 보안 위해 제로 트러스트 도입하라" -Jon Gold | Network World

미국국가안전보장국(NSA)- 기업의 네트워크 인프라를 공격으로부터 보호하기 위한 권고가 담긴 보고서를 공개
- 네트워크 보안에 있어 제로 트러스트(Zero Trust) 원칙의 중요성을 강조
- 기업 네트워크에 대한 보안을 강화하기 위해 네트워크 접근 제어 시스템을 추가로 사용할 것을 권고


'설사 실패한다 해도' 제로 트러스트가 가치 있는 이유 - Tom Nolle | Network World

흔히 보안이라고 하면 단순한 툴킷을 도입해 달성할 수 있는 목표라고 생각한다. 하지만 그렇지 않다. 
보안은 모든 예상할 수 있는 위협을 관리하고 각 위협에 대해 고유의 방법으로 대응하면서 달성하는 일종의 '상태'에 가깝다.

보안 원칙 측면에서 몇 가지 시사점
1. 기업 대부분은 직원이 사용하는 기기에 대해 너무 관대하다. 지인 기업의 보안 사고 대부분에서 시작점은 해킹된 노트북이었다. 이런 상황에서 재택근무와 기업 VPN 접속의 확장은 곧 보안의 문제 뿐만 아니라 관리(보안 사고 확인)의 문제로 이어진다.
2. 'Quis custodiet ipsos custodes' (누가 감시자를 감시하나)
네트워크와 애플리케이션, 데이터센터를 운영하는 데 필수적인 툴이 오히려 독이 될 수 있음-> 항상 최신 상태로 업데이트하고 이례적인 상황이 벌어지지 않는지 지켜봐야 한다.

제로 트러스트의 진정한 의미 : 행동 모니터링과 제어

제로 트러스트 시스템의 필요 기능
1. 연결 권한을 계층적으로 부여할 수 있는 프레임워크를 지원하는 제품
2. 어떤 형태로든 예외적인 행위를 기록하는 기능도 중요하다. 전통적인 애널리틱스나 AI 툴을 이용하면 이들 기록을 검증해 이상행위 패턴을 찾아낼 수 있다.
=>접속 권한과 예외 기록을 만드는 기능은 보안에 필수적이므로, 당장의 편함을 위해 이런 기능을 타협해서는 안된다.

“클라우드와 제로 트러스트가 답이다” 소프트웨어 보안을 유지하는 방법 - Matt Asay | InfoWorld

작년에 발생한 솔라윈즈(Solarwinds) 해킹과 코드코브(CodeCov) 공급망 및 Log4j 취약점 공격을 비롯한 보안 문제 대다수가 고도로 정교한 위협 행위자에서 비롯됐다. 공격자는 제로 데이 익스플로잇(Zero-day Exploit)을 통해 악성 코드를 소프트웨어에 삽입함으로써 최종 사용자 환경에 침투한다.

기업에 사용하는 소프트웨어가 업무에 신뢰할 수 있는 코드를 쓰고 있는 지를 확실히 알 수 있는 방법 => 보안에 제로 트러스트 접근법을 사용하는 것

많은 기업이 마이크로서비스 기반 아키텍처로 전환하면서 제로 트러스트의 중요성은 더욱 커졌다. 기업의 방화벽 내부라도 안전하지 않다고 가정하며 직원과 기기, 서비스의 신원과 권한을 지속적으로 점검한다. 깃허브(GitHub)와 같은 리포지토리가 아닌 아티팩트 수준에서 보안을 정의함으로써 소스에 디지털로 서명하고, 이를 아티팩트 사용자가 인증하도록 할 수 있다.
소프트웨어 보안을 제대로 구현하려면 제로 트러스트와 같은 새로운 보안 모델을 검토해야 한다. 이 때 자사가 의존하는 소프트웨어를 대량으로 만드는 오픈소스 커뮤니티에 더 많이 관여하게 된다.


참고
https://www.itworld.co.kr/news/228074
https://www.itworld.co.kr/news/222424
https://www.itworld.co.kr/news/223289