KR102655993B1 - 제로트러스트모델 기반 보안 서비스 제공 시스템 - Google Patents

제로트러스트모델 기반 보안 서비스 제공 시스템 Download PDF

Info

Publication number
KR102655993B1
KR102655993B1 KR1020230156236A KR20230156236A KR102655993B1 KR 102655993 B1 KR102655993 B1 KR 102655993B1 KR 1020230156236 A KR1020230156236 A KR 1020230156236A KR 20230156236 A KR20230156236 A KR 20230156236A KR 102655993 B1 KR102655993 B1 KR 102655993B1
Authority
KR
South Korea
Prior art keywords
zero trust
access
scenario
security service
user terminal
Prior art date
Application number
KR1020230156236A
Other languages
English (en)
Inventor
남민상
Original Assignee
주식회사 엔텀
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔텀 filed Critical 주식회사 엔텀
Application granted granted Critical
Publication of KR102655993B1 publication Critical patent/KR102655993B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)

Abstract

제로트러스트모델 기반 보안 서비스 제공 시스템이 제공되며, 기업망(Network)에 접속한 후 마이크로 세그멘테이션(Micro-Segmentation) 및 소프트웨어 정의 경계(Software-Defined Perimeter)를 통한 리소스 보호가 수행되는 사용자 단말 및 제로트러스트모델이 구축될 기업망을 설정하는 의뢰접수부, 기업망에 적어도 하나의 침투 시나리오 및 대응 시나리오를 제로트러스트모델을 기반으로 구축하는 구축부, 사용자 단말에서 기업망에 접속하는 경우 리소스 보호를 수행하여 시각화하는 시각화부, 사용자 단말에서 적어도 하나의 침투 시나리오에 대응하는 이벤트가 발생하는 경우 대응 시나리오를 개시하는 대응부를 포함하는 보안 서비스 제공 서버를 포함한다.

