15 Zero Trust
정의
- 제로 트러스트는 "절대 신뢰하지 말고, 항상 검증하라"는 철학에 기반한 보안 모델입니다.
- 현대의 클라우드 및 하이브리드 환경에서 기존의 경계 기반 보안 모델의 한계를 극복하고, 데이터 유출 및 내부 공격을 방지하여 조직의 자산을 보호하는 것을 목표합니다.
- 조직의 네트워크 내외부를 막론하고 모든 사용자, 장치, 애플리케이션을 잠재적인 위협으로 간주하여 엄격한 인증과 지속적인 모니터링을 통해 접근을 제어합니다.
제로 트러스트 (Zero Trust)
- 엄마, 나 ***인데 100만원만 보내줘 -> 보이스피싱
- 강사님꼐서 보이스피싱, 로맨스 스캠 등의 소셜 엔지니어링
Social Engineering이 무시할 수 없는 요인이라 강조하셨습니다.
- 강사님꼐서 보이스피싱, 로맨스 스캠 등의 소셜 엔지니어링
- 웹에서의 검증(
Verify): - 생일 검증 X (개인정보를 이미 확보하고 작업칠 확률이 높음)
- 이미 충분히 내 개인정보 또한 유출되었을 거라 생각하기 쉽지만, 그래도 지킬 건 지킵시다.
- 학교 검증 X (개인정보)
- 개인적으로 모교에서 정보 유출 사건이 나서 연락을 받은 적이 있습니다.
- 오늘 아침에 뭐 먹었지?와 같이 데이터베이스로 저장이 안되었을 내용을 물어보는게 좋음
결론: 어떠한 검증을 할지 선택하는게 중요합니다.
- 일반적으로
2FA,MFA를 사용하고 있습니다.
- 일반적으로
추가적으로 강사님께서 보안이 까다로워질수록 사용성이 내려간다는 중요한 지적을 해주셨습니다. 오늘날 수 많은 웹서비스가 편리함을 미끼로 개인정보 수집과 함께 보안에 크게 신경쓰지 않는 것이 개인적으로 염려됩니다.
제로 트러스트 (Zero Trust)
- 기업망 내부도 비신뢰 구역입니다.
- 회사 내부 사람도 다 의심을 하여 누구든지 해커 혹은 정보유출을 하는 악의자가 될 수 있다는 가정입니다.
- 네트워크 경계 기반 보안 모델에서 내부 유출을 특히 막기 어렵다고 합니다.
- 따라서 각각의 영역마다 지속적인 인증이 필요합니다.
- ex: 사내망에서 로깅을 엄격히 하는 이유가 될 수 있습니다. 법적인 문제가 생겼을 시 중요한 단서가 될 수 있기 때문입니다.
기존 + 현재
- 내부 내트워크 / 통신이 방화벽에서 시작되는 경우 / 일회성 인증을 통과하면 신뢰할 수 있다고 판단
현재 + 미래
- 특정 자료에 접근이 정확한 필요성이 있음을 확인하기 전까지는 네트워크 내부 어떤 인원도, 어떤 디바이스도(이전에 접근했던 이력이 있더라도) 접근 권한을 부여하지 않게
제로 트러스트 (Zero Trust)
- Zero trust를 실천하기 위해
DevSecOps와 같이 따라가게 된다고 합니다.- 개인적으로 클라우드 보안과 함께 이 직무에 관심이 많습니다.