국내외 과학기술 정책에 대한 간략한 정보
단신동향
해외단신
제로트러스트의 지침이 되는 원칙 발표 원문보기 1
- 국가 일본
- 생성기관 일본 Cloud Security Alliance(CSA)
- 주제분류 핵심R&D분야
- 원문발표일 2024-10-16
- 등록일 2024-10-25
- 권호 274
○일본 Cloud Security Alliance는 CSA 본부가 공개한 「Zero Trust Guiding Principles」의 일본어판('24.9.3 개정판 반영)을 발표
- 제로 트러스트란 조직 네트워크의 내부, 외부에 있는 모든 주체가 신뢰 영역으로 간주되는 조직 내부 네트워크의 자원 또는 데이터에 접근할 때 강한 인증, 정교한 접근 통제, 지속적 모니터링 등을 통해 신뢰할 수 있는 사용자인지 지속적으로 검증·확인함으로써 위험을 완화하는 새로운 보안 프레임워크를 의미
- 제로 트러스트는 '신뢰하지 않고 항상 검증', 최소 특권 원칙, 세그먼테이션(프로세스를 서로 크기가 다른 논리적 블록 단위인 세그먼트로 분할하여 메모리에 배치하거나 코드, 데이터, 스택으로 나누는 것을 의미) 실행과 같은 원칙을 활용하여 사이버 보안 능력을 강화하고 TCO(총 소유비용)와 사고에 의한 손해를 감축하며 복구 시간의 단축 촉진
- 기존의 보안 대책을 제로 트러스트 원칙으로 보강함으로써 기업은 복잡하고 분산된 환경에서 자산을 보호하기 위한 보다 견고한 기반 확립 가능
- 제로 트러스트는 침해가 일어난다는 사실도 인식하고 있으며, 회복탄력성을 강화하기 위해 영향 범위(blast radius)를 억제하고 침해에 따른 영향을 줄이는 동시에 신속한 회복을 촉진하는 수단을 제공
- 새로운 사업모델, 클라우드 및 AI 채택, 정부의 새로운 요구사항 등에 따라 제로 트러스트에 대한 관심이 높아지고 있으며, 미국의 경우 대통령령에 의해 모든 연방정부기관에 제로 트러스트가 의무화되어 있고, 유럽연합(EU)의 디지털운영복원력법(DORA) 및 NIS2 지침 등의 이니셔티브를 통해 전세계적으로 채택되고 있음
- 본 문서에서는 다양한 제로 트러스트 이니셔티브의 지침이 되는 기본 원칙으로서 사업 및 미션의 목적을 염두에 두고 시작할 것, 복잡하게 설계하지 않을 것, 인사이드아웃(내부의 악의적 사용자가 정보 유출)으로 아웃사이드인(외부의 침입)이 아니라는 점을 염두에 둘 것 등 명시
- 제로 트러스트란 조직 네트워크의 내부, 외부에 있는 모든 주체가 신뢰 영역으로 간주되는 조직 내부 네트워크의 자원 또는 데이터에 접근할 때 강한 인증, 정교한 접근 통제, 지속적 모니터링 등을 통해 신뢰할 수 있는 사용자인지 지속적으로 검증·확인함으로써 위험을 완화하는 새로운 보안 프레임워크를 의미
- 제로 트러스트는 '신뢰하지 않고 항상 검증', 최소 특권 원칙, 세그먼테이션(프로세스를 서로 크기가 다른 논리적 블록 단위인 세그먼트로 분할하여 메모리에 배치하거나 코드, 데이터, 스택으로 나누는 것을 의미) 실행과 같은 원칙을 활용하여 사이버 보안 능력을 강화하고 TCO(총 소유비용)와 사고에 의한 손해를 감축하며 복구 시간의 단축 촉진
- 기존의 보안 대책을 제로 트러스트 원칙으로 보강함으로써 기업은 복잡하고 분산된 환경에서 자산을 보호하기 위한 보다 견고한 기반 확립 가능
- 제로 트러스트는 침해가 일어난다는 사실도 인식하고 있으며, 회복탄력성을 강화하기 위해 영향 범위(blast radius)를 억제하고 침해에 따른 영향을 줄이는 동시에 신속한 회복을 촉진하는 수단을 제공
- 새로운 사업모델, 클라우드 및 AI 채택, 정부의 새로운 요구사항 등에 따라 제로 트러스트에 대한 관심이 높아지고 있으며, 미국의 경우 대통령령에 의해 모든 연방정부기관에 제로 트러스트가 의무화되어 있고, 유럽연합(EU)의 디지털운영복원력법(DORA) 및 NIS2 지침 등의 이니셔티브를 통해 전세계적으로 채택되고 있음
- 본 문서에서는 다양한 제로 트러스트 이니셔티브의 지침이 되는 기본 원칙으로서 사업 및 미션의 목적을 염두에 두고 시작할 것, 복잡하게 설계하지 않을 것, 인사이드아웃(내부의 악의적 사용자가 정보 유출)으로 아웃사이드인(외부의 침입)이 아니라는 점을 염두에 둘 것 등 명시
