디지털서비스 이용지원시스템

자료실

[2024-12] 디지털서비스 이슈리포트 02 미국 연방정부의 제로 트러스트 데이터 보안 가이드 게시글 정보입니다.
2024.12.30 (수정 : 2024.12.30)
[2024-12] 디지털서비스 이슈리포트 02 미국 연방정부의 제로 트러스트 데이터 보안 가이드

02 미국 연방정부의 제로 트러스트 데이터 보안 가이드

│윤대균 아주대학교

배경

사이버 보안 위협이 다양한 형태로 진화하며 기존 ‘경계(Perimeter)’ 기반 보안으로는 충분한 대처가 어렵다는 판단하에 새롭게 등장한 모델이 ‘제로 트러스트’ 모델이다. 아무리 안전하게 물리적 또는 논리적으로 보호되고 있는 인프라 내부라고 하더라도 이 안에서 활동하는 사용자, 실행되는 워크로드, 장비 그 어느 것도 100% 신뢰하지 않는다는 것이 제로 트러스트 보안 모델의 기본 개념이다.

미연방 정부는 이미 제로트러스트 보안에 대한 중요성을 인식하고 관련 행정 명령 및 지침을 발표한 바 있다. 대표적으로 2021년 바이든 대통령의 행정 명령에 이어 OMB(Office of Management and Budget) 메모 M-22-09를 들 수 있다. 이러한 일련의 연방정부 방침 실행을 지원하기 위해 미국 연방정부 사이버 보안국(CISA: Cybersecurity and Infrastructure Security Agency)에서는 ‘제로 트러스트 성숙도 모델(ZTMM: Zero Trust Maturity Model)을 공개하여, 각 기관의 사이버 보안 구축 현황을 진단하고, 완전한 제로 트러스트 모델로 가기 위한 단계별 접근 방식을 제시하고 있다.

제로 트러스트 성숙도 모델은 5개의 기둥(Pillar), 즉, 사람(Identity), 디바이스, 네트워크, 워크로드, 데이터 그리고 이 기둥들에 대한 가시성, 자동화/오케스트레이션, 거버넌스로 구성했다 (그림 1). 제로 트러스트 모델이 실현되는데 가장 핵심 요소로 ‘데이터’를 꼽는다. 제로 트러스트 성숙도 모델에서의 ‘데이터’ 기둥뿐만 아니라 다른 기둥 모두 ‘데이터 관리’는 매우 중요하다. 마침 2024년 10월 미국 연방정부에서 제로 트러스트 데이터 보안 가이드 최종 버전을 발표했다. 이 지침서는 미국 연방정부의 제로 트러스트 데이터 보안 작업그룹에서 작성했다. 이 그룹은 연방 최고데이터책임자(CDO) 위원회와 최고정보보안책임자(CISO) 위원회의 구성원들, 그리고 기타 연방 이해관계자들로 구성된 공동 위원회이며 최종 작업에는 개인정보보호 수석 담당관(SAOP), 그리고 30개 이상의 연방 부처, 기관, 사무소, 단체의 대표자들이 참여했다고 한다.


그림 1 제로 트러스트 성숙도 모델의 5개 기둥 (그림 출처: CISA)

이 글에서는 제로 트러스트 데이터 보안 가이드에서 다루고 있는 내용을 소개하고자 한다. 다만, 가이드의 상세한 내용보다는 주요 용어와 주제 중심으로 간단히 정리하였으므로, 우선 이글을 통해 가이드의 개요를 파악한 후 원문에서 궁금한 부분을 좀 더 상세히 살펴볼 수 있을 것이다.

문서의 구성

이 가이드는 다음과 같은 세 부분으로 구성된다.

  • 데이터 정의(Define the Data): 이 장에서는 데이터 환경을 전체적으로 파악하고 식별하는 방법, 데이터를 정확하게 분류하고 처리하는 방법, 그리고 데이터의 민감도와 중요도를 정의하는 방법을 소개한다.

