2024.12.30 (수정 : 2024.12.30)
|
|
[2024-12] 디지털서비스 이슈리포트 02 미국 연방정부의 제로 트러스트 데이터 보안 가이드 | |
---|---|
02 미국 연방정부의 제로 트러스트 데이터 보안 가이드 │윤대균 아주대학교 배경 사이버 보안 위협이 다양한 형태로 진화하며 기존 ‘경계(Perimeter)’ 기반 보안으로는 충분한 대처가 어렵다는 판단하에 새롭게 등장한 모델이 ‘제로 트러스트’ 모델이다. 아무리 안전하게 물리적 또는 논리적으로 보호되고 있는 인프라 내부라고 하더라도 이 안에서 활동하는 사용자, 실행되는 워크로드, 장비 그 어느 것도 100% 신뢰하지 않는다는 것이 제로 트러스트 보안 모델의 기본 개념이다. 미연방 정부는 이미 제로트러스트 보안에 대한 중요성을 인식하고 관련 행정 명령 및 지침을 발표한 바 있다. 대표적으로 2021년 바이든 대통령의 행정 명령에 이어 OMB(Office of Management and Budget) 메모 M-22-09를 들 수 있다. 이러한 일련의 연방정부 방침 실행을 지원하기 위해 미국 연방정부 사이버 보안국(CISA: Cybersecurity and Infrastructure Security Agency)에서는 ‘제로 트러스트 성숙도 모델(ZTMM: Zero Trust Maturity Model)을 공개하여, 각 기관의 사이버 보안 구축 현황을 진단하고, 완전한 제로 트러스트 모델로 가기 위한 단계별 접근 방식을 제시하고 있다. 제로 트러스트 성숙도 모델은 5개의 기둥(Pillar), 즉, 사람(Identity), 디바이스, 네트워크, 워크로드, 데이터 그리고 이 기둥들에 대한 가시성, 자동화/오케스트레이션, 거버넌스로 구성했다 (그림 1). 제로 트러스트 모델이 실현되는데 가장 핵심 요소로 ‘데이터’를 꼽는다. 제로 트러스트 성숙도 모델에서의 ‘데이터’ 기둥뿐만 아니라 다른 기둥 모두 ‘데이터 관리’는 매우 중요하다. 마침 2024년 10월 미국 연방정부에서 제로 트러스트 데이터 보안 가이드 최종 버전을 발표했다. 이 지침서는 미국 연방정부의 제로 트러스트 데이터 보안 작업그룹에서 작성했다. 이 그룹은 연방 최고데이터책임자(CDO) 위원회와 최고정보보안책임자(CISO) 위원회의 구성원들, 그리고 기타 연방 이해관계자들로 구성된 공동 위원회이며 최종 작업에는 개인정보보호 수석 담당관(SAOP), 그리고 30개 이상의 연방 부처, 기관, 사무소, 단체의 대표자들이 참여했다고 한다. 그림 1 제로 트러스트 성숙도 모델의 5개 기둥 (그림 출처: CISA) 이 글에서는 제로 트러스트 데이터 보안 가이드에서 다루고 있는 내용을 소개하고자 한다. 다만, 가이드의 상세한 내용보다는 주요 용어와 주제 중심으로 간단히 정리하였으므로, 우선 이글을 통해 가이드의 개요를 파악한 후 원문에서 궁금한 부분을 좀 더 상세히 살펴볼 수 있을 것이다. 문서의 구성 이 가이드는 다음과 같은 세 부분으로 구성된다.
![]() 그림 2 DLM과 제로 트러스트 보안 모델과의 관계 (출처: Forrester Research) 본 가이드에서 데이터 관리 부분은 일단 빠져있으나 곧 논의를 거친 후 완성될 것이라 한다. 데이터 정의와 데이터 보안에서는 어떤 주제가 다루어지는지 살펴보겠다. 데이터 정의(Define the Data) 기관의 데이터 환경은 유형, 형식, 위치, 사용 사례의 다양성으로 인해 매우 복잡한 양상을 띠고 있다. 여기에는 엔드포인트의 데이터베이스와 파일에 저장된 PII(개인식별정보), 클라우드 환경에 저장된 디지털 대화, 데이터 레이크와 파일 저장소의 구조화/비구조화 데이터 등을 포함한다. 제로 트러스트 데이터 보안을 성공적으로 구현하기 위해서 기관은 데이터 자산을 철저히 이해하고 분류해야 한다. 이 장에는 다음과 같은 내용을 포함한다.
