본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그

정보보호501

제로트러스트 핵심구성요소별 기능 및 구현 기술 연계 1. 식별자·신원기능세부 구현내용구현 기술/솔루션식별자 관리클라우드·온프레미스 전반 글로벌 ID 통합 관리IdP (Okta, Microsoft Entra ID, Ping Identity), AD Federation, LDAP 통합, SCIM 프로토콜인증컨텍스트 기반 지속적 신원 검증FIDO2/WebAuthn, MFA (Duo, Google Authenticator), Passkey, 인증서 기반 인증(PKI), 적응형 인증(Adaptive MFA)위험도 평가AI 기반 실시간 사용자 행동 분석 및 위험도 결정UEBA (Securonix, Exabeam, Microsoft Sentinel), AI/ML 기반 위험 스코어링, SIEM 연동접근 관리자동화된 적시·최소권한(JIT/JEA) 접근 적용PAM (Cyb.. 2026. 3. 2.
제로트러스트 6대 핵심구성요소 간 모호한 경계(차이점) 정리 1. 식별자·신원 vs 기기·엔드포인트 "접근 주체 vs 접근 수단"의 차이점구분 식별자·신원 기기·엔드포인트 검증 대상사람(계정) — "이 ID가 진짜 맞는가?"기기(단말) — "이 기기가 신뢰할 수 있는가?"핵심 기술MFA, FIDO, SSO, UEBAEDR/XDR, MDM, 취약점 스캐너접근 결정 근거사용자 행동 이상, 자격증명 위험도기기 패치 수준, 보안 설정 준수 여부※ 혼동 포인트: - 컨텍스트 기반 인증(식별자)은 기기 상태 정보를 참조즉, "기기 상태 정보는 식별자·신원의 입력값"이지, 식별자 요소가 기기를 관리하는 것은 아니며기기 자체의 자산 관리·위협 보호·패치는 어디까지나 기기·엔드포인트 영역임 2. 네트워크 vs 시스템"통신 경로 vs 목적지 인프라"의 차이점 (모두 인프라 영역).. 2026. 3. 2.
제로트러스트 핵심구성요소 6가지 1. 식별자·신원 (Identity) 핵심 질문"접근을 요청하는 주체가 누구인가?"영역사람·서비스·봇 등 모든 접근 주체를 식별하고, 그 신원을 지속적으로 검증하는 영역주요 기능식별자 관리: 온프레미스~클라우드 전반의 ID를 통합 관리 (SSO, 글로벌 ID)인증: 패스워드 → MFA → FIDO → 컨텍스트 기반 인증 → 지속적 신원 검증으로 진화위험도 평가: 정적 규칙 기반 → AI 기반 실시간 사용자 행동 분석(UEBA)으로 진화접근 관리: 역할 기반의 정적 권한 → 적시·최소권한(JIT/JEA)의 동적 접근 제어로 진화요약 "누가 접근하는지"를 확인하고, 그 신뢰도를 지속적으로 측정 2. 기기 및 엔드포인트 (Device & Endpoint)핵심 질문"접근에 사용되는 기기는 안전한가?"영역접근 .. 2026. 3. 2.
제로트러스트 모델의 3대 교차기능과 핵심구성요소 연계 글로벌 표준(CISA ZTMM 2.0 등)을 기반으로 3대 교차 기능과 6대 핵심구성요소(식별자, 기기, 네트워크, 시스템, 앱, 데이터)와의 연계 방안 1. 거버넌스 (Governance)가. 정의조직의 보안 전략 수립, 리스크 관리 및 자산 보호를 위한 통합 관리·감독 체계나. 역할구분설명정책 수립 및 중앙 집중화조직 전체의 접근 통제 규칙(Policy) 정의 및 일관성 확보자산 목록화보호 대상 리소스(데이터, 앱, 기기 등)의 전수 파악 및 가시화준거성(Compliance) 보장대외 법규 및 내부 보안 지침 준수 여부 상시 감사- 조직 전체의 제로트러스트 보안 전략 수립, 리스크 평가 및 준거성 관리 총괄다. 주요 기술적 요소구분설명GRC 솔루션리스크 평가 및 규제 준수 자동화 관리 도구IAM/PA.. 2026. 2. 18.
접근 주체 & 접근 환경 신뢰도 평가 조건 제로트러스트 환경에서는 단순히 '누구인가'를 넘어 '어떤 상황에서(Context)' 접근하는지를 수치화하여 신뢰 점수 산출 & 인증/접근제어 적용1. 접근 주체(User & Device) 유형별 신뢰도 평가 조건-각 주체의 직무 중요도와 보안 리스크에 따라 인증 강도와 접근 허용 범위를 다르게 설정 적용 가. User별 신뢰도 평가접근 주체주요 평가 속성 (Attributes)신뢰도 평가 조건값 (Criteria)접근 정책 (Policy)일반 직원소속 부서, 기기 보안 상태, 접속 시간인가 단말 여부, 최신 패치 및 백신 활성화SSO + MFA, 일반 업무 시스템 허용중요 직무자직무 중요도, 생체 정보, 접속 위치지정 장소 및 IP 일치, FIDO 인증 완료강력한 MFA, 세션 단축, 캡처 방지외주 개발.. 2026. 2. 17.
