블로그 | CTO 사무실

Zero Trust를 도입하는 세 가지 이유는 봇 보호와 웹 및 API 보안으로 이어집니다.

로리 맥비티 썸네일
로리 맥비티
2022년 10월 12일 게시


오늘날, 제로 트러스트는 모든 사람이 따라하고 싶어하는 뜨거운 새로운 트렌드입니다. 이는 2022년 애플리케이션 전략 상태 보고서 에서 식별한 상위 3가지 "가장 흥미로운" 트렌드 중 하나이며, 지난 12개월 동안 Google 트렌드에 따르면 지속적으로 높은 관심을 받았습니다.

결과적으로 제로 트러스트는 "시프트 레프트"가 등장한 이래로 보안에 대한 가장 많이 거론되고 오해받는 접근 방식 중 하나가 되었습니다. 너무나 자주, 제로 트러스트는 소프트웨어 정의 경계(SDP)와 같은 특정 기술이나 ID 및 액세스 관리(IDAM)와 같은 시장 세그먼트와 동일시됩니다.

이는 전혀 놀라운 일이 아닙니다. 클라우드 컴퓨팅이 도입되었을 때 우리는 특정 기술이나 제품을 "최신 인기 트렌드"와 동일시하는 동일한 붐을 보았습니다. 클라우드 워싱은 정기적으로 발생하는 일이었으며 종종 신제품의 실제 "흐림"에 대한 비하적인 관찰로 사용되었습니다.

그러므로 제로 트러스트에 대한 정의부터 시작하는 것이 좋겠습니다. 저는 이 주제에 관해 이미 훌륭한 가이드를 출판한 동료인 Ken Arora와 Mudit Tyagi의 말을 인용하여 이를 설명하려고 합니다.

"우리는 제로 트러스트 보안이 근본적으로 기술과 전술이 출현하고 특정 기술을 활용하는 사고방식, 즉 신념 체계라고 믿습니다. 이를 통해 광범위한 보안 위협을 해결하는 데 적용할 수 있습니다."

이는 중요한 사항이므로 다시 한 번 반복하겠습니다. 제로 트러스트 보안은 근본적으로 사고방식입니다.

이러한 사고방식은 일련의 가정을 수용하며, 기술의 사용은 이러한 가정의 결과입니다 .

즉, SDP 또는 API 보안과 같은 기술을 구현한다고 해서 제로 트러스트를 채택한 것은 아닙니다. 단일 제품을 도입했다고 해서 갑자기 "제로 트러스트 준수"가 되어 공격, 침해 또는 악용에 면역이 되는 것은 아닙니다.

사실, SDP와 API 보안은 실제로 제로 트러스트 접근 방식을 채택하는 데 적합한 전술적 대응이 될 수 있습니다. 하지만 거기에 도달하려면 몇 가지 핵심 가정에서 출발한 다음, 논리적으로 그 가정에서 나올 수 있는 가장 적합한 도구와 기술이 무엇인지 결정해야 합니다.

이를 구체화하기 위해 제목에서 말했듯이 봇 보호와 웹 및 API 보안이 "제로 트러스트" 도구 상자의 일부라는 결론을 내릴 수 있는 몇 가지 예를 살펴보겠습니다.

  1. 제로 트러스트 접근 방식은 타협을 가정합니다 . 권한이 있는 합법적인 사용자가 실제로 침해당할 수 있으며, 이로 인해 의도치 않게 매우 큰 비용이 드는 위협이 발생할 수 있습니다. 공격자는 일반적으로 정문(회사 네트워크)을 통해 침입하는 것보다 창문(사용자)을 통해 침입하는 것이 더 쉽다는 것을 알고 있습니다. 사용자는 끊임없이 침해당할 위협에 처해 있기 때문에, 이미 침해당했다고 가정하는 것이 가장 안전한 방법입니다. 침해된 회사용 노트북이나 휴대전화에서 발생할 수 있는 잠재적인 공격 범위는 다양하며, 악성 소프트웨어(맬웨어, 랜섬웨어 등)를 공유하려는 웹사이트와 앱을 공격하거나 취약점을 악용하여 액세스 권한을 얻는 것도 포함됩니다. API는 모바일 및 웹 기반 앱이 기업 앱과 시스템에 액세스하는 "방식"을 늘리고 있기 때문에 합법적이고 인증된 사용자에게서 온 콘텐츠도 검사하여 악성인지 아닌지 확인하는 것이 중요해졌습니다. 따라서 이러한 위험으로부터 보호하기 위해 웹 및 API 보안을 선택하는 것이 논리적입니다.

