본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
(부제) 나는 CISO 이다/ISMS-P 인증심사

NSTAC : 제로 트러스트 및 신뢰할 수 있는 ID 관리 보고서

by 노벰버맨 2023. 8. 22.

미국에서는 연방 제로 트러스트 전략(Federal Zero Trust Strategy)이 발표된 직후 미 국가안보통신자문위원회(National Security Telecommunications Advisory Committee, NSTAC)가 ‘제로 트러스트 및 신뢰할 수 있는 ID 관리 보고서(Zero Trust and Trusted Identity Management report)’를 발표

'행정 명령(Executive Order) 14028 : 국가 사이버보안 개선'에 따라 제로 트러스트 구현을 위한 조건 강조

 

1. 제로 트러스트는 장기적, 변혁적 노력이다

제로 트러스트 문화를 이끌고 기존 기술 체계를 재설계하는 방대한 작업이 필요한 10년 이상 장기적인 노력 필요한 활동

 

2. 제로 트러스트 지침을 활용하라

다양한 제로 트러스트 지침과 문서를 통해 연방 정부의 제로 트러스트 권장 사항, 목표 등을 이해 가능

 

NIST 800-207 : 제로 트러스트 아키텍처

DoD(Department of Defense)의 제로 트러스트 참조 아키텍처

NSA(National Security Agency)의 제로 트러스트 보안 모델 채택 가이드

CISA(Cybersecurity and Infrastructure Security Agency)의 제로 트러스트 성숙도 모델

OMB(Office of Management and Budget)의 연방 제로 트러스트 전략 

 

3. 구현 계획을 수립하라

 

  • 보호 표면 정의
  • 트랜잭션 흐름 매핑
  • 제로 트러스트 아키텍처 구축
  • 제로 트러스트 정책 마련
  • 네트워크 모니터링 및 유지

4. 제로 트러스트 전략을 규정 준수 요건에 맞춰라

제로 트러스트 전략과 기존 규정 준수 요구사항(미국의 경우 FISMA)을 명확하게 정리하고, 정렬시킬 필요가 있음

5. 제로 트러스트 프로그램 사무소를 구축하라 (중앙 통제소)
제로 트러스트 프로그램 전담 사무소 구축, 주요 영역의 공유 서비스 사용 최대화

DoD는 최근 제로 트러스트 프로그램 전담 사무소를 마련하였으며 NSTAC 보고서에서 연방 정부도 그렇게 해야 한다고 강조

구현 지침, 아키텍처, 플레이북 등을 운영하기 위한 전담 부서를 만드는 데도 도움이 됨

6. 특정 기능을 위한 보안 서비스를 공유하라

중앙 프로그램 사무소를 기반으로 인터넷 액세스 자산 검색과 같은 특정 기능을 위한 보안 서비스 공유 가능

비용/라이선스 효율성, 시야 개선, 효과 증대와 같은 여러 혜택 제공 가능
무분별하게 난립한 툴과 사일로화된 솔루션으로는 제로 트러스트의 성공을 위해 필요한 전사적인 가시성과 영향력 구축 불가

툴의 난립으로 인한 다양한 솔루션으로 인해 관리 복잡성과 최종 사용자 통합 및 마찰이라는 문제가 발생하고, 제로 트러스트의 성공에 방해 

 

7. 클라우드 서비스를 사용하여 도입을 가속화하라

클라우드 서비스의 빠른 도입은 연방 기관의 제로 트러스트 도입을 대폭 가속화할 것으로 예상

클라우드의 이점은 데이터, ID, 자동화 같은 모든 분야를 포괄

클라우드 도입은 원격 인력의 증가에 대처해야 하는 기관과 조직에도 도움 가능

 

8. 성공을 위해서는 효과적인 신원 관리가 필수

ID가 제로 트러스트에서 근본적인 요소

사람뿐 아니라 사람이 아닌 개체 모두 ID에 포함

지침은 연방 및 민간 분야 조직이 직면한 현대 클라우드 네이티브 및 원격 인력 환경에 대응하는 현대적 ID 관리 솔루션의 필요성을 강조

 

댓글