Description

제로트러스트모델 기반 보안 서비스 제공 시스템{SYSTEM FOR PROVIDING ZERO TRUST MODEL BASED SERUITY MANAGEMENT SERVICE}
본 발명은 제로트러스트모델 기반 보안 서비스 제공 시스템에 관한 것으로, 비즈니스 프로세스에 맞는 제로트러스트모델을 구축하고, 리소스 보안을 위하여 모니터링을 수행하며, 침투 및 대응 시나리오를 제공하는 솔루션을 제공한다.
최근 보안 분야에서는 제로트러스트(Zero Trust)라는 개념이 주목받고 있다. 제로트러스트는 조직 내부인과 외부인의 구분 없이 조직의 정보 시스템에 접근하려는 어느 누구도 신뢰하지 않고 지속적으로 위험성을 평가하여 인증하는 것을 말한다. 제로트러스트의 특성을 명확하게 파악하기 위해서는 보안 패러다임인 경계보안(Perimeter-based Security) 모델을 이해할 필요가 있는데, 경계보안모델은 조직에서 운영 중인 정보 시스템의 범위를 정의하고 그 내부에 위치한 자원을 보호하는 모델이다. 즉, 조직의 내부는 보안 위협에 안전하고 외부는 위험하다는 가정을 전제로 한다. 반면, 제로트러스트는 사용자가 정보 시스템에 대한 접근을 요청할 때 아무것도 신뢰하지 않는다는 개념이다. 모든 사용자를 그 위치와 상관없이 신뢰할 수 없는 공격자로 가정하고 정보 시스템에 접근하려는 사용자가 충분히 검증된 경우에만 접근 권한을 허가한다. 접근 권한을 받은 사용자는 허가된 정보 자원에만 접근할 수 있고 그 외에는 접근할 수 없다. 이런 측면에서 조직 외부의 사용자에 대해 검증하지만 일단 접근 권한을 받은 사용자는 정보 시스템에 대한 접근을 모두 허용하는 경계보안모델과 대비된다.
이때, 제로트러스트모델을 구축하기 위해 각 단말의 MAC 및 IP를 검증하거나 멀티팩터를 이용한 보안인증을 수행하는 방법이 연구 및 개발되었는데, 이와 관련하여, 선행기술인 한국등록특허 제10-2576357호(2023년09월11일 공고) 및 한국등록특허 제10-2402705호(2022년05월30일 공고)에는 제로트러스트모델을 기반으로 보안인증을 수행하면서, 외부에서 접속하는 단말의 보안성을 체계적으로 검증 및 평가하여 트러스트존(Trust Zone)에 접속을 허용하는 구성과, 망분리 솔루션 서버로부터 접속요청이 수신되면, 접속요청 카테고리에 따라 결정되는 시나리오에서 선택된 특정 시나리오에 따라 위치기반 분석결과 및 신원기반 증명정보를 참조하여 접속요청을 검증하는 구성이 각각 개시되어 있다.
다만, 전자의 경우 원격 또는 외부로부터 접속하는 단말을 검증하는 구성으로 일반적인 경계보안모델과 동일하며, 후자의 경우에도 외부로부터 접속하는 단말을 위치와 신원정보를 더 검증함으로써 멀티팩터로 검증을 하겠다는 경계보안모델을 부가한 구성일 뿐, 제로트러스트모델을 어떻게 도입 및 구축하고, 침투가 발생했을 때 어떠한 대응을 할 것인지에 대한 솔루션은 제시되고 있지 않다. 이에, 제로트러스트모델의 도입, 구축, 모니터링 및 침투대응에 대한 통합적인 솔루션을 제공하는 시스템의 연구 및 개발이 요구된다.
본 발명의 일 실시예는, 제로트러스트모델을 도입할 때 비즈니스 프로세스에 대응하는 제로트러스트 솔루션을 제공할 수 있도록 준비, 분류, 선택, 구현, 평가, 인가 및 모니터링의 위험 관리 프레임워크에 기반한 의사결정과정을 거치고, 제로트러스트모델이 구축된 후 침투가 발생했을 때 대응을 할 시나리오를 각각 설정하며, 제로트러스트모델이 구축된 후에도 리소스 보호를 위하여 사용자와 단말에 대하여 지속적인 인증 및 신뢰도 검증을 수행하고, 모니터링 결과를 가시화 및 시각화하여 제공할 수 있는, 제로트러스트모델 기반 보안 서비스 제공 시스템을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, 기업망(Network)에 접속한 후 마이크로 세그멘테이션(Micro-Segmentation) 및 소프트웨어 정의 경계(Software-Defined Perimeter)를 통한 리소스 보호가 수행되는 사용자 단말 및 제로트러스트모델이 구축될 기업망을 설정하는 의뢰접수부, 기업망에 적어도 하나의 침투 시나리오 및 대응 시나리오를 제로트러스트모델을 기반으로 구축하는 구축부, 사용자 단말에서 기업망에 접속하는 경우 리소스 보호를 수행하여 시각화하는 시각화부, 사용자 단말에서 적어도 하나의 침투 시나리오에 대응하는 이벤트가 발생하는 경우 대응 시나리오를 개시하는 대응부를 포함하는 보안 서비스 제공 서버를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 제로트러스트모델을 도입할 때 비즈니스 프로세스에 대응하는 제로트러스트 솔루션을 제공할 수 있도록 준비, 분류, 선택, 구현, 평가, 인가 및 모니터링의 위험 관리 프레임워크에 기반한 의사결정과정을 거치고, 제로트러스트모델이 구축된 후 침투가 발생했을 때 대응을 할 시나리오를 각각 설정하며, 제로트러스트모델이 구축된 후에도 리소스 보호를 위하여 사용자와 단말에 대하여 지속적인 인증 및 신뢰도 검증을 수행하고, 모니터링 결과를 가시화 및 시각화하여 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 제로트러스트모델 기반 보안 서비스 제공 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 시스템에 포함된 보안 서비스 제공 서버를 설명하기 위한 블록 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 제로트러스트모델 기반 보안 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 제로트러스트모델 기반 보안 서비스 제공 방법을 설명하기 위한 동작 흐름도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체 지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.
본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 제로트러스트모델 기반 보안 서비스 제공 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 제로트러스트모델 기반 보안 서비스 제공 시스템(1)은, 적어도 하나의 사용자 단말(100), 보안 서비스 제공 서버(300), 적어도 하나의 기업 서버(400)를 포함할 수 있다. 다만, 이러한 도 1의 제로트러스트모델 기반 보안 서비스 제공 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통하여 본 발명이 한정 해석되는 것은 아니다.
이때, 도 1의 각 구성요소들은 일반적으로 네트워크(Network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 적어도 하나의 사용자 단말(100)은 네트워크(200)를 통하여 보안 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 보안 서비스 제공 서버(300)는, 네트워크(200)를 통하여 적어도 하나의 사용자 단말(100), 적어도 하나의 기업 서버(400)와 연결될 수 있다. 또한, 적어도 하나의 기업 서버(400)는, 네트워크(200)를 통하여 보안 서비스 제공 서버(300)와 연결될 수 있다.
여기서, 네트워크는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예에는 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷(WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), 5GPP(5th Generation Partnership Project), 5G NR(New Radio), 6G(6th Generation of Cellular Networks), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), RF(Radio Frequency), 블루투스(Bluetooth) 네트워크, NFC(Near-Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.
하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다 할 것이다.
적어도 하나의 사용자 단말(100)은, 제로트러스트모델 기반 보안 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 제로트러스트모델에 따라 보안 인증을 수행하고, 사용자 및 기기에 대한 권한을 체크받으며, 리소스를 모니터링받는 사용자의 단말일 수 있다.
여기서, 적어도 하나의 사용자 단말(100)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 사용자 단말(100)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 사용자 단말(100)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
보안 서비스 제공 서버(300)는, 제로트러스트모델 기반 보안 서비스 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 제공하는 서버일 수 있다. 그리고, 보안 서비스 제공 서버(300)는, 제로트러스트모델을 구축하고, 침투 시나리오에 대응한 대응 시나리오를 갖추며, 이상행동을 모니터링하여 제공하는 서버일 수 있다.