  2. 제로 트러스트 이 접근 방식은 자격 증명만으로는 충분하지 않다고 가정합니다 . 사용자가 인간, 기계 또는 소프트웨어인지 여부에 관계없이, 제로 트러스트 접근 방식은 합법적인 자격 증명이 제시되더라도 실제 사용자는 합법적이지 않을 수 있다고 가정합니다. 결국, 자격 증명 채우기는 합법적이지만 도난된 자격 증명을 악용하는 지속적인 문제입니다. 평균적으로 매일 100만 개의 사용자 이름과 비밀번호가 유출되거나 도난당하는 것으로 알려져 있습니다. F5의 분석 에 따르면 침해된 자격 증명 목록의 0.5%~2%가 대상 웹사이트나 모바일 앱에서 유효할 것으로 결론지었습니다. 따라서 제로 트러스트 접근 방식은 자격 증명뿐만 아니라 사용자의 신원 자체를 확인하기 위한 조치를 취해야 합니다. 여기에는 합법적인 사용자처럼 위장한 봇을 적발하는 것도 포함됩니다. 전술적으로 이는 봇 보호(봇 감지라고도 함)가 제로 트러스트 접근 방식에서 중요한 역할을 하게 됩니다.

  3. 제로 트러스트 접근 방식은 변화가 일정하다고 가정합니다 . 제로 트러스트는 사용자가 검증되고 리소스에 대한 액세스가 승인되면 위험이 없다는 가정을 거부합니다. 모든 거래는 위험한 것으로 간주되고, 거래에 포함된 내용과 거래를 보내는 사용자에 따라 평가됩니다. 세션 하이재킹은 실제 공격 방법입니다., 결국. 끊임없는 경계는 (또는 그래야 하는) 제로 트러스트의 모토이며, 이는 악의적인 콘텐츠를 끊임없이 살피는 것을 의미합니다. 이로 인해 웹 및 API 보안과 봇 감지가 제로 트러스트 접근 방식의 중요한 구성 요소가 됩니다.

이제 이러한 접근 방식은 SDP와 ID 및 액세스 제어, 네트워크 방화벽과 CASB와 같은 다른 도구와 기술을 개발하고, 이러한 가정에서 자연스럽게 발생하는 알려진 위험을 완화하는 여러 다른 솔루션을 개발하는 데에도 도움이 됩니다. 하지만 그 중 하나만 구현해서 제로 트러스트 이니셔티브를 완료했다고 할 수는 없습니다. 그건 다리가 부러졌는데 병원에 가는 대신 타이레놀을 먹는 것과 같습니다. 그렇죠, 통증은 덜어주지만 실제 문제 자체는 해결하지 못합니다.

사고방식의 변화로 제로 트러스트를 도입하여 완화책을 마련하는 것은 완벽하지 않습니다. 어떤 방법도 완벽하지 않지만, 더 적응력이 뛰어나고 새로운 공격과 출현하는 공격에 더 빠르고 성공적으로 대처할 수 있는 길로 나아가는 데 도움이 될 것입니다.

안전하게 지내세요.

디지털 비즈니스를 위한 엔터프라이즈 아키텍처라는 책의 5장에서 제로 트러스트 접근 방식으로 보안을 현대화하는 방법에 대해 자세히 알아볼 수 있습니다.