• 정보보호학회논문지
• /
• 제32권6호
• /
• pp.1069-1080
• /
• 2022

확인하기 전에는 어느 것도 믿지 말라는 의미의 제로 트러스트가 보안에서 핫 이슈로 떠오르고 있다. 직접 확인하고, 신뢰할 수 있는 만큼만 네트워크에 연결될 수 있도록 네트워크 경계를 설정하는 것이 제로 트러스트이다. 이러한 개념은 선 검증을 하고 해당 클라이언트에 접속 권한이 있는 만큼만 네트워크 경계를 동적 방화벽으로 만들어 주는 SDP의 개념과도 맞닿아 있다. 그래서 제로 트러스트 아키텍처에서도 제로 트러스트를 실현할 수 있는 예로 SDP 모델을 추천한다. 본 논문에서는 제로 트러스트를 위하여 SDP에서 보완하여야 할 부분을 지적하고 이를 극복하는 방안을 제시한다. 또한 SDP의 엔터티가 되기 위한 과정의 하나인 온보딩 방법을 제안하고, 제안된 온보딩 방법에서 많은 시간이 소요되는 연산의 하나인 ECDSA 성능을 측정하고, ECC 성능 최적화를 위한 구현 방법을 제시한다.

• 융합보안논문지
• /
• 제23권3호
• /
• pp.3-11
• /
• 2023

제로 트러스트는 "Never Trust, Always Verify"라는 원칙으로 알려진 새로운 보안 패러다임이다. 최근에는 원격 및 재택근무 환경의 확산과 클라우드 서비스의 사용 증가로 어디서든 업무 시스템에 접근 가능한 WFA(Work From Anywhere) 환경이 구축되고 있다. 이에 따라 내·외부 경계가 모호해져 기존의 경계 기반 보안 모델(perimeter security)만으로는 다양하고 복잡한 침해사고와 공격에 대응하기 어려워졌다. 이 연구에서는 제로 트러스트의 구현 원칙과 마이크로 세그먼테이션(micro segmentation) 접근법을 소개하며, NIST의 위험 관리 프레임워크를 활용하여 제로 트러스트 도입 절차를 제안하여 기업이 사이버 공격에 대비할 수 있는 보안 전략을 강화하는 방안을 제시한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 추계학술대회
• /
• pp.464-466
• /
• 2021

현재 대부분 기업은 웹 서비스, 클라우드 시스템, 데이터센터용으로 방화벽이나 WAF(Web Application Firewall) 등의 보안 솔루션을 갖추고 있다. 최근 원격접속의 필요가 높아지면서 원격접속 제어의 보안 취약점을 극복해야 하는 과제가 중요시되고 있다. 본 논문에서는 제로 트러스트 관점의 네트워크 보안 모델에 대한 개념과 이를 활용한 전략 및 보안체계에 대해 살펴보고자 한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 추계학술대회
• /
• pp.447-448
• /
• 2021

경계 기반 보안 관리체계는 보안 솔루션 배치가 쉽고, 그 운영 효율성이 높은 장점이 있다. 경계 기반 보안 관리체계는 외부에서 발생하는 보안 위협을 차단하기 적합하지만, 내부에서 발생하는 보안 위협을 차단하기에는 부적합하다. 안타깝게도 내부에서 발생하는 보안 위협은 갈수록 그 빈도가 증가하고 있다. 이러한 한계점을 극복하기 위하여 제로 트러스트 모델이 제안되었다. 제로 트러스트 모델에서는 다양한 정보 자원에 접근하는 주체의 행위를 분석하기 위하여, 실시간 모니터링 기능을 요구하고 있다. 그러나 시스템에 신뢰된 것으로 확인된 주체의 파일 접근을 실시간으로 모니터링 하는 것은 그 한계가 있다. 이에 따라 본 연구에서는 사용자의 파일 접근을 실시간으로 모니터링 할 수 있는 방법을 제안한다. 제안하는 모니터링 방법의 실효성을 검증하기 위하여 실증 구현 후 목표하는 기능을 검증하였다. 그 결과, 본 연구에서 제안하는 방법은 파일에 대한 접근을 실시간으로 모니터링 할 수 있다고 확인되었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2022년도 추계학술발표대회
• /
• pp.210-212
• /
• 2022

4차 산업혁명의 시대적 요구에 따라 스마트워크, 원격진료, 메타버스 등 원격 접속 기반의 사회 인프라 환경이 확산되고 있으며, 코로나19는 이와 같은 원격접속 환경을 가속화하였다. 원격 접속 환경에서는 공간, 시간, 단말 등의 제약으로부터 비교적 자유롭게 기업 내부의 중요 자원 및 서비스를 이용할 수 있기 때문에 노동 생산성을 증대시킨다는 이점은 있으나, 충분히 검증받지 않은 작업 환경이기 때문에 보안적 측면에서는 문제를 야기시킬 수 있다. 또한 전통적인 정보보호 관리체계에서는 원격접속 환경은 허용하지 않거나 최소화한다는 기본 사상을 바탕으로 설계되어 있기 정보보호 전략적 한계가 존재한다. 본 논문에서는 이와 같은 정보보호 전략적 한계를 개선하기 위해 제로 트러스트 아키텍처 기반의 정보보호 관리체계 구축에 대한 방안을 제언한다.

• 정보보호학회지
• /
• 제34권3호
• /
• pp.5-12
• /
• 2024

오늘날 보안 패러다임은 경계 기반 보안 체계에서 제로 트러스트로 변화하고 있다. 이에 NIST는 NIST SP 800-207(Zero Trust Architecture)을 발간하며 제로 트러스트 기본 원칙인 7 Tenets를 제시하였다. 하지만 7 Tenets에 대한 구체적인 구현 및 검증 방안이 부재하여, 제로 트러스트 기술 적용 범위를 정하는 데 어려움을 겪고 있다. 이에 본 논문은 제로 트러스트 제품이 제로 트러스트 표준 모델에 부합하는지 검증할 수 있는 NIST 7 Tenets 기반 점검 항목을 제안한다. 점검항목은 총 59개의 문항으로, 필수적으로 요구되는 필수 기능 28개와 선택적으로 요구되는 선택 기능 31개로구성된다. 수립한 내용에 근거하여 5개의 기업 제품을 검증한 결과, 필수 기능을 모두 만족하는 제품은 없었으며 적용된 제로 트러스트 원칙이 상이함을 확인하였다. 이는 본 논문에서 제안한 점검 항목을 통한 제품의 표준 모델 부합성 검증이 가능함을 보여주며, 향후 국가·공공기관에서의 제로 트러스트 사용 및 유연한 국외 제품 도입 시 활용될 것으로 기대한다.