여기서, 보안 서비스 제공 서버(300)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.
적어도 하나의 기업 서버(400)는, 제로트러스트모델 기반 보안 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 각 사용자 단말(100)의 접근에 대한 보안 솔루션을 제공받고 사용자 단말(100)의 접근, 리소스, 이상행동을 모니터링한 결과를 출력하는 서버일 수 있다.
여기서, 적어도 하나의 기업 서버(400)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 기업 서버(400)는, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 기업 서버(400)는, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
도 2는 도 1의 시스템에 포함된 보안 서비스 제공 서버를 설명하기 위한 블록 구성도이고, 도 3 및 도 4는 본 발명의 일 실시예에 따른 제로트러스트모델 기반 보안 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 2를 참조하면, 보안 서비스 제공 서버(300)는, 의뢰접수부(310), 구축부(320), 시각화부(330), 대응부(340), 도입준비부(350), 의사결정유도부(360), 이상행위탐지부(370), 접근제어부(380)를 포함할 수 있다.
본 발명의 일 실시예에 따른 보안 서비스 제공 서버(300)나 연동되어 동작하는 다른 서버(미도시)가 적어도 하나의 사용자 단말(100) 및 적어도 하나의 기업 서버(400)로 제로트러스트모델 기반 보안 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, 적어도 하나의 사용자 단말(100) 및 적어도 하나의 기업 서버(400)는, 제로트러스트모델 기반 보안 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 적어도 하나의 사용자 단말(100) 및 적어도 하나의 기업 서버(400)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: World Wide Web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(Hyper Text Mark-up Language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 크롬(Chrome), 에지(Microsoft Edge), 사파리(Safari), 파이어폭스(FireFox), 웨일(Whale), UC 브라우저 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(Application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(App)을 포함한다.
도 2를 참조하면, 의뢰접수부(310)는, 제로트러스트모델이 구축될 기업망을 설정할 수 있다. 사용자 단말(100)은, 온프레미스와 클라우드를 모두 포함하는 기업망에 연결된 기기일 수 있다.
구축부(320)는, 기업망에 적어도 하나의 침투 시나리오 및 대응 시나리오를 제로트러스트모델을 기반으로 구축할 수 있다. 도 4와 같이 제로트러스트 아키텍처를 도입하기 위해서, 기업에서 가장 중요한 행위는 현재 수준을 평가(Assessment)하는 것이다. 현재 기업에서 업무를 수행하는데 있어 활용하고 있는 업무 프로세스 내지는 워크플로우에 대한 정확한 파악을 통해, 어떤 접근 주체가 어떤 리소스에 접근하는 것을 허용하는지를 알 수 있을 것이며, 접근 주체와 리소스에 대해서도 명확한 식별이 있어야 한다. NIST SP 800-207에서는 제로트러스트 전환 단계에 대하여, 기업이 제로트러스트 아키텍처 도입을 시작하기 전 자산과 접근 주체, 데이터 흐름, 워크플로우 등에 대해 조사해야 한다고 명시하고 있다. 정책 엔진은 리소스의 요청을 평가할 때 이에 대한 지식이 있어야 하는데, 이 지식이 완벽하지 않으면 불충분한 정보로 인하여 정책 엔진이 정상적인 요청을 거부할 가능성이 있다. 따라서, 현재의 운영 상태를 명확히 파악하여야 하며, 그를 바탕으로 어떤 신규 시스템이나 프로세스가 필요한지를 결정하여야 한다. 제로트러스트 아키텍처를 도입하기 위한 단계는, NIST SP 800-37의 위험 관리 프레임워크에서 제시하는 각 단계와 대응할 수 있다. 제로트러스트 아키텍처 채택 그 자체가 기관의 업무 기능에 대한 위험을 줄여줄 수 있기 때문이다.
단계 의미
준비 조직이 보안과 프라이버시 위험을 관리하기 위해 준비하는 필수 활동
분류 영향 분석에 기반하여 처리, 저장, 전송되는 시스템 및 정보 분류
선택 위혐 평가에 기반하여 시스템을 보호하기 위한 NIST SP 800-53 제어 세트 선택
구현 제어 구현 및 제어 배포 방법 문서화
평가 제어가 제자리에서 의도한 대로 작동하며 원하는 결과를 생성하는지 판단하기 위한 평가
인가 상급 관리자는 시스템 작동을 인가하기 위해 위험 기반 결정
모니터링 제어 구현 및 시스템에 대한 위험을 지속적으로 모니터링
<침해 대응 시나리오>
시나리오 경계 기반 보안 모델의 한계 제로트러스트 보안 모델의 대응 시나리오
사용자
자격증명 도용		 -일반적으로 사용자 자격 증명이 위조될 경우, 기기와 관계없이 기업망 내부 리소스 접근할 수 있어 피해 발생
-기업 외부 접속 시 강화된 다중 인증 등 인증 환경을 강화함으로써 일부 대응 가능		 -위장 기기인 경우, 접근 권한이 부여되지 않고 해당 정보에 대한 로그 및 모니터링
-정상적인 자격 증명 후에도 신뢰도가 충분하지 않은 이벤트 발생 시 강화된 다중 인증 적용을 통한 대응
원격 공격 혹은 내부자 위협 -네트워크에 접속, 권한 상승 후 횡적 이동을 통해 다양한 리소스에 접근하거나 손상시키는 등 피해를 줄 수 있음 -네트워크는 마이크로 세그멘테이션 되어 관리되므로, 공격자의 횡적 이동이 쉽지 않음
-데이터 접근은 보안 정책, 사용자 역할, 기기 속성 등에 따라 제한되며, 세밀한 접근제어를 통해 민감한 데이터 접근 불가
-사용자 행위에 대한 모니터링을 통해 비정상적인 활동시 추가 인증 요구 혹은 동적인 접근 제한 가능
공급망 침투 -해당 접속에 대해 신뢰성이 부여되어, 이후 벌어지는 대다수 공격에 대한 대응 불가 -정상적인 기기에 정상적으로 배포된 프로그램이라 하더라도 일단 신뢰하지 않으므로, 데이터 접근은 최소화로 이루어져 피해를 최소화할 수 있음
-모든 네트워크 연결이 감시되므로, 허가받지 않은 원격 접속을 통한 공격 명령/통제 및 데이터 전송 역시 대응 가능
<사용자 자격증명 도용(Compromised User Credentials)>이 시나리오에서는, 악의적인 공격자가 정당한 사용자의 자격 증명을 위조하여 기업 내 리소스에 접근하고자 한다. 이 경우, 악의적인 공격자는 원격으로 혹은 기업 내 무선랜에 접속하는 위장 기기와 같이, 허가받지 않은 기기를 사용하고 있다고 가정한다. 기존 기업망 환경에서는 일반적으로 사용자의 자격 증명만 위조할 수 있다면 기업망 내부의 리소스에 대한 접근 권한이 부여되는 것이 일반적이다. 그러나 제로트러스트 환경에서는 접속 기기 역시 신뢰를 확인하기 위한 대상이기에, 위장 기기인 경우에는 접근 권한이 부여되지 않고 해당 정보에 대한 로그 및 모니터링을 수행할 수 있다. 또, 제로트러스트에서는 일반적으로 사용자 및 기기에 대한 강력한 인증을 요구하며, 활동을 종합적으로 분석하여 정상적인 자격 증명 후에도 신뢰가 충분하지 않을 경우 강화된 다중 인증을 요구할 수 있다. 예를 들어, 갑작스럽게 접속 기기의 물리적 위치가 변경되었거나 평상시 접속하지 않는 기기를 이용하여 접속한 경우, 혹은 권한이 없는 리소스에 지속적으로 접근하고자 하는 등 정상적인 경우라고 판단하기 어렵거나 모호한 경우, 해당 접속한 사용자에 대한 신뢰도가 충분하지 않다고 볼 수 있다. 공격자가 다중 인증까지 검증을 통과하기에는 훨씬 어려울 수 있으므로, 기존 기업망 환경과 비교하여 안전성이 높아질 수 있다.
<원격 공격 혹은 내부자 위협(Remote Exploitation or Insider Threat)>
이 시나리오에서는 악의적인 공격자가 인터넷 기반 악성 코드를 이용하여 사용자 기기를 가로채거나 혹은 공격자가 악의적인 의도를 가진 내부자인 경우이다. 기존 기업망 환경에서 이러한 악의적인 공격자는 정상 사용자의 자격 증명을 불법 이용한 네트워크 접속, 권한 상승, 횡적 이동을 통하여 방대한 데이터 저장소를 손상시키는 행위를 지속할 수 있다. 그러나 제로트러스트 환경에서는 위조된 사용자의 자격 증명과 기기 역시 정상적인 것으로 입증되기 전까지는 의심스럽다고 가정하기 때문에, 네트워크는 논리적으로 분할(마이크로 세그멘테이션)되어 횡적 이동이 불가능해진다. 물론, 악의적인 공격자가 사용자 자격 증명 및 기기 인증 모두 통과할 수 있으나 데이터에 대한 접근은 보안 정책, 사용자 역할, 기기 속성 등에 따라 제한되게 되고, 세밀한 접근제어를 하게 되므로 민감한 데이터로 작업하는 것이 어렵게 된다. 또한, 사용자 행위에 대한 지속적인 로그와 모니터링을 통한 분석을 함으로써, 사용자 계정과 기기의 네트워크 활동 및 데이터 접근이 비정상적인 것으로 판단될 경우 추가 인증을 요구하거나 동적으로 접근을 제한하는 것도 가능하다. 따라서, 이 시나리오에서는 부득이하게 일부 피해가 발생할 수 있지만 피해를 받는 리소스 범위가 줄어들며 보안 시스템이 이 공격을 적절하게 완화시킬 수 있는 신속한 대응이 가능해진다.