  • 데이터 보안(Secure the Data): 이 장에서는 암호화와 같은 적절한 보안 모니터링 및 통제(control) 구현, 위험 관리와 신원, 자격증명, 접근 관리(ICAM) 통합에 중점을 둔다. 또한 프라이버시와 규정 준수를 위한 고려 사항도 설명한다.

  • 데이터 관리(Manage the Data): 효과적으로 데이터를 관리하여 궁극적으로 제로 트러스트 보안 모델이 성과를 거두기 위해서는 데이터 보안과 관련된 전반적인 업무가 데이터 라이프사이클 관리(DLM:Data Lifecycle Management)와 연계/통합되어야 한다 (그림 2). 아울러 관련 조직이 팀을 어떻게 준비해야 하는가에 대해서도 지침을 마련해야 한다. 




그림 2 DLM과 제로 트러스트 보안 모델과의 관계 (출처: Forrester Research)

본 가이드에서 데이터 관리 부분은 일단 빠져있으나 곧 논의를 거친 후 완성될 것이라 한다. 데이터 정의와 데이터 보안에서는 어떤 주제가 다루어지는지 살펴보겠다.

데이터 정의(Define the Data)

기관의 데이터 환경은 유형, 형식, 위치, 사용 사례의 다양성으로 인해 매우 복잡한 양상을 띠고 있다. 여기에는 엔드포인트의 데이터베이스와 파일에 저장된 PII(개인식별정보), 클라우드 환경에 저장된 디지털 대화, 데이터 레이크와 파일 저장소의 구조화/비구조화 데이터 등을 포함한다. 제로 트러스트 데이터 보안을 성공적으로 구현하기 위해서 기관은 데이터 자산을 철저히 이해하고 분류해야 한다. 이 장에는 다음과 같은 내용을 포함한다.

  • 1.법적/규제적 요구 사항(Legal and Regulatory Requirements for Data Inventory and Categorization):
    데이터 인벤토리와 분류는 여러 연방 법률 및 규제 요건을 충족해야 한다. 대표적인 법령과 정책에는 Evidence Act, Privacy Act, HIPAA 등이 포함된다. 이러한 규제는 데이터를 체계적으로 관리하고 보안과 프라이버시를 보장하기 위해 데이터 자산의 철저한 목록화를 요구한다. 기존의 데이터 관리 노력에서 출발하여 제로 트러스트 데이터 관리에 필요한 구조를 구축할 수 있다.

  • 2.데이터 자산 정의(Defining the Data Assets):
    데이터 자산은 여러 위치에서 다양한 형식으로 발견할 수 있으며, 조직의 주요 정보 자산을 포괄한다. 데이터 자산은 개인 식별 정보(PII), 구조적 데이터, 비구조적 데이터 등 다양한 유형으로 나뉜다. 이를 명확히 정의하기 위해 CDO 이하 데이터 관리팀과 보안 팀 간 긴밀한 협력이 필요하다.

  • 3.민감 데이터 식별과 데이터 분류체계 개발(Common Starting Point to Identify Sensitive Data Assets and Begin the Data Catalog):
    NIST SP 800-600 Rev.2와 같은 기존 프레임워크를 참조하여 임무 기반 정보 유형을 식별하는 것이 좋은 시작점이 될 수 있다. 각 기관은 자체적인 데이터 자산 분류체계를 개발해야 한다.

  • 4.데이터 인벤토리 생성(Creating the Data Inventory):
    수동 또는 자동화된 방식으로 접근할 수 있다. 수동 방식은 HVA와 FISMA High Impact 시스템부터 시작할 수 있으며, 자동화된 방식은 기계 학습 데이터 카탈로그 도구나 기존 데이터 보안 도구를 활용할 수 있다.

  • 5.데이터 인벤토리 표준(Standards for the Data Inventory):
    DCAT-US v3.0 Schema와 같은 데이터 카탈로그 표준을 활용하며, 보안 실무자는 데이터 관리 담당자와 협력하여 데이터 인벤토리와 관련 표준에 대한 이해를 높여야 한다.

