이 글을 읽는 모든 사람들은 아마도 보안과 편의성이 반비례한다는 오래된 경험의 법칙을 들어본 적이 있을 것이다. 다시 말해, 보안을 강화하면 편의성이 떨어지는 반면, 사용하기 쉽게 만드는 것은 보안성이 떨어진다는 것을 의미하기도 합니다. 참고로 이것은 단지 컴퓨팅의 맥락만이 아닙니다. 잠금 해제된 도어는 잠겨 있는 도어에 비해 사용하기(더 편리함) 쉽습니다. 키로 잠금을 해제할 수 있는 도어는 키와 키패드 코드 등이 모두 필요한 도어보다 사용하기 쉬우나 보안성은 낮습니다.
최종 사용자 컴퓨팅의 맥락에서 우리 모두는 매일 이러한 절충을 보게 됩니다. 긴 암호는 짧은 암호보다 더 안전한 것으로 여겨지지만, 기억하고 타이핑하는 것도 더 어렵습니다. 6자리 전화 PIN은 네 자리 전화 PIN보다 안전하지만 편의성은 떨어진다. 암호와 일회성 코드를 모두 활용하는 멀티액터 인증은 단순한 암호보다 더 안전하지만 코드를 얻기 위해 인증 앱으로 전환해야 할 때마다 성가시다. 인증 프로그램 잠금을 해제하기 위해 PIN을 요구하는 것은 추가 단계 비용과 사용자 불편이 수반되는 것보다 더 안전합니다.
이 모든 것이 어떻게 작동해야 하고 어디에 무엇을 사용해야 하는지에 대한 어떠한 기준도 없었습니다. 다양한 회사, 정책, 규정, 거버넌스, 조직 문화 및 영업 평판 효율성 등이 대부분을 주도하고 있으며, 사정은 모든 곳에서 다릅니다. 역사적으로 일관성이 있었던 것은 보안 강화가 사용자의 더 많은 번거로움과 관련이 있다는 것입니다.
보안과 편의성 사이의 균형을 찾는 것은 항상 절충에 관한 것이었다. 저는 항상 “보안 대 편의성” 모델을 아래의 모델과 같이 슬라이딩 스케일로 생각해 왔습니다. 아래 다이어그램에서 원하는 위치에 수직선을 그리면 특정 수준의 보안을 확보하여 특정 수준의 보안을 확보할 수 있으며, 한 수준을 늘리면 다른 수준이 감소하고, 그 반대의 경우도 마찬가지입니다.
그런데, 대부분의 대기업은 회사 전체의 모든 상황에서 사용되는 균형점을 하나도 가지고 있지 않습니다. 고객 의료 데이터는 2단계 인증으로 보호될 수 있으며 회사 관리 기기에서만 액세스할 수 있으며, 재무 데이터는 2단계 인증이 필요하지만 모든 기기에서 액세스할 수 있으며, 내부 소셜 캘린더는 사용자 이름과 암호만 필요할 수 있으며, 기관의 PowerPoint 템플릿은 모든 사용자가 사용하는 단일 공유 암호로 액세스할 수 있습니다.
수십 년 동안 일관성을 유지해온 것은 보안이 강화되면 편의성이 떨어진다는 것입니다. 하지만 최근에는 제로 트러스트 보안이라는 개념 덕분에 사실상의 관계가 바뀌기 시작했습니다.
제로 트러스트가 보안과 경험의 균형을 유지하는 방법
이 게시물에 제로 트러스트 보안에 대한 자세한 내용은 다루지 않겠습니다. 지난 수년간 보안에 대해 많은 글을 써왔기 때문에 사람들이 Workspace ONE을 구입하는 큰 이유입니다. (2년 전의 제 블로그 게시물부터 시작할 수 있습니다. “What is zero trust and how real is it today?“) 우리는 또한 Zero Trust at VMworld 2021 에 대해 몇 번의 세션을 가졌습니다.
대신 제로 트러스트를 사용하면 어떻게 보안을 극대화하고 편의성을 극대화할 수 있는지 자세히 알아보려고 합니다. 이는 말 그대로 전통적인 모델의 관계를 다음과 같이 변화시킵니다.
제로 트러스트를 사용하여 다양한 보안 수준을 적용할 수 있습니다. 보안을 약간 적용하든 많이 적용하든 상관없이 편의성은 그대로 유지됩니다(즉, “높음”).
이것이 어떻게 가능한 걸까요?
애초에 최종 사용자 컴퓨팅 보안이 어떻게 작동하는지 생각해 보십시오. 이미 2단계 인증에 대해 언급했는데, 이는 “1단계 인증”이라는 용어가 있음을 의미합니다. 이 경우 “요인”은 자신이 누구인지 증명하기 위해 사용하는 기술입니다. 1단계 인증의 가장 일반적인 예는 비밀번호입니다. (하지만, 비밀번호는 사용자 이름과 비밀번호가 필요하므로 2단계 인증이 아닌가요?) 실제로 아닙니다. 사용자 이름은 사용자가 주장하는 ID이며, 암호는 해당 클레임을 증명하기 위해 사용하는 보안 요소입니다.) 따라서 암호는 여러분이 알고 있는 요소 유형입니다.