<공급망 침투(Compromised Supply Chain)>
이 시나리오에서는, 악의적인 공격자는 기업망에 있는 기기나 응용 프로그램에 악성 코드를 삽입한다. 기기 혹은 응용 프로그램은 기존 모범 사례에 따라 조직 네트워크 내부에서 유지 관리되고 정기적으로 업데이트가 될 것이다. 기존 기업망 환경에서는 정상적인 사용자가 이렇게 업데이트되어 악성 코드가 삽입된 기기 혹은 응용 프로그램을 통해 기업 리소스에 접근할 경우, 잠재적으로 신뢰할 가능성이 크므로 이러한 공격은 특히 심각하다. 그러나 제로트러스트 아키텍처를 높은 수준으로 구현하는 경우, 기기 혹은 응용 프로그램에 대해 기본적으로 신뢰하지 않는 것으로 판단하기 때문에, 공격에 대한 방어 측면에서 유리한 점이 있다. 데이터에 대한 접근 권한 및 실제 접근은 엄격히 제어되고 최소한으로 주어지며 모니터링 된다. 정책적으로 네트워크 분리가 적용되며, 비정상적인 활동에 대한 모니터링을 위한 분석 작업도 활용할 수 있다. 기기가 서명된 응용 프로그램 업데이트를 다운로드할 수 있으나, 제로트러스트 환경에서는 기기의 네트워크 연결을 기본적으로 거부하는 보안 정책을 채택하므로, 명령과 통제를 위하여 다른 원격 주소에 연결하려는 모든 시도는 차단될 가능성이 높다. 그 외에도, 허가된 접근이 아닌 다른 기업 리소스 접근 요청은 해당 기기에 대한 모니터링 과정을 통해 감지 및 차단될 수 있다.
시각화부(330)는, 사용자 단말(100)에서 기업망에 접속하는 경우 리소스 보호를 수행하여 시각화할 수 있다. 사용자 단말(100)은, 기업망(Network)에 접속한 후 마이크로 세그멘테이션(Micro-Segmentation) 및 소프트웨어 정의 경계(Software-Defined Perimeter)를 통한 리소스 보호가 수행될 수 있다. 이때, 세그멘테이션(Segmentation)이란, 데이터 센터(Data Center)를 개별 워크로드(Work load)수준까지 논리적으로 개별 보안 세그먼트(Segment)로 나누는 과정이다. 이후 고유한 각 세그먼트에 대한 보안 서비스를 제공한다. 여기서, 마이크로-세그멘테이션이란, 세그멘테이션 작업을 더욱 작은 단위(Micro)로 세부화하여 진행하는 방식인데, 기업의 수많은 네트워크 워크로드를 서로 격리하여 각각을 개별적으로 보호할 수 있도록 데이터 센터 및 클라우드 배포에 보안 영역(Segmentation)을 만들고 보안 정책을 적용하는데, 네트워크 보안을 보다 세분화하기 위한 개념이라 할 수 있다.
소프트웨어 정의 경계(Software-Defined Perimeter, SDP)는, 정보 보호 대상을 외부에 공개하지 않고 접근 전 인증과 암호화를 통해 접근 제어와 데이터 통신을 분리하여 잠재적인 공격을 차단하는 정보 보호 기술이다. 접근 제어와 데이터를 분리하여 중요 자산 및 인프라 보호하는 것을 특징으로 하는데, 인증 후 연결을 통해 외부로부터 내부 정보를 은폐하여 공격 대상 최소화하고, IP 대신 ID 기반의 보안 아키텍처를 통해 보안 강화하는 방법이다. SDP는 기존 보안 솔루션들의 단점을 보완하여 보다 안전한 네트워크를 구축하기 위한 것으로, 새로운 솔루션을 제안하기 보다는 기존의 보안 솔루션을 활용하여 보안성을 높이기 위한 네트워크 보안 아키텍처를 제시한다. SDP는 [볼 수 없는 것을 해킹할 수 없고, 볼 수없는 것을 훔칠 수도 없다]는 사상에서 출발한 개념이다. 즉, 인증 및 접근 제어를 통해서 접근 권한이 있는 네트워크 영역에만 접속할 수 있는 정보를 부여하고, 권한이 없는 부분에 대해서는 철저히 가려져 있어서 사용자는 네트워크 상에 어떤 기기가 연결되어 있는지 등의 정보를 알 수 없다.
SDP는 IH(Initiating Host)와 AH(Accepting Host)의 두 가지 호스트와 컨트롤러로 구성되어 있다. 컨트롤러는 어떤 호스트 간 통신을 허용할지를 결정하고 네트워크 인프라를 관리한다. IH는 자신이 접속할 수 있는 AH의 리스트와 접속정보를 컨트롤러로부터 받아온다. AH는 SDP 컨트롤러 이외의 모든 호스트와의 통신을 거절하고 컨트롤러로부터 커맨드를 받은 후, 네트워크 연결을 허락받은 IH에서 오는 패킷만을 받아들인다. SDP에서 모든 통신은 SPA 메시지로 시작한다. SDP가 적용된 네트워크의 모든 통신 포트에 대해서 [default drop] 방화벽 룰을 적용하여 모든 메시지가 네트워크 내부에 도달되지 못하도록 막는다. 단지, SPA 메시지 수신을 위한 하나의 포트만을 열어둔다. 이 포트로 정상적인 SPA 메시지를 보낸 기기에 대해서만 TLS 통신 포트를 추가로 오픈해 주어기기 인증 및 보안 채널을 생성할 수 있도록 한다.
대응부(340)는, 사용자 단말(100)에서 적어도 하나의 침투 시나리오에 대응하는 이벤트가 발생하는 경우 대응 시나리오를 개시할 수 있다. 상술한 바와 같이, 적어도 하나의 침투 시나리오는, 사용자 자격증명도용 시나리오, 원격 공격이나 내부자 위협 시나리오 및 공급망 침투 시나리오를 포함할 수 있다. 사용자 자격증명도용 시나리오에 대한 대응 시나리오는, 사용자 단말(100)이 위장기기인 경우 접근권한이 부여되지 않고 위장기기에 대한 로그를 모니터링하고, 사용자 단말(100)에서 정상적인 자격증명을 수행한 경우일지라도 신뢰도가 충분하지 않은 기 설정된 이벤트가 발생되는 경우 다중인증을 적용하는 것이다. 원격 공격이나 내부자 위협 시나리오에 대한 대응 시나리오는, 기업망을 마이크로 세그멘테이션으로 관리하고, 기업망을 통한 데이터 접근에 대하여 보안정책, 사용자역할 및 기기속성에 따른 접근제어를 실시하며, 사용자 단말(100)에서 발생하는 이벤트에 대한 모니터링을 통하여 기 설정된 비정상적 이벤트가 발생하면 추가인증을 요구하거나 동적인 접근제한을 실시하는 것이다. 공급망 침투에 대한 대응 시나리오는, 기 설정된 허가받은 원격 접속 이외의 허가받지 않은 원격 접속을 통한 공격 명령, 통제 및 데이터 전송에 대해 모니터링 및 필터링하는 것이다.
도입준비부(350)는, 기업망에 제로트러스트모델의 도입을 위하여 기 설정된 위험 관리 프레임워크의 단계인, 준비, 분류, 선택, 구현, 평가, 인가 및 모니터링의 단계를 수행하도록 할 수 있다.
<준비 단계(현재수준 평가)>
준비 단계에서는 기업이 제로트러스트 아키텍처 도입을 위하여, 현재 기업의 상황과 현재 수준을 정확히 파악하고 평가하는 것을 목표로 한다. 제로트러스트아키텍처의 도입은 단 한 번의 절차로 완료되지 않는다. 따라서 준비 단계는 제로트러스트 아키텍처를 처음으로 도입할 때의 가장 첫 단계이기도 하지만 기 도입하여 운영 중인 제로트러스트 아키텍처 및 관련 솔루션에 대하여 더 높은 수준의 성숙도를 갖기 위한 준비 단계로 볼 수도 있다. 이 준비 단계에서, 각 기관 혹은 기업은 현재 운용 중인 기업망에서 접근 주체, 자산·기기 및 워크플로우을 점검하여 정확히 식별하고, 제로트러스트 성숙도 수준을 정량적으로 평가할 수 있어야 한다. 첫번째 평가 대상은 접근 주체로서, 사용자뿐만 아니라 리소스와 상호 작용을 하는 모든 접근 주체를 의미한다. 접근 주체에 대한 식별 정보, 인증 방법 등을 점검하고 명확하게 파악하는 것은 기본이며, 정확히 분류하고 분류한 접근 주체 그룹에 따라 인증 방법 및 접근제어 정책 등을 검토하여야 한다. 접근 주체에 대한 성숙도 수준을 평가하는 경우 다음과 같은 부분을 중점적으로 고려하여야 한다.
-특권이 부여된 계정, 계정의 담당자 식별 및 명시 여부.
-업무 상 필요한 권한이 적절히 부여되었는지 등 정기적 감사 여부.
-세부 인증 기술, 싱글사인온(SSO), 다중 인증(MFA) 방법 및 안전성.
-지속적인 신원 인증 방법 및 안전성.
-컨텍스트 기반 인증, 사용자 모니터링 및 행동 분석, 가시성 확보 방법.
-최소 권한 부여 정책 도입 여부 등.
-접근제어 기술 및 수준 (ex. RBAC 혹은 ABAC 적용 여부).
-개발자 및 시스템 관리자와 같은 특수 권한 사용자의 접근 권한에 대한 정밀한 제어 기술.
제로트러스트 아키텍처의 기본 원리에서 강조되었던 것 중 하나는 사용자 및 기기를 관리하고 강력한 인증이 필요하다는 것이다. 제로트러스트 아키텍처는 사용자 뿐만 아니라 기업 리소스에 접근하는 기기 중에서 기업이 소유한(등록한) 기기와 기업 소유가 아닌 기기를 식별하고 모니터링할 수 있어야 한다. 자산·기기에 대한 성숙도 수준을 평가하는 경우 다음과 같은 부분을 중점적으로 고려해야 한다.
-모든 기업 소유 자산 및 담당자, 속성 식별 및 분류 여부.
-기기 로그인(비밀번호, PIN, 생체 인식 등) 방법 및 안전성.
-기기에서 제공하는 사용자 인증 방법의 안전성.
-BYOD 단말 보안 및 접근제어 정책.
-자동화된 단말 등록 및 자산·취약점 관리 수준.
-기기 상태 및 정책 준수에 대한 실시간 지속 모니터링, 가시성 확보, 검증 방법.
-등록되지 않은 기기의 접근 권한 차등 부여 혹은 접근 차단 정책, 감시 방법.