  • 6.역할과 책임(Roles and Responsibilities):
    데이터 거버넌스 팀이 데이터 카탈로그와 인벤토리를 개발한다. 데이터 스튜어드와 정보 스튜어드는 각각 구조화된 데이터와 비구조화된 데이터를 담당하며, 보안팀과 협력하여 위험 기반 분류를 수행한다.

  • 7.영향도 기반 데이터 자산 분류(Categorization of Data Assets Based on Impact):
    FIPS 199, CUI 프로그램, NIST SP 800-60 등의 프레임워크를 활용하여 데이터 손실이나 오용이 미치는 영향을 평가하고 이를 기반으로 분류한다.

  • 8.데이터 범주와 라벨(Data Categories and Labels):
    CUI 민감도 유형을 시작점으로 활용하여 데이터 자산에 라벨을 부여한다. 라벨은 문서 수준에서만 적용하며, 비즈니스 필요에 따라 점진적으로 배포한다. 수동 또는 자동화된 라벨링 방식을 활용할 수 있다.

요약하면 데이터를 정의하고 분류하는 데 필요한 체계적이고 구체적인 접근 방식을 설명한다. 데이터 인벤토리와 카탈로그 구축, 법적 요건 준수, 데이터 라벨링과 같은 실질적인 가이드를 통해 기관은 제로 트러스트 데이터 보안을 위한 강력한 기초를 마련할 수 있다.

데이터 보안(Secure the Data)

여기에서는 데이터를 보호하기 위한 구체적인 전략과 보안 통제를 다룬다. 제로 트러스트 보안 원칙을 데이터 보안에 적용하여 데이터의 기밀성, 무결성, 가용성을 유지하는 방법을 설명한다. 각 항목의 내용을 요약하면 다음과 같다.

  • 1.데이터 보안 위험의 구조분석(A Brief Anatomy of Data Security Risks):
    데이터 보안 위험은 의도적이거나 비의도적일 수 있으며, 외부 행위자, 내부자 위협, 신뢰된 제3자, 인적/기계적 오류, 자연재해 등 다양한 원천에서 발생할 수 있다. 또한 데이터 자체의 무결성, 품질, 수명주기 관리 문제에서도 위험이 발생할 수 있다.

  • 2.보안팀과 데이터 팀의 협력(Bringing Security Teams and Data Teams Together):
    데이터 스튜어드는 보안팀과 협력하여 보안 위험에 대한 이해를 높이고 데이터 위험 평가를 간소화할 수 있다. 보안팀은 데이터 스튜어드의 데이터 환경 이해와 자산 가치 평가 능력을 활용할 수 있다.

  • 3.데이터 보안 관점의 위험 관리(Risk Management from a Data Security Perspective):
    NIST 위험 관리 프레임워크(RMF)를 활용하여 사이버 보안 및 프라이버시 위험을 관리한다. 보안팀이 주도하되, 공통 통제를 식별하기 위해 기관 전체와 협력해야 한다.

  • 4.제3자 리스크(Third-Party Risks):
    기관은 파트너십 또는 상업적 조직과의 관계에서 데이터 프라이버시 규정 미준수, 데이터 주권 문제, 비즈니스 연속성 등의 위험에 직면할 수 있다. 이러한 위험을 관리하기 위해 계약서에 명확한 보안 요건을 포함하고, 정기적으로 제3자의 보안 관행을 점검해야 한다.

  • 5.프라이버시 관점의 데이터 보안(Data Security Through the Privacy Lens):
    프라이버시는 포괄적인 데이터 보안 프레임워크의 핵심이다. 민감 정보(PII)의 보안을 강화하고 관련 법적 요건(예: GDPR, Privacy Act)을 준수하기 위해 데이터 보안과 프라이버시 정책을 통합해야 한다. ‘프라이버시 설계(Privacy by Design)’ 접근법을 도입하여 보안과 프라이버시를 시스템 설계 초기 단계부터 통합하는 것을 권장한다.

  • 6.데이터 보안 통제(Data Security Controls):
    ICAM(Identity, Credential, and Access Management)은 연방 시스템 내 데이터의 기밀성, 무결성, 가용성을 보장하는 핵심 역할을 한다. 강력한 인증과 신원 확인, 최소 권한 기반 접근 권한 부여, 지속적인 모니터링이 필요하다.