PIP(Policy Information Point, 정책 정보 지점) 제로트러스트 아키텍처는 단순히 '인증'만 하는 것이 아니라, 다양한 데이터를 종합하여 '신뢰도'를 계산하며 결정에 필요한 근거 자료를 제공하는 원천이 바로 PIP이다.1. PIP(Policy Information Point)의 정의PIP는 정책 결정에 필요한 다양한 정보를 보관하고 제공하는 시스템이며, 정책 결정 지점(PDP)이 "이 사용자의 접속을 허용할까?"라고 고민할 때, PIP는 사용자의 신원, 기기의 보안 상태, 위협 인텔리전스 등 판단의 근거가 되는 데이터를 실시간으로 전달하는 역할을 한다.2. PIP가 제공하는 주요 정보 (6대 핵심 요소 중심)KISA 가이드라인 2.0에서는 제로트러스트의 6대 핵심 요소와 연계한 PIP의 역할ID(신원) 정보: 사용자의 부서, 직급, 근무 시간, 근무상태(.. 2026. 2. 17.
제로 트러스트 보안 6원칙 사용자가 리소스에 접근하려 할 때, 중앙 정책 엔진(PDP)이 사용자/기기 상태(1, 3원칙)와 기업 정책(2, 4원칙)을 분석하여, 보안된 통로(5원칙)를 통해 접근을 허용하고, 이 모든 과정은 실시간으로 기록 및 분석(6원칙) 1. 기본 전제: 암묵적 신뢰의 완전 배제 (Assume Breach)모든 접근 시도는 물리적 위치나 네트워크 환경에 상관없이 기본적으로 '거부(Deny)' 상태에서 시작합니다.명시적 신뢰 확인: 기업망 내 가치 있는 모든 리소스에 대한 접근은 사전에 정의된 인증 및 승인 과정을 거치기 전까지 결코 허용되지 않습니다.동적 신뢰 평가: 성공적으로 인증된 세션이라도, 모니터링 중 의심 징후가 발견되면 즉시 추가 인증을 요구하거나 해당 세션을 강제 종료합니다.2. 중앙집중적 정책 관.. 2026. 2. 17.
기존 모델과 제로 트러스트 모델 비교 1. 제로트러스트 보안모델의 필요성 -네트워크 상의 경계에서 외부로부터의 공격에 대응하는 다양한 방법 고려 -재택·원격 근무의 확대, 클라우드 기술의 등장 등으로 접근 주체와 리소스의 네트워크 상의 위치 다양화 -경계가 불분명해짐에 따라 기존 보안 방식만으로는 모든 위협 대응 불가 -공격자가 내부 침투에 성공하는 경우 경계에서의 보안 대책은 더이상 공격에 대한 대응책이 될 수 없다는 단점 존재 2. 기존 경계 기반 보안 모델 (Castle-and-Moat)가. 정의-네트워크 '경계'를 기준으로 내부와 외부를 구분하고 일단 내부 네트워크에 접속한 주체는 기본적으로 신뢰하는 구조 나. 특징-신뢰 구조: 내부 네트워크 사용자는 이미 검증된 것으로 간주하여 리소스 접근 권한을 폭넓게 허용 -접근 제어: 방화벽(.. 2026. 2. 17.
SPA(Single Packet Authorization) 1. SPA의 개요가. SPA의 정의개념: 단일 패킷(Single Packet) 내에 암호화된 인증 정보를 담아 전송함으로써 서비스 포트를 열기 전 사용자를 식별하는 보안 기술핵심 역할: 제로트러스트의 '선 인증 후 연결' 원칙을 구현하여 인가되지 않은 사용자에게 자산 노출을 원천 차단나. SPA의 특징비연결형 인증: TCP 핸드셰이크 전 UDP 패킷을 통해 인증을 수행하여 서버 리소스 소모 방지자산 은닉성: 인증 성공 전까지 모든 서비스 포트를 'Drop' 설정으로 유지하여 외부 스캐닝 무력화강력한 보안성: 패킷 전체를 암호화하고 일회성 토큰(Nonce)을 사용하여 재전송 공격 방어2. SPA의 기술 상세가. SPA의 장단점장점공격 노출면 제거: 인터넷상에서 서버의 존재가 보이지 않는 'Black Cl.. 2026. 2. 2.