기관은 접근 주체가 리소스에 접근하는 것에 대해 허용/거부에 대한 정책을 결정하기 위해서는 기업 내부의 비즈니스 프로세스와 워크플로우를 평가하는 과정이 필요하다. 비즈니스 프로세스는 리소스에 대한 접근 요청에 대해 허가/거부를 결정할 수 있는 근거가 된다. 제로트러스트 도입 관점에서, 위험도가 낮은 프로세스부터 전환하는 것이 상대적으로 안전하다. 제로트러스트 도입 과정에서 문제가 발생할 경우, 기업에 미치는 영향이 상대적으로 적기 때문이다. 이후, 지속적으로 운영 과정에서의 문제점을 검토하며 문제가 없을 경우, 중요하지만 상대적으로 위험도가 높은 프로세스에 도입하는 것을 고려할 수 있을 것이다. 리소스에 대한 성숙도 수준을 평가하는 경우 다음과 같은 부분을 중점적으로 고려하여야 한다.
-소프트웨어 정의 네트워크 등 네트워크 추상화 및 세밀한 분할 기술.
-패킷 검사 및 동적 필터링, 암호화 패킷 분석 등 위협 대응 기술.
-네트워크 암호화 기술.
-온프레미스·클라우드 시스템 계정 관리 및 접근 통제 기술.
-응용 및 워크로드 접근에 대한 중앙 집중적 인증·인가 및 실시간 위험 분석.
-응용 개발·배포와 관련한 DevSecOps 등 적용.
-자동화된 데이터 분류 및 위험 기반 동적 접근제어 정책.
-(특히 민감한) 데이터 저장시 암호화 기술.
-데이터 분류 시 중요(민감) 정보 태깅.
-데이터 분류 기준에 따라 암호화 요구사항 적용.
<계획(설계) 단계>
사용자와 자산, 비즈니스 프로세스 및 워크플로우에 대한 식별 및 평가가 이루어지면, 제로트러스트를 도입하기 위한 계획을 수립하고 설계하는 단계로 진행할 수 있다. 어떤 비즈니스 프로세스 혹은 핵심 요소에 제로트러스트를 도입하는 것이 좋은지를 판단하고, 선정된 비즈니스 프로세스에 대해서는 중요성과 관련 접근 주체 및 리소스 현황을 파악하여, 이를 고려한 정책을 수립하여야 한다. 현재 상태에는 현재 도입되어 있는 제로트러스트 아키텍처 기술에 대한 성숙도 수준을 포함할 수 있으며, 정책에는 현 단계에서 지향하는 제로트러스트 아키텍처 성숙도 수준을 포함할 수 있다. 비즈니스 프로세스가 결정되고 나서도, 기업망의 핵심 요소별 세부 계획을 분할하여 접근하는 시도도 가능하다.
<구현(도입) 단계>
비즈니스 프로세스 후보가 구성되면, 제로트러스트 아키텍처를 설계하는 기업 담당자는 제로트러스트 솔루션 후보에 대한 목록을 작성할 수 있다. 여러 배치모델이 있으며, 유스케이스에 따라 적합한 솔루션을 선택해야 할 수도 있다. 여기서, 기기 에이전트의 게이트웨이 배치 모델, 리소스 그룹 배치 모델, 리소스 포탈 배치 모델 및 기기 응용 샌드박스 배치 모델 등이 존재할 수 있다. 솔루션을 선택함으로써 제로트러스트 아키텍처를 구현·도입하는 현 단계에서는 다음과 같은 점을 고려해야 한다.
-도입을 위해 검토하는 솔루션이 제로트러스트 아키텍처 기본 원리를 준수하는가? 예를 들어, 리소스에 대한 접근은 반드시 강력한 인증 등을 통하여 접근 주체에 대한 신뢰도를 명시적으로 확인한 뒤 허용하는가?
-기기에 에이전트와 같은 소프트웨어 컴포넌트를 설치하는가? 다양한 기기를 지원하는가? BYOD 혹은 외부 사용자 기기에 에이전트 설치를 지원하는가?
-해당 비즈니스 상의 리소스 위치(클라우드, 온프레미스)를 모두 혹은 부분적으로 지원하는가?
-분석을 위한 로그 및 모니터링 정보를 주고받거나, API를 제공하는가?
-다양한 응용, 서비스, 프로토콜을 지원하는가?
-특정 서비스 혹은 프로토콜 상의 명령(예, SSH 기반 컴파일, 명령어 제어, 파일 제거 등)에 대한 통제 등 세밀한 접근제어가 가능한가?
-강화된 정책이 사용자 및 기기의 행위에 영향을 주는가? 또한, 사용자의 편의성을 희생시키지 않는가?
의사결정유도부(360)는, 구현의 단계에서는 제로트러스트모델을 도입할 비즈니스 프로세스후보에 대한 제로트러스트 솔루션 후보를 리스트업하고, 제로트러스트 솔루션 후보 중 어느 하나의 제로트러스트 솔루션을 선정하기 위하여 AHP(Analytic Hierarchy Process)를 이용할 수 있다. 상술한 도입준비부(350)에 따라 의사결정을 하기 위하여 AHP를 이용할 수도 있다. 예를 들어, 1 부터 N 까지 대응전략이 있다고 가정하면, 이 중 가장 중요한 것은 무엇인지, 또 1 부터 N 까지 대응전략의 우선순위는 어떻게 되는지 등을 나열한 것일 수 있다. 여기서 중요변수(중요 대응전략) 및 우선순위를 설정할 때 각 담당자가 전문가의 인터뷰 및 설문조사결과를 취합한 결과에 기초하여 정할 수도 있지만, 기계학습으로 중요변수를 추출하고, 각 변수(대응전략)의 우선순위를 AHP로 가중치를 부여하여 설정함으로써, 담당자의 결론과 비교해볼 수도 있다.
<기계학습>
기계학습 방법들 중 결정나무의 주요한 특징 중 하나는 모델이 학습하는 과정에서 설명변수들의 변수중요도를 계산할 수 있다는 것이다. 이렇게 계산된 변수중요도는 결정나무의 예측값이 어떤 입력변수에 근거하여 결정되는지 파악할 수 있는 척도로 활용될 수 있으며, 다른 예측모델에 사용할 변수 선택의 기준으로도 활용될 수 있다. 변수중요도를 계산하기 위해 평균지니지수감소량(Mean Decrease in Gini Index)을 이용할 수 있으며, 이를 이용하여 설명변수 중에서 모델에 설명력이 높은 변수들을 도식화할 수 있다. 이때, 결정나무에서 사용되는 지니지수는, 높을수록 분류의 불순도가 높다고 판단되어 이 지니지수를 낮추는 방향으로 분류작업을 진행할 때 이용된다.
<AHP>
AHP(Analytic Hierarchy Process)는 의사결정문제가 다수의 평가기준으로 이루어져 있을 때, 우선 평가기준들을 계층화 한 후 계층에 따라 중요도를 정해가는 다기준 의사결정기법으로, 게임이론 전문가들과 협력 작업을 하는 과정에서 의사결정과정의 비능률을 개선하기 위한 대안의 일환으로 개발된 다요인 의사결정기법(Multi-Attribute Decision Making Technique)의 한 가지이다. AHP는 복잡한 문제를 계층화 하여 주요요인과 세부요인들로 분해하고, 이러한 요인들에 한 비교(Pair Wise Comparison)를 통해 평가자의 지식, 경험, 직관을 포착하여 의사결정을 지원하고자 하는 방법으로, 이 기법은 그 단순성, 명확성, 간편성, 범용성이라는 특징으로 여러 의사결정 분야에서 널리 응용되어 왔다. 이 방법은 의사결정 문제가 평가, 선택, 예측되어 질 때와 의사결정 대안의 우선순위를 결정하고자 할 때 주로 이용가능하다.
의사결정에 있어서 고려해야할 요인들과 대안들이 여러가지인 경우, 정확하게 요인들과 대안들을 동시에 비교분석 하는 것은 거의 불가능하다. 하지만 AHP는 평가요인들 간에 쌍대비교를 함으로써 이러한 문제점을 최소화하는 역할을 한다. 뿐만 아니라 평가요인들이 정성적인 것과 정량적인 것들이 혼합되어 있을 경우나 의사결정참여자가 다수이어서 복수의 평가요인에 대한 체계적인 평가나 의견을 수렴하기 어려운 경우에도 의사결정을 용이하게 해주는 장점이 있다. AHP는 다음 네 가지 절차로 실행된다. 첫째 단계는 목표의 설정과 평가요인들의 계층화이다. 전문가회의를 통해서 목표를 명확히 하고 목표달성과 관련된 평가요인들을 도출한 뒤, 최상위 계층에는 최종 목표를 나타내고, 그 다음 1 계층에는 최종 목표의 달성에 영향을 미치는 평가요인들을 나타내며 이를 대항목이라고도 한다. 2 계층은 1 계층에 영향을 미치는 세부평가요인들로 구성되며 이를 소항목이라고도 한다. 최하위층에는 최종 목표의 달성을 위한 대안들로 구성되며 각 대안들은 각 세부평가요인들에 대해서 쌍대비교를 하여 최적 대안을 선정하게 된다.
둘째 단계는, 쌍대비교를 통해서 상대적 중요도를 설정하는 것으로 평가요소 간의 상대적인 중요도(가중치)를 쌍대비교를 통해 구할 수 있다. N 개 평가요소들 간의 쌍대비교행렬 A는 N×N 정방행렬이다. N×N 정방행렬 A는 가중치비(Ratio)로 구성된 행렬이며 대칭행렬(Symmetrical Matrix)이다. 쌍비교행렬 A의 원소는 어느 하나의 요소가 다른 하나의 요소보다 몇 배 더 중요한지 구간척도로 평가한 것이다. 쌍대비교를 하여 대각선을 중심으로 위의 반에 있는 원소들의 값의 역수를 취하여 행과 열의 대칭이 되는 원소값으로 한 것이다. 셋째 단계는, 평가에 대한 논리적인 일관성을 검증하는 것으로 응답자의 응답에서 모순의 정도를 검증하는 단계이고, 넷째 단계는 일관성있게 나온 쌍대비교 결과로 최적대안을 선정하는 단계이다. 의사결정의 최종목표의 달성을 위해서 선정한 몇 가지의 대안을 각 세부평가요인별로 각 대안들을 쌍대비교 하여 대안들의 가중치를 도출한다. 본 발명의 일 실시예에서는 이때의 가중치를 이용하여 우선순위를 결정하게 된다. 그리고 각 세부평가요인들의 최종가중치와 각 대안들의 가중치를 곱하고 더하여서 모든 세부평가요인들을 반영한 대안들의 최종점수를 구하고 최적대안을 선정할 수 있다.
이상행위탐지부(370)는, 사용자 단말(100)의 이벤트를 모니터링하고 이상행위를 탐지하는 EDR(Endpoint Detection and Reponse) 솔루션을 인공지능 알고리즘 기반으로 구축하여 적용할 수 있다. 고도화된 공격 방식에 대응하려면 보안 위협의 탐지 영역을 네트워크 영역에서 실제로 보안 위협이 발생하는 엔드포인트(End Point) 단으로 확장할 필요성이 있다. 이러한 엔드포인트 보안중 하나인 EDR(Endpoint Detection and Response)은 지속적 주시와 대응에 초점을 두며 원천적인 예방보다는 수상한 행동이 발생했을 경우에 대한 빠른 탐지와 초기 조치를 중요시한다. 클라이언트인 사용자 단말(100) 설치된 에이전트는 발생하는 모든 활동을 실시간으로 모니터링하고 데이터를 수집하여 중앙 서버인 이상행위탐지부(370)에 전송한다. 수집된 데이터에서 의심스러운 행동이나 이상징후가 탐지될 시 해당 행위에 대한 대응 및 보안 담당자에게 알림으로써 위협에 대한 초기 대응을 신속하게 할 수 있도록 한다. 본 발명의 일 실시예에서는 ELK Stack과 Sysmon을 사용하여 엔드포인트 환경에서 발생하는 로그들을 실시간으로 수집하고 수집된 엔드포인트 데이터를 분석하여 사용자별 행동 패턴을 파악한 뒤, 이와 다른 패턴이 발생했을 경우 위협 가능성이 있는 행위로 판단하여 보안 위협을 탐지하고, 이를 시각화하여 보안 담당자들이 보다 쉽게 보안 위협을 파악할 수 있는 EDR 플랫폼 프로토 타입을 이용할 수 있다.