  • 7.데이터 보안 모니터링과 통제(Data Security Monitoring and Controls):
    모든 수준과 위치에서 데이터 중심 보안 통제를 사용하고, 데이터 민감도에 기반한 정책을 정의하며, 보안 통제의 효과성을 지속해서 모니터링한다. 로깅, 감사, 경보를 통해 보안을 유지하고 조사를 가능하게 한다.

  • 8.정책 시행 통제를 위한 실용적 예시(Practical Example: Steps for Policy Enforcement Controls):
    PII(개인식별정보)나 CUI와 같은 잘 정의된 데이터 유형부터 시작하여 보안 통제의 목적을 파악하고, 정책을 시행하기 위한 보안 통제를 구현한다. 기본적인 로깅부터 시작하여 점진적으로 사용자 알림, SOC(Security Operations Center) 경보, 데이터 전송 격리, 무단 전송 차단 등으로 대응을 확대한다.

요약하면 데이터를 보호하기 위한 구체적인 접근 방식을 다룬다. 데이터 보안 위험 관리, 데이터 팀과 보안 팀 간 협력, 제3자 리스크 평가, 프라이버시 통합, ICAM, 지속적 모니터링 등의 요소를 종합적으로 설명하며, 제로 트러스트 데이터 보안을 효과적으로 실행할 수 있는 실질적인 가이드를 제공한다.

결론 및 요약

연방정부의 제로 트러스트 데이터 보안 가이드는 데이터를 새로운 보안 경계로 인식하는 비전에서 시작하여, 데이터의 정의, 분류, 보안에 이르는 포괄적인 접근 방식을 제시한다. 또한, 데이터 환경을 전체적으로 파악하고 식별하는 방법을 제시하며, 적절한 보안 통제와 모니터링을 통해 데이터를 보호하는 방안을 설명한다.

성공적인 데이터 보안을 위해서 부서 간 협력과 효과적인 의사소통, 데이터 팀과 보안팀의 협력적 관계, 지속적인 학습과 교육, 교차 분석과 평가, 전사적 동의와 지원, 적응성 있는 구현이 필수적임을 강조한다. 모든 기기가 서로 연결되어 데이터 생태계의 위협 표면(threat surface)이 확장된 상황에서, 기관들은 혁신과 협력을 통해 연방정부의 데이터 보안 아키텍처를 발전시키고 미래의 위협에 대한 회복력을 구축해야 한다는 것으로 결론을 맺는다.

이 가이드에서는 제로 트러스트 보안을 구현하기 위한 데이터 중심의 접근 방법을 상세히 설명하고 있다. 이 가이드는 미국 연방정부 기관을 대상으로 하고 있으나 우리나라에서도 제로 트러스트 모델 구현을 검토하고 있는 조직의 CDO 및 보안 담당자들이 출발점을 찾기 힘들 때 훌륭한 초기 지침서가 될 것이다.


참고문헌

1) The White House, “Executive Order on Improving the Nation’s Cybersecurity”, May 12, 2021

2) OMB, “Moving the U.S. Government Toward Zero Trust Cybersecurity Principles”, Jan 26, 2022

3) CISA, “Zero Trust Maturity Model” https://www.cisa.gov/zero-trust-maturity-model

4) “Federal Zero Trust Data Security Guide”, Oct. 2024 https://www.cio.gov/assets/files/Zero-Trust-Data-Security-Guide_Oct24-Final.pdf

5) 더 많은 관련 법령, 행정 명령 및 규정은 가이드 원문을 참고하기 바란다.

6) 데이터 스튜어드는 조직 내에서 데이터의 품질, 정확성, 보안 및 규정 준수를 책임지고 관리하는 핵심 역할을 수행하는 전문가를 말한다.

7) Controlled Unclassified Information(CUI)은 미국 연방정부가 생성하거나 소유한 비기밀 정보로, 법률, 규정 및 정부 정책에 따라 보호 및 배포 통제가 필요한 민감한 정보를 의미한다.


프로세스가 진행중입니다. 잠시만 기다려주세요.