제로트러스트 도입한 민간, 공공기관 담당자 의견을 듣고자 합니다. 보안의 중요성을 알기에 도입을 검토하고 있지만 적용범위, 예산 마련도 쉽지 않지만 관련 결정권자 설득이 만만치 않네요. 그들을 설득해야 사업예산을 받아낼 수 있는데 주변에 사례 수집할 만한 기관들도 없네요.
여기저기 떠들기만하고 아직 제대로된 표준? 기준? 도 없는지,
아래 내용은 최근 본 기사를 발췌하여 공유합니다. 참고하세요.
《전반적인 보안 위험을 개선하기 위해 도입하고 있는 제로 트러스트 프레임워크 중 인증받은 제품은 50%에 불과한 것으로 조사됐다. 이는 제로 트러스트를 도입한 기업의 50%는 잠재적으로 위협에 노출될 가능성이 있다는 뜻이기도 하다.》
《제로 트러스트는 이제 특정 조직에서 알아서 해야할 일이 아닌 전 국가를 넘어 세계적인 필수 요건이 되고 있다. 이에 대통령 직속 디지털플랫폼정부위원회에서 국가적 차원의 제로 트러스트 도입을 추진하고 있으며, 최근 과학기술정보통신부가 ‘제로 트러스트 가이드라인 1.0’을 공표하며 한국형(K) 제로 트러스트 구축에 나섰다. 》
나섰다는데 주변에 아무도 도입한 기관이 없네요.검토만 죽어라 할 뿐 ^^
8개의 답변이 있습니다.
제로트러스트를 어떻게 기획하고 계시는지 궁금하네요.
제로트러스트라는 별도 솔루션이 있는건 아니죠?
제 생각엔. 장기적인 TO BE는 제로트러스트를 목표로 하면서. 효과와 비용 측면에서 우선순위를 결정해서
단계적으로 강화해 가는 방식이 어떨까 추천드려봅니다.
앵그리파파 | 7달 전
정부가이드 기준으로 준비하고 있습니다. 솔루션는 없습니다.
보안의 기본은 회사의 정책이고 정책 적용인데,
제로트러스트가 가능하려면 제로가 되도록 정책 수립을 해야하는데
이런게 관리자의 업무의 역량이나 업무 부담이더군요.
그러다보면 하나씩 허용하다보면 제로트러스트가 아니게 되는 것이죠.
그래도 없는 것보다 낫죠 ㅎㅎ
앵그리파파 | 7달 전
정부가이드 제로트러스트 1.0이 발표되었으니 참고해서 준비하면 부담은 덜할 수 있습니다. 하지만 예산이 없어요.. ^^
보안에 대한 취약점을 파악하시고 보고 자료를 만들어 필요성에 대한 접근으로 가시는방향은 어떠신지
앵그리파파 | 7달 전
^^ 참고할께요
멀고도 먼 제로트러스트 보안...
기다렸다가 AI가 알아서 지켜준다는 플랫폼이 나올때까지 기다려 볼까요. ^^
제로 트러스트 .. 이론은 좋은데..
100% 안전한 보안이 있을까 하네요. 어차피 이것도 사람이 만들고. 정하는데.
구멍이 없을리 없고..
만든 조직에서 의도적으로.. 무언가를 한다면..~ 도움이 안되는 이야기만 주절 주절했네요..~ 꾸벅
앵그리파파 | 7달 전
^^ 고민이 깊습니다.
제가 의도하신 바를 이해한지 정확히 모르겠으나, 제로트러스트는 단순히 어떤 하나의 솔루션(장비) 개념을 넘어, 한 회사의 관리적/기술적 보안 체계를 뒤흔드는 일종의 체제 전환으로 이해하고 있습니다.
따라서, 필자의 개인적인 생각이나, 제로 트러스트 체계를 도입하기에 앞서, 관련 환경이 적합한지 as-is 보안 환경을 먼저 파악해 보시는 것이 좋을 것 같습니다.
예를 들어, Cloud 네트워크 환경 관련 방화벽, WAF 등 보안장비를 통해 외부 침입자에 대한 공격을 모니터링하고 대응하고 있으나, 내부 직원에 대한 위협케이스를 대비해 모든 케이스에 대해 의심하고, 신원확인 등
절차를 강화하는 등 환경 구축이 선행되어야 한다고 이해했습니다. 즉, 어느정도 보안 관리가 이루어지는 기업, 단체에서 한 차원 더 업그레이드 하는 개념의 체제 전환이 적절할 것으로 예상됩니다.
정리하면 모든 디바이스, 사람, 네트워크 구분 환경도 믿을 수 없다는 전제하에 다방면의 기술적, 관리적 보안 체계를 다지는 것으로 이해했습니다.
1.조직 내 가시성 확보 및 지속적인 모니터링/대응 (e.g. SIEM)
2.접근 제어 통제를 강화 (e.g. IAM, Okta)
3.그 외 다양한 security 아키텍쳐
도움이 되셨으면 좋겠습니다.
궁금하신 사항은 편하게 쪽지/댓글 남겨 주세요.:) 감사합니다.
앵그리파파 | 7달 전
참고하겠습니다.
인증을 받지 않았다고 위험에 노출되어 있다고 단정하는건 잘못된게 아닐까요?
인증 받았다고 위험이 없다고 확신할 수 있는 것도 아니라 생각되고요.
완벽한 보안이라는 건 있을수가 없는 것이죠.
할 수 있는 최선을 다하는 것이 보안이라 생각합니다.
제로트러스트라는 건, 모든 것을 믿지 않고 검증하겠다는 개념인데...
표준, 기준이라는 것에 얽매일 필요가 있을까 싶은데요.
표준이라는 건 공통적인 방식으로 처리한다는 의미가 되겠는데...
처리하는 방식을 모두가 다 알고 있는 방식으로 하겠다는 의미가 아닐까요?
모두가 다 알고 있는 방식이라는것은 해커가 연구를 편하게 할 수 있는 방식이라는 의미도 될 것 같고요.
보안 분야에서 표준이라는 건 잠재적인 위험을 노출 시키는 게 아닐까 싶기도 하네요.
더 좋고, 더 완벽한 기술, 장비를 기다린다면 영원히 기다려야 할 거라 생각되고요.
zero trust 이미 많이 도입하는 걸로 알고 있고...
현시점에서 필요하다 생각되면 도입하면 되는 것이고,
다른 더 좋은 방안이 필요하다 생각되면 그 방안을 선택하면 되는 거라 생각되네요.
옳다 그르다의 문제는 아니라 생각됩니다.
앵그리파파 | 7달 전
내돈 내산이면 필요할 때 사고 말고 결정할 수 있지만 정부 예산을 받아 사업을 진행하는데, 인증 받지 않은 제품을 도입하는건 지적사항이고 옳다 그리다를 이야기하는 것이 아닌것 같습니다.
제로트러스트를 요즘은 SASE 솔루션으로 대체하려고 하는데
제가 봤을땐 제로트러스트라는거 자체가.. 말이 안됩니다.
모든 세세한 것까지 다 제어를 해야되는데 정책으로.. 아직은 진짜 모든 솔루션들이 흉내만 내고 있을뿐 제대로된 제로트러스트 라는걸 할 수 있는 솔루션 장비들이 없는게 맞는거 같습니다.
앵그리파파 | 7달 전
고민이 필요하네요.