① ELK Stack은 Elasticsearch, Logstash 및 Kibana 세 개의 오픈 프로젝트를 합친 ELK에 Beats를 추가한 솔루션이다. Elasticsearch는 분석 및 저장 기능, Logstash는 수집 및 재가공, Kibana는 시각화 탐색 및 실시간 분석을 담당하며, 이를 통해 접근성과 편리성을 갖춘 데이터 분석을 제공한다. ② Winlogbeat은 Windows 환경에서 사용되는 경량 이벤트 로그 수집기다. Windows 이벤트 로그를 디스크에 스풀링하여 파이프라인이 데이터 요소를 수집하며 Sysmon의 로그를 통해 수집된 데이터를 Logstash로 전송하여 Kibana로 시각화가 가능하기 때문에 Sysmon 및 ELK Stack과 함께 사용할 수 있다. ③ Sysmon은 Sysinternals에서 내놓은 도구로 기본 윈도우 이벤트 로그와 마찬가지인 시스템 모니터링 툴이다. 기존 윈도우 이벤트 로그의 한계가 있는 프로세스 생성, 네트워크 연결등을 이벤트화 시켜주는 역할을 수행한다. Sysmon에서 제공하는 로그 이벤트 중에서 특히, 파일·프로세스·WMI·레지스트리 이벤트를 이용하여 프롬프트 등에 의한 악성코드 감염이나 정상적인 윈도우 명령어 사용을 통한 네트워크 탐색 및 내부 프로세스·파일 목록 검색 등 Lateral Movement를 탐지할 수 있다.
<상황 기반 EDR>
EDR은 대용량 로그 및 이벤트에 대해 규칙 기반으로 대응하므로 플렉서블한 컨텍스트 분석이 불가하다. 이에 지능적인 보안 위협에 대해 대응 정확도가 낮아지고 탐지 효율이 저하되는 문제가 발생할 수 있다. 이에, 본 발명의 일 실시예는, 머신러닝 기반 상황(Context) 분석을 통하여 지능형 보안 위협에 대응할 수 있는 EDR인 XDR(eXtended Detection and Response)를 더 이용할 수 있다. 이때, 지능형 지속공격은 특정 대상을 목표로 오랜 시간에 걸쳐 지속적인 공격이 이루어지는 특징을 가지고 있으므로 악성 행위를 파악하기 쉽지 않다.
단계 주요내용
1 공격 대상의 인프라에 대한 정보 수집
2 사회 공학적 기법 또는 악성코드 등을 통해 네트워크에 진입
3 공격자가 확보한 호스트와 C&C 서버 간 지속적 통신
4 내부의 중요정보를 갖는 호스트 탐색
5 중요 데이터 식별
6 중요 데이터 전송 및 시스템 파괴
이때, 머신러닝 기반 상황 분석은 크게 데이터 추출, 전처리, 학습 데이터셋을 구축하는 라벨링, 데이터에 부합하는 머신러닝 알고리즘 선택, TTP(Tactics, Techniques and Procedure) 서술의 다섯 단계로 이루어진다. 이 중 머신러닝 알고리즘은 지도학습 및 비지도학습으로 나뉘는데, 전자의 경우 입력변수의 벡터값이 주어지면 하나 이상의 출력 변숫값을 예측하는 학습 모델이다. 정상 및 비정상 이벤트에 대한 지도학습을 통해 이벤트를 선별함으로써 보안 위협에 대한 대응속도를 개선할 수 있다. 후자의 경우, 입력 변수에 대한 벡터값이 주어지지 않은 상태에서 인공지능이 스스로 결괏값을 도출하는 학습 모델이다. 이상 행위 및 공격자의 특성에 대한 비지도 학습을 통해 알려지지 않은 보안 위협에 대한 단서를 얻을 수 있다. 머신러닝 알고리즘은 이하 표 8의 알고리즘을 이용할 수 있지만 이에 한정되는 것은 아니다.
분류 모델명 특징 기대효과
지도학습 Random Forest 임의화를 통한 과적합 문제 완화와 결측값 처리 악성코드 감염경로탐지 및 명확한 특징추출
SVM 마진을 최대로 가져감으로써 최적의 분류 정확도를 도출 악성행위에 대한 미탐/오탐률 개선
비지도학습 Auto Encoder 중요도 높은 필수적인 필드 자동계산 대량 발생 보안 이벤트 선별적으로 자동화 예측 처리
Isolation Forest 기준점 정상 및 비정상치 탐지 사람의 기술력 편차로 인한 오대응 감소
TTP는 정숫값이나 스트링값으로 나타낼 수 없는 행위 기반의 보안 사고 지표를 말한다. 기존의 IoC(Incident of Compromise)는 서술식으로 표현된 보안 데이터들을 나타내지 못하는 한계가 존재했다. TTP 기반의 컨텍스트 분석은 알고리즘을 적용한 데이터를 효율적으로 매핑함으로써 지능형 공격에 대한 선제적 대응을 가능하게 한다.접근제어부(380)는, 사용자 단말(100)의 접근에 대하여 속성 기반 접근제어(Attribute-Based Access Control)가 수행되도록 적어도 하나의 접근에 대한 속성 및 제한을 설정할 수 있다. 속성 기반 접근제어인 ABAC는, 속성의 개념을 사용하여 주체와 객체의 속성에 대한 조건에 만족하는 속성을 정의하고, 속성별로 다른 주체를 식별하여 속성 간의 다양한 관계 여부를 검사하는 접근제어이다. 즉, 컴퓨팅 사용이 가능한 속성으로만 제한되는 접근제어(Acess Control, AC) 정책을 구현할 수 있는 유연한 접근 방식으로 분산 환경이나 빠르게 변화는 환경에 아주 이상적이다. 전형적인 AC는 직접 또는 미리 정의된 속성 유형을 통해 객체에 대한 작업 수행 기능의 실행을 요청하는 사용자의 ID를 기반으로 한다. ABAC 모델에서는 접근 권한은 주체가 제공하는 속성에 의해 결정되고, 접근 권한은 사용자가 접속이 시스템의 소거성 판별 기능을 만족하는 여부에 따라 달라진다. 또한, 속성 간의 관계에 따라 복잡한 권한 할당 및 접근제어 통제 조건이다. 기본 정책, 속성 및 AC 메커니즘 요구사항 외에도 기업은 기업 정책 개발 및 배포, 기업 ID 및 주체 속성, 주체 속성 공유, 기업 개체 속성, 인증 및 AC에 대한 관리 기능을 지원해야 할 수 있다.
이하, 상술한 도 2의 보안 서비스 제공 서버의 구성에 따른 동작 과정을 도 3 및 도 4를 예로 들어 상세히 설명하기로 한다. 다만, 실시예는 본 발명의 다양한 실시예 중 어느 하나일 뿐, 이에 한정되지 않음은 자명하다 할 것이다.
도 3을 참조하면, (a) 보안 서비스 제공 서버(300)는 제로트러스트모델을 도입하기 위하여 도 4와 같이 준비, 계획, 구현 및 운영의 절차를 거치도록 하고, (b)와 같이 의사결정과정을 거쳐 비즈니스 프로세스에 맞는 제로트러스트모델을 결정하도록 한다. 또, 보안 서비스 제공 서버(300)는 (c)와 같이 침투 시나리오와 대응 시나리오를 만들어 구축 및 대응하도록 하고, (d)와 같이 EDR 솔루션으로 이상행위를 실시간으로 모니터링 및 잡아낼 수 있도록 XDR까지 고려할 수 있다.
이와 같은 도 2 내지 도 4의 제로트러스트모델 기반 보안 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 제로트러스트모델 기반 보안 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5는 본 발명의 일 실시예에 따른 도 1의 제로트러스트모델 기반 보안 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 도면이다. 이하, 도 5를 통해 각 구성들 상호간에 데이터가 송수신되는 과정의 일 예를 설명할 것이나, 이와 같은 실시예로 본원이 한정 해석되는 것은 아니며, 앞서 설명한 다양한 실시예들에 따라 도 5에 도시된 데이터가 송수신되는 과정이 변경될 수 있음은 기술분야에 속하는 당업자에게 자명하다.
도 5를 참조하면, 보안 서비스 제공 서버는, 제로트러스트모델이 구축될 기업망을 설정한다(S5100).
또, 보안 서비스 제공 서버는, 기업망에 적어도 하나의 침투 시나리오 및 대응 시나리오를 제로트러스트모델을 기반으로 구축하고(S5200), 사용자 단말에서 기업망에 접속하는 경우 리소스 보호를 수행하여 시각화한다(S5300).
그리고, 보안 서비스 제공 서버는, 사용자 단말에서 적어도 하나의 침투 시나리오에 대응하는 이벤트가 발생하는 경우 대응 시나리오를 개시한다(S5400).
상술한 단계들(S5100~S5400)간의 순서는 예시일 뿐, 이에 한정되지 않는다. 즉, 상술한 단계들(S5100~S5400)간의 순서는 상호 변동될 수 있으며, 이중 일부 단계들은 동시에 실행되거나 삭제될 수도 있다.
이와 같은 도 5의 제로트러스트모델 기반 보안 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1 내지 도 4를 통해 제로트러스트모델 기반 보안 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5를 통해 설명된 일 실시예에 따른 제로트러스트모델 기반 보안 서비스 제공 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 일 실시예에 따른 제로트러스트모델 기반 보안 서비스 제공 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 제로트러스트모델 기반 보안 서비스 제공 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (7)