또 다른 요인은 여러분이 가지고 있는 것일 수 있습니다. 이것은 여러분의 휴대폰에 문자메시지로 보내지는 일회용 비밀번호들이 하는 것입니다. 왜냐하면 그것들은 여러분이 여러분이 신분을 주장하는 사람의 전화기를 가지고 있다는 것을 증명하기 때문입니다. 이것이 바로 인증 앱이 작동하는 방식입니다.
또 다른 요인은 여러분이 신분을 주장하는 사람의 신체적 특성일 수 있습니다. 옛날에 이 사진은 신분증 배지에 찍힌 사진이었다. 오늘날 그것은 생체 인식 지문이나 얼굴 스캐너와 같은 것이다.
또 다른 요인은 사용자의 위치일 수 있습니다. IP 주소, 네트워크, MAC 주소 또는 자신이 속한 장치의 위치 서비스일 수 있습니다.
당신이 가지고 있는 특정 기술 같은 것도 인증 요인이 될 수 있습니다. (“당신이 정말 브라이언 매든인가요?”) 그는 핀볼을 잘해요. 지금 당장 핀볼로 저를 이겨서 증명해 보세요.) 분명 말도 안 되는 예이지만, 우리는 특정한 신체 움직임을 스캔하는 장치들로 기술을 기반으로 한 인증의 출현을 목격하고 있습니다. 안드로이드 폰의 잠금 해제 화면처럼요. 하지만 전체 팔이나 손가락 움직임으로 3D 공간에서 말이죠.
따라서 기술적으로 말하자면, 전형적인 2단계 인증(암호+1회용 코드)은 “우리는 이 리소스를 1개 요소 대신 2개 요소로 보호하고자 하며, 사용 가능한 5개 요소 유형 중 (1) 사용자가 알고 있는 것과 (2) 사용자가 가지고 있는 것을 통해 구현하기를 선택하고 있다.”는 것을 구현한 것입니다. 그러나 지난 몇 년 동안 기술이 발전하면서 오늘날의 2단계 인증은 위에 열거한 5가지 요소 유형 중 어느 것이든 될 수 있습니다. 보안을 강화하려면 3단계, 4단계 또는 5단계 인증을 구현할 수 있습니다.
이것이 흥미로워지는 것은 다른 유형의 요소들이 상황의 세부사항에 따라 사용자 경험과 편의성의 수준을 가지고 있다는 것이다. iPhone을 사용할 때는 화면을 보기만 하면 되기 때문에 iPhone을 사용할 때는 암호를 입력하는 것이 매우 편리합니다.
이제 이러한 개념이 제로 트러스트 보안 모델에 어떻게 접목되는지 생각해 보십시오. 제로 트러스트는 아무것도 믿지 않고 모든 것을 검증하는 것이다. 이는 제로 트러스트 구현이 사용자 디렉토리(암호), 기기 관리(인증서, 인증 앱, 토큰, 위치 서비스, 생체 인식), 네트워크(위치) 및 EUC 속성의 다른 모든 요소를 통합한다는 것을 의미한다. 두 가지 인증 요소를 사용하여 보호하려는 리소스가 있고 제로 트러스트(Zero Trust)를 구현한 경우 시나리오에 따라 여러 요소의 조합을 사용할 수 있습니다.
UEM 관리 모바일 장치의 경우 생체 인식을 통해 잠금 해제되는 UEM을 통해 인증서를 배포할 수 있습니다. 그런 다음 사용자가 인증이 필요할 때 화면을 봅니다. 페이스 ID는 청구된 사용자의 물리적 특성의 요소를 인증하고 인증서는 사용자가 가지고 있는 장치의 요소를 인증합니다. 비밀번호나 PIN 없이 2단계 인증의 보안을 확보할 수 있습니다!
사용자가 생체 인식(노트북과 같은)이 없는 관리되는 장치에서 연결하는 경우 첫 번째 요소는 사용자가 가지고 있는 것(노트북, UEM 제공 인증서를 통해 인증됨)일 수 있고, 두 번째 요소는 사용자가 알고 있는 것(키보드를 가지고 있기 때문에 편리한 암호)일 수 있습니다.
관리되지 않는 기기(예: 집에서)에서 연결하는 사용자에게 첫 번째 요소는 그들이 알고 있는 것(암호)일 수 있고 두 번째 요소는 그들이 가지고 있는 것(전화기의 인증 프로그램)일 수 있습니다.
결론적으로 제로 트러스트가 제대로 구현되면 모든 위치에서 모든 기기에 대해 모든 사용자의 기업 전체에 이중 인증을 구현하는 동시에 각 시나리오에서 사용자에게 가장 편리한 고유한 요인 조합을 선택할 수 있습니다. 사용자는 멀티팩터 인증의 완전한 보안을 보장받으면서 동시에 사용자는 최대한의 편의성을 누릴 수 있습니다. 제로 트러스트와 Workspace ONE 덕분에 완벽한 보안과 완벽한 편리함을 함께 누릴 수 있습니다!
출처 : https://blogs.vmware.com/euc/2021/11/zero-trust-avoids-the-traditional-security-versus-convenience-tradeoffs.html