요약하면 데이터를 정의하고 분류하는 데 필요한 체계적이고 구체적인 접근 방식을 설명한다. 데이터 인벤토리와 카탈로그 구축, 법적 요건 준수, 데이터 라벨링과 같은 실질적인 가이드를 통해 기관은 제로 트러스트 데이터 보안을 위한 강력한 기초를 마련할 수 있다. 데이터 보안(Secure the Data) 여기에서는 데이터를 보호하기 위한 구체적인 전략과 보안 통제를 다룬다. 제로 트러스트 보안 원칙을 데이터 보안에 적용하여 데이터의 기밀성, 무결성, 가용성을 유지하는 방법을 설명한다. 각 항목의 내용을 요약하면 다음과 같다.
요약하면 데이터를 보호하기 위한 구체적인 접근 방식을 다룬다. 데이터 보안 위험 관리, 데이터 팀과 보안 팀 간 협력, 제3자 리스크 평가, 프라이버시 통합, ICAM, 지속적 모니터링 등의 요소를 종합적으로 설명하며, 제로 트러스트 데이터 보안을 효과적으로 실행할 수 있는 실질적인 가이드를 제공한다. 결론 및 요약 연방정부의 제로 트러스트 데이터 보안 가이드는 데이터를 새로운 보안 경계로 인식하는 비전에서 시작하여, 데이터의 정의, 분류, 보안에 이르는 포괄적인 접근 방식을 제시한다. 또한, 데이터 환경을 전체적으로 파악하고 식별하는 방법을 제시하며, 적절한 보안 통제와 모니터링을 통해 데이터를 보호하는 방안을 설명한다. 성공적인 데이터 보안을 위해서 부서 간 협력과 효과적인 의사소통, 데이터 팀과 보안팀의 협력적 관계, 지속적인 학습과 교육, 교차 분석과 평가, 전사적 동의와 지원, 적응성 있는 구현이 필수적임을 강조한다. 모든 기기가 서로 연결되어 데이터 생태계의 위협 표면(threat surface)이 확장된 상황에서, 기관들은 혁신과 협력을 통해 연방정부의 데이터 보안 아키텍처를 발전시키고 미래의 위협에 대한 회복력을 구축해야 한다는 것으로 결론을 맺는다. 이 가이드에서는 제로 트러스트 보안을 구현하기 위한 데이터 중심의 접근 방법을 상세히 설명하고 있다. 이 가이드는 미국 연방정부 기관을 대상으로 하고 있으나 우리나라에서도 제로 트러스트 모델 구현을 검토하고 있는 조직의 CDO 및 보안 담당자들이 출발점을 찾기 힘들 때 훌륭한 초기 지침서가 될 것이다. 참고문헌 1) The White House, “Executive Order on Improving the Nation’s Cybersecurity”, May 12, 2021 2) OMB, “Moving the U.S. Government Toward Zero Trust Cybersecurity Principles”, Jan 26, 2022 3) CISA, “Zero Trust Maturity Model” https://www.cisa.gov/zero-trust-maturity-model 4) “Federal Zero Trust Data Security Guide”, Oct. 2024 https://www.cio.gov/assets/files/Zero-Trust-Data-Security-Guide_Oct24-Final.pdf 5) 더 많은 관련 법령, 행정 명령 및 규정은 가이드 원문을 참고하기 바란다. 6) 데이터 스튜어드는 조직 내에서 데이터의 품질, 정확성, 보안 및 규정 준수를 책임지고 관리하는 핵심 역할을 수행하는 전문가를 말한다. 7) Controlled Unclassified Information(CUI)은 미국 연방정부가 생성하거나 소유한 비기밀 정보로, 법률, 규정 및 정부 정책에 따라 보호 및 배포 통제가 필요한 민감한 정보를 의미한다.
이슈리포트_2024-12호.pdf (1 MB)
|