  1. 기업망(Network)에 접속한 후 마이크로 세그멘테이션(Micro-Segmentation) 및 소프트웨어 정의 경계(Software-Defined Perimeter)를 통한 리소스 보호가 수행되는 사용자 단말; 및
    제로트러스트모델이 구축될 기업망을 설정하는 의뢰접수부, 상기 기업망에 적어도 하나의 침투 시나리오 및 대응 시나리오를 상기 제로트러스트모델을 기반으로 구축하는 구축부, 상기 사용자 단말에서 상기 기업망에 접속하는 경우 상기 리소스 보호를 수행하여 시각화하는 시각화부, 상기 사용자 단말에서 상기 적어도 하나의 침투 시나리오에 대응하는 이벤트가 발생하는 경우 상기 대응 시나리오를 개시하는 대응부를 포함하는 보안 서비스 제공 서버;
    를 포함하고,
    상기 적어도 하나의 침투 시나리오는,
    사용자 자격증명도용 시나리오, 원격 공격이나 내부자 위협 시나리오 및 공급망 침투 시나리오를 포함하고,
    상기 사용자 자격증명도용 시나리오에 대한 상기 대응 시나리오는, 상기 사용자 단말이 위장기기인 경우 접근권한이 부여되지 않고 상기 위장기기에 대한 로그를 모니터링하고, 상기 사용자 단말에서 정상적인 자격증명을 수행한 경우일지라도 신뢰도가 충분하지 않은 기 설정된 이벤트가 발생되는 경우 다중인증을 적용하는 것이고,
    상기 원격 공격이나 내부자 위협 시나리오에 대한 상기 대응 시나리오는, 상기 기업망을 마이크로 세그멘테이션으로 관리하고, 상기 기업망을 통한 데이터 접근에 대하여 보안정책, 사용자역할 및 기기속성에 따른 접근제어를 실시하며, 상기 사용자 단말에서 발생하는 이벤트에 대한 모니터링을 통하여 기 설정된 비정상적 이벤트가 발생하면 추가인증을 요구하거나 동적인 접근제한을 실시하는 것이고,
    상기 공급망 침투에 대한 상기 대응 시나리오는, 기 설정된 허가받은 원격 접속 이외의 허가받지 않은 원격 접속을 통한 공격 명령, 통제 및 데이터 전송에 대해 모니터링 및 필터링하는 것을 특징으로 하는 제로트러스트모델 기반 보안 서비스 제공 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 기업망에 제로트러스트모델의 도입을 위하여 기 설정된 위험 관리 프레임워크의 단계인, 준비, 분류, 선택, 구현, 평가, 인가 및 모니터링의 단계를 수행하도록 하는 도입준비부;
    를 더 포함하는 것을 특징으로 하는 제로트러스트모델 기반 보안 서비스 제공 시스템.
  4. 제 1 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 제로트러스트모델을 도입할 비즈니스 프로세스후보에 대한 제로트러스트 솔루션 후보를 리스트업하고, 상기 제로트러스트 솔루션 후보 중 어느 하나의 제로트러스트 솔루션을 선정하기 위하여 AHP(Analytic Hierarchy Process)를 이용하는 의사결정유도부;
    를 더 포함하는 것을 특징으로 하는 제로트러스트모델 기반 보안 서비스 제공 시스템.
  5. 제 1 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 사용자 단말의 이벤트를 모니터링하고 이상행위를 탐지하는 EDR(Endpoint Detection and Reponse) 솔루션을 인공지능 알고리즘 기반으로 구축하여 적용하는 이상행위탐지부;
    를 더 포함하는 것을 특징으로 하는 제로트러스트모델 기반 보안 서비스 제공 시스템.
  6. 제 1 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 사용자 단말의 접근에 대하여 속성 기반 접근제어(Attribute-Based Access Control)가 수행되도록 적어도 하나의 접근에 대한 속성 및 제한을 설정하는 접근제어부;
    를 더 포함하는 것을 특징으로 하는 제로트러스트모델 기반 보안 서비스 제공 시스템.
  7. 제 1 항에 있어서,
    상기 사용자 단말은, 온프레미스와 클라우드를 모두 포함하는 기업망에 연결된 기기인 것을 특징으로 하는 제로트러스트모델 기반 보안 서비스 제공 시스템.
KR1020230156236A 2023-10-11 2023-11-13 제로트러스트모델 기반 보안 서비스 제공 시스템 KR102655993B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020230135068 2023-10-11
KR20230135068 2023-10-11