제로트러스트 요소기술, SDP 1. ZT의 개요가. ZT의 정의기본 철학: "절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"는 원칙 기반의 새로운 보안 패러다임작동 원리: 네트워크 위치와 상관없이 모든 접근 요청을 잠재적 위협으로 간주하고, 신원 및 기기 상태를 지속적으로 검증하는 체계나. ZT의 특징지속적 검증: 접속 시점뿐만 아니라 세션 유지 전 과정에서 신뢰 수준을 실시간으로 평가최소 권한 부여: 사용자나 기기가 업무 수행에 필요한 최소한의 자원에만 접근하도록 제한침해 가정 보안: 내부 네트워크가 이미 침해되었다는 가정하에 공격의 횡적 이동을 차단하는 설계2. SDP의 개요가. SDP의 정의개념: 신원(Identity) 기반의 논리적 보안 경계를 소프트웨어적으로 생성하여 리소스를 보호하는 .. 2026. 2. 2.
사이버 레질리언스 첫걸음 고도화된 정보사회의 위생 점검, ‘사이버 하이진’“일시적 문제 해결이 아닌 지속 현황 파악과 대응 관리가 더욱 중요해” https://m.boannews.com/html/detail.html?tab_type=1&idx=136862 2025. 5. 18.
개인정보 안전성 확보조치 (11. 공공시스템 운영기관 등 개인정보 안전성 확보조치) I. 공공시스템운영기관의 안전조치 기준 적용 다음의 하나에 해당하는 개인정보처리시스템 중 개인정보보호위원회가 지정하는 개인정보처리시스템(이하 공공시스템)을 운영하는 공공기관(이하 공공시스템운영기관)은 안정성 확보조치 기준의 제2장 외에 추가로 이 사항을 조치하여야 함 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이 용할 수 있도록 한 단일접속 시스템으로서 다음 하나에 해당하는 경우 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 정보주체의 사생활을 현저히 침해할 우려가 있는 민감한 개인정보를 처리하는 시스템 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여.. 2023. 11. 29.
개인정보 안전성 확보조치 (10. 개인정보의 파기) 개인정보를 파기할 경우 필요한 조치 완전파괴(소각ㆍ파쇄 등) 전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 개인정보의 일부만을 파기하는 경우, (위의 조치를 적용하기 어려운 경우) 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제 안전성 확보조치에만 존재하던 사항을 모든 개인정보처리자에게 적용 기술적 특성으로 위의 방법으로 파기하는 것이 현저히 곤란한 경우 개인정보보호법 제58조의2 익명정보로 처리하여 복원이 불가능하도록 조치 2023. 11. 29.
개인정보 안전성 확보조치 (9. 출력 복사 시 안전조치) 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정 용도에 따라 출력 항목을 최소화 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력ㆍ복사물을 안전하게 관리하기 위해 필요한 안전조치 기술적 관리적 보호조치에만 존재하던 조항이 모든 개인정보처리자에게 적용 2023. 11. 29.
개인정보 안전성 확보조치 (8. 재해 재난 대비 안전조치) 화재, 홍수, 단전 등의 재해ㆍ재난 발생 시 개인정보처리시스템 보호를 위해 다음 조치 적용 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검 개인정보처리시스템 백업 및 복구를 위한 계획을 마련 안전성 확보조치에만 존재하던 조항을 모든 개인정보처리자에게 적용하도록 개정 대상 10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업ㆍ중견기업ㆍ공공기관 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업ㆍ단체 2023. 11. 29.
개인정보 안전성 확보조치 (7. 물리적 안전조치) 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립ㆍ운영 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책 마련 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우, 예외 가능 기존 안전성 확보조치와 기술적 관리적 보호조치와 유사 2023. 11. 29.
개인정보 안전성 확보조치 (6. 악성프로그램 등 방지) 악성프로그램 등을 방지ㆍ치료할 수 있는 보안 프로그램을 설치ㆍ운영 목적과 기능에 따라 다양한 제품을 환경에 맞게 설치 운영할 수 있도록 '백신 프로그램 등'에 대한 사항은 삭제 다음의 사항 준수 의무 프로그램의 자동 업데이트 기능을 사용하거나, 정당한 사유가 없는 한 일 1회 이상 업데이트를 실시하는 등 최 신의 상태로 유지 발견된 악성프로그램 등에 대해 삭제 등 대응 조치 긴급 공지가 있는 경우의 조치 악성프로그램 관련 경보가 발령된 경우 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 정당한 사유가 없는 한 즉시 이에 따른 업데이트 등 실시 2023. 11. 29.
개인정보 안전성 확보조치 (5. 접속기록의 보관 및 점검) 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관ㆍ관리 다음의 경우에는 2년 이상 보관ㆍ관리 (안전성 확보조치와 기술적 관리적 보호조치에 존재하던 예외 조항 통합) 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검 개인정보 다운로드가 확인된 경우, 내부 관리계획 등으로 정하는 바에 따라 사유 확인 접속기록이 위ㆍ변조 및 도난,.. 2023. 11. 29.

티스토리툴바