화산미디어가 ‘시큐리티 가이드 2023(v.18): 제로 트러스트, 오해와 이해’를 출간했다.
화산미디어가 매년 발간하는 ‘시큐리티 가이드’는 보안 전문가와 기업·기관의 운영·안 조직이 주목해야 할 위협 동향과 대응 전략을 분석하는 전문 서적이다.
올해 18번째로 발간된 시큐리티 가이드 2023에서는 보안 분야의 화두인 ‘제로 트러스트’를 집중 분석한다. 제로 트러스트는 보안 경계가 사라지는 클라우드와 하이브리드 업무 환경에 반드시 필요한 보안 전략으로, 지속적인 검증과 모니터링 원칙으로 보안을 다시 설계하도록 한다.
그런데 제로 트러스트가 유행처럼 번지면서 특정 기술이나 솔루션이 제로 트러스트라고 오해하는 경우가 많아졌다. 특히 인증과 접속에만 초점을 맞추기 때문에 지속적인 모니터링의 원칙을 간과하는 경우가 많다.
'시큐리티 가이드 2023(v.18): 제로 트러스트, 오해와 이해’는 제로 트러스트에 대한 오해를 풀고 정확하게 이해해 디지털 트랜스포메이션 여정을 보호하는 장기간의 보안 이행 방안을 마련할 수 있도록 돕는다.
이번 시큐리티 가이드는 총 5부로 구성된다. 1부에서는 주목해야 할 위협 동향을 분석하고, 기업·기관의 보안 담당자를 대상으로 한 설문조사 결과를 분석해 보안 조직이 직면한 현실적인 문제를 파악한다.
2부에서는 제로 트러스트가 무엇이며, 어떻게 제로 트러스트 계획을 수립하고 이행해 나갈지 살펴본다. 특히 제로 트러스트는 조직의 사이버 위생(Cyber Hygiene)을 점검하는 것부터 시작해야 한다는 점을 강조한다. 보호해야 할 자산 식별과 취약점 관리, 공격표면 제거, 정책 설정과 컴플라이언스 점검, 침투테스트를 통한 사이버 보안 면역력 확인 방법을 제안한다.
그리고 강력하고 지속적인 인증-인가 기술, 사용자·애플리케이션 위치에 상관없는 안전한 접속 기술, 모든 침해 시도 차단과 위협 탐지 및 모니터링, 통합·자동화된 대응으로 안전한 업무 환경이 유지될 수 있도록 한다. 격리와 무해화, 마이크로세그멘테이션으로 업무와 사용자를 위협하는 요소를 원천 제거하며, 파트너와 소프트웨어 공급망으로 인한 문제가 발생하지 않도록 점검하는 기술도 소개한다. 가장 중요한 내·외부 직원의 보안 습관, 그리고 보안운영 인력의 전문성 강화 등의 방안까지 소개한다.
3부에서는 클라우드 보안을 집중 해부한다. 공공·금융 기관의 클라우드 규제 완화 방안을 소개하며, 조직의 클라우드 보안 현황을 진단한다. 특히 컨테이너·서버리스와 오픈소스·API 등 새로운 클라우드 보안 위협 요소를 파악하고, 체계적으로 대응할 수 있도록 한다.
4부는 데이터 경제 시대를 위한 개인정보의 안전한 활용법을 소개해 새로운 경제 질서에도 기업·기관이 지속적인 성장을 이룰 수 있도록 돕는다.
5부는 OT/CPS 보안 위협에 대해 알아본다. OT가 점차 외부 인터넷과 연결되면서 CPS로 진화하고 있으며, 이로 인한 위협 리스크가 높아지고 있다. 또한 다양한 IoT 기기와 스마트홈·스마트시티 및 자율주행차 확산으로 보안 위협은 사회 전반의 재앙이 될 수 있다는 경고도 나온다. OT/CPS 보안 카테고리에서는 이 새로운 환경의 위협 현황을 살펴보고, 제로 트러스트 원칙으로 OT/CPS를 보호하는 방법을 자세히 살펴본다.