Publications (1)

Publication Number Publication Date
KR102655993B1 true KR102655993B1 (ko) 2024-04-09

Family

ID=90707627

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230156236A KR102655993B1 (ko) 2023-10-11 2023-11-13 제로트러스트모델 기반 보안 서비스 제공 시스템

Country Status (1)

Country Link
KR (1) KR102655993B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118573480A (zh) * 2024-08-01 2024-08-30 山东省计算中心(国家超级计算济南中心) 一种基于零信任架构的网络安全通信方法、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102542720B1 (ko) * 2022-10-27 2023-06-14 주식회사 이노티움 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102542720B1 (ko) * 2022-10-27 2023-06-14 주식회사 이노티움 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Cao, Yang et al., "Automation and Orchestration of Zero Trust Architecture:Potential Solutions and Challenges"(2022.10.)* *
HUANG Jie and HE Chengjun, "Service Protection Scheme Based on Software Defined Perimeter"(2023.06.)* *
NIST SP 800-37 Rev. 2, "Risk Management Framework for Information Systems and Organizations"(2018.12.)* *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118573480A (zh) * 2024-08-01 2024-08-30 山东省计算中心(国家超级计算济南中心) 一种基于零信任架构的网络安全通信方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
Nazir et al. Survey on wireless network security
US10341350B2 (en) Actively identifying and neutralizing network hot spots
Chimakurthi The challenge of achieving zero trust remote access in multi-cloud environment
WO2023159994A1 (zh) 一种运维处理方法和终端设备
KR102655993B1 (ko) 제로트러스트모델 기반 보안 서비스 제공 시스템
Rahman et al. A deep learning assisted software defined security architecture for 6G wireless networks: IIoT perspective
Akhtar et al. A systemic security and privacy review: Attacks and prevention mechanisms over IOT layers
Moskal et al. Cyberattack action-intent-framework for mapping intrusion observables
Gudala et al. Leveraging Machine Learning for Enhanced Threat Detection and Response in Zero Trust Security Frameworks: An Exploration of Real-Time Anomaly Identification and Adaptive Mitigation Strategies
Madsen Zero-trust–An Introduction
Azad et al. Verify and trust: A multidimensional survey of zero-trust security in the age of IoT
Jena et al. A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment
Lysenko et al. Distributed Discrete Malware Detection Systems Based on Partial Centralization and Self-Organization
James et al. Situational awareness for smart home iot security via finite state automata based attack modeling
Sharma et al. Abusive Adversaries in 5G and beyond IoT
Kujo Implementing Zero Trust Architecture for Identities and Endpoints with Microsoft tools
Raja et al. Threat Modeling and IoT Attack Surfaces
Tanque et al. Cyber risks on IoT platforms and zero trust solutions
Garbis et al. Intrusion-Detection-und-Prevention-Systeme
Jaafar et al. A Raise of Security Concern in IoT Devices: Measuring IoT Security Through Penetration Testing Framework.
Kant How Cyber Threat Intelligence (CTI) Ensures Cyber Resilience Using Artificial Intelligence and Machine Learning
Sajwan et al. Challenges with Industry 4.0 Security
Cortés Analysis and design of security mechanisms in the context of Advanced Persistent Threats against critical infrastructures
Knights et al. Methods for Detection and Prevention of Vulnerabilities in the IoT (Internet of Things) Systems
Bansal et al. Perspective of Cybersecurity and Ethical Hacking with Vulnerability Assessment and Exploitation Tools

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant