내부 네트워크가 안전하다는 가정은 틀렸다는 사실은 오래전에 입증됐다. 모든 디바이스가 인터넷에 접속 가능한 시대에 내부 네트워크에 해커가 침입하지 못할 것이라는 가정은 헛된 희망일 뿐이다. 제로 트러스트 네트워크는 이미 해커가 네트워크에 숨어 있다는 가정에서 시작하는 네트워크 보안 모델이다. 이 책은 통신의 주체와 트래픽을 신뢰하지 못하는 환경에서 시스템을 운영하고 보호한다는 어려운 문제를 저자의 실전 경험을 바탕으로 풀어나간다.

[목 차]

1장. 제로 트러스트 기초

__제로 트러스트 네트워크란 무엇인가?
____제로 트러스트 컨트롤 플레인
__네트워크 경계 보안 모델의 진화
____전세계 IP 주소 관리
____사설 IP 주소 영역의 탄생
____사설 네트워크와 공용 네트워크의 연결
____NAT의 등장
____현대의 경계 모델
__공격의 진화
__경계 보안의 단점
__네트워크 신뢰의 붕괴
__제로 트러스트의 감초, 자동화
__경계 모델 vs. 제로 트러스트 모델
__클라우드와 제로 트러스트 네트워크
__요약

2장. 신뢰도

__위험 모델
____자주 사용하는 위험 모델
____제로 트러스트의 위험 모델
__견고한 인증
__인증에 대한 신뢰
____인증 기관
____제로 트러스트에 있어서 PKI의 중요성
____사설 PKI와 공개 PKI
____아무 것도 없는 것 보다는 공개 PKI
__최소 권한의 원칙
__동적 신뢰도
__컨트롤 플레인 vs. 데이터 플레인
__요약

3장. 네트워크 에이전트

__에이전트의 정의
____에이전트의 변동성
____에이전트에 포함되는 데이터
__에이전트 활용
____인증이 아니라 허가
__에이전트 노출
__표준화
____견고하면서도 유연하게
____표준화의 가능성
____표준화 전까지
__요약

4장. 네트워크 접근 허가

__허가 시스템의 구조
__보안 정책 적용 지점
__보안 정책 엔진
____보안 정책 저장소
____좋은 보안 정책의 조건
____보안 정책 정의의 주체
__트러스트 엔진
____수치화의 대상
____신뢰도 점수 노출의 위험성
__데이터 저장소
__요약

5장. 디바이스에 대한 신뢰

__신뢰의 시작
____디바이스 ID 생성과 보안
____정적인 시스템과 동적인 시스템에서의 디바이스 ID 보안
__컨트롤 플레인 상에서 디바이스 인증
____X.509
____TPM
__기존 디바이스를 위한 TPM 대체재
__디바이스 목록 관리
____트래픽의 예상 가능성
____시큐어 인트로덕션
__디바이스 신뢰 갱신
____로컬 보안 성능 평가
____원격 보안 성능 평가
__소프트웨어 형상 관리
____형상 관리를 활용한 디바이스 목록
____생략 디바이스 정보의 신뢰도
____디바이스 데이터에 기반한 사용자 접근 허가
__신뢰 지표
____이미지 설치 시점
____네트워크 접근 히스토리
____위치
____네트워크 통신 패턴
__요약

6장. 사용자에 대한 신뢰

__비공식 ID와 공식 ID
__최초 ID 발급
____정부 발급 ID
____실세계 우선주의
____사용자에 대한 예상
__ID 저장
____사용자 목록
____사용자 목록 관리
__ID 인증 시점
____인증으로 얻을 수 있는 신뢰도
____신뢰도를 활용한 인증
____다양한 채널의 활용
____ID과 신뢰도 캐시
__사용자 ID 인증
____사용자가 아는 것: 암호
____사용자가 소유한 것: TOTP
____사용자가 소유한 것: 인증서
____사용자가 소유한 것: 보안 토큰
____사용자 자신: 생체 인식
____아웃오브밴드 채널을 사용한 인증
____통합 인증
____로컬 인증
__그룹 인증과 허가
____샤미르의 비밀 공유
____붉은 10월
__사용자의 신고의식
__신뢰 지표
__요약

7장. 애플리케이션에 대한 신뢰

__애플리케이션 파이프라인
__소스 코드에 대한 신뢰
____코드 저장소 보안
____진짜 코드와 모니터링
____코드 리뷰
__빌드에 대한 신뢰
____위험
____빌드 시스템의 입출력 보안
____재생산 가능한 빌드
____릴리즈와 버전의 분리
__배포에 대한 신뢰
____결과물 프로모션
____배포 과정의 보안
____무결성과 정품 인증
____배포망에 대한 신뢰
__인간의 개입
__실행 중인 소프트웨어에 대한 신뢰
____업그레이드만 허용하는 보안 정책
____소프트웨어의 접근 허용
__실행 환경 보안
____보안 코딩 실무
____애플리케이션 분리
____능동적인 모니터링
__요약

8장. 네트워크 트래픽에 대한 신뢰

__암호화 vs. 인증
____암호화 없는 메시지 보호
__신뢰의 시작: 첫 번째 패킷
____fwknop
__네트워크 모델
____그림으로 보는 네트워크 계층
____OSI 네트워크 모델
____TCP/IP 네트워크 모델
__제로 트러스트에 어울리는 네트워크 모델
____클라이언트와 서버의 분리
__프로토콜
____IKE/IPsec
____상호 인증 TLS
__필터링
____호스트 필터링
____북엔드 필터링
____중간 필터링
__요약

9장. 제로 트러스트 네트워크 구축

__범위 결정
____필수 디자인 요소
__시스템 다이어그램
__네트워크 흐름에 대한 이해
__컨트롤러가 없는 구조
____형상 관리 시스템 “남용”
____애플리케이션 인증과 접근 허가
____로드 밸런서 인증과 프록시 인증
____관계지향 보안 정책
____보안 정책 배포
__보안 정책 정의와 설치
__제로 트러스트 프록시
__클라이언트 마이그레이션과 서버 마이그레이션
__케이스 스터디
__케이스 스터디: 구글 BeyondCorp
____BeyondCorp의 구성 요소
____GFE 활용과 확장
____멀티 플랫폼 환경에서 인증의 어려움
____BeyondCorp으로 전환
____교훈
____결론
__케이스 스터디: 페이저듀티의 클라우드 독립형 네트워크
____형상 관리를 통한 자동화 플랫폼
____로컬 방화벽 동적 설정
____분산된 트래픽 암호화
____사용자 관리의 분산화
____제로 트러스트 네트워크로의 진화
____클라우드 독립형 시스템의 중요성
__요약

10장. 공격자의 시각

__ID 훔치기
__분산 서비스 거부 공격
__서비스 지도
__신뢰하지 않는 컴퓨팅 플랫폼
__사회 공학
__물리적 공격
__무효화
__컨트롤 플레인 보안

◈ 이 책에서 다루는 내용 ◈

◆ 보안 기능을 기본적으로 탑재한 제로 트러스트 모델 이해하기
◆ 네트워크 에이전트와 트러스트 엔진을 비롯한 제로 트러스트 네트워크의 핵심 개념
◆ 네트워크 주체 간 신뢰 구축에 기술 활용하기
◆ 경계형 모델을 채택한 네트워크를 제로 트러스트 모델로 변경하는 방법
◆ 구글(Google)과 페이지듀티(PagerDuty) 사례로 알아보는 제로 트러스트 모델 구축 방법

◈ 이 책의 대상 독자 ◈

중앙 집중식 방화벽 구축에 어려움을 겪었던 사람, 방화벽이 제대로 동작하지 않아 애먹은 적이 있는 엔지니어, 다양한 애플리케이션과 언어 때문에 VPN 구축과 TLS 설정에 골치가 아팠던 엔지니어, 보안 감사나 보안사항 준수에 어려움을 느꼈던 보안 엔지니어. 모두 이 책을 읽으면 도움을 받을 수 있을 것이다. 사실 방금 나열한 목록은 제로 트러스트 모델이 해결할 수 있는 많은 문제 중 일부분에 지나지 않는다. 더 나은 방법이 있지 않을까 한번이라도 고민해 본 적이 있는 독자라면 이 책을 읽을 것을 권한다.
네트워크 엔지니어와 보안 엔지니어부터 CTO에 이르기까지 제로 트러스트 개념을 익히면 많은 도움이 될 것이다. 이 책을 읽는데 특별한 기술을 요하는 것도 아니다. 이 책이 소개하는 다양한 원칙들은 모두 쉽게 이해할 수 있을 것으로 생각한다. 이 책을 읽은 후에는 독자 스스로 시스템의 보안을 업그레이드하는 것은 물론이고, 다른 사람들에게 제로 트러스트 모델을 가르칠 수도 있을 것이라 생각한다.
형상 관리 시스템을 사용하는 독자라면 이 책이 소개하는 개념들을 이용해 현재 네트워크 시스템의 보안을 향상시킬 수 있을 것이다. 보안이 더이상 네트워크의 추가 기능이 아닌 기본 기능으로 자리잡을 것이다. 형상 관리 시스템을 이용해 네트워크 설정을 자동으로 설정할 수 있는 상태라면, 관리 시스템에서 어떻게 네트워크 보안을 설정할 것인가하는 관점에서 책을 읽어도 좋다.
이미 제로 트러스트의 기본 개념을 알고 있는 독자에게는 보안 시스템을 향상시킬 수 있는 심화 학습의 기회를 제공할 것이다.

◈ 이 책의 구성 ◈

1장 ‘제로 트러스트 기초’와 2장 ‘신뢰도’는 제로 트러스트 네트워크의 기본 개념을 다룬다.
3장 ‘네트워크 에이전트’와 4장 ‘네트워크 접근 허가’는 잘 구현된 제로 트러스트 네트워크가 갖춘 네트워크 에이전트와 트러스트 엔진이라는 새로운 개념을 설명한다.
5장 ‘디바이스에 대한 신뢰’부터 8장 ‘네트워크 트래픽에 대한 신뢰’까지는 네트워크 구성요소가 서로를 어떻게 신뢰할 수 있는지를 다룬다. 여기서 다루는 내용은 대부분 현존 기술을 바탕으로 한다. 기존 네트워크에도 적용할 수 있는 내용들이다.
9장 ‘제로 트러스트 네트워크 구축’은 앞에서 다뤘던 내용을 바탕으로 어떻게 제로 트러스트 네트워크를 구축할 수 있는지 알려준다. 두 가지 실제 사례도 함께 소개한다.
10장 ‘공격자의 시각’에서는 공격자의 입장에서 제로 트러스트 모델을 분석한다. 잠재적 위험을 설명하고 어떻게 방어할 것인지도 함께 알려준다.

◈ 옮긴이의 말 ◈

네트워크 보안은 힘든 분야다. 기본적으로 네트워크와 보안에 대한 이론과 현실적으로 사용할 수 있는 도구를 알아야 하며 해당 도구의 한계는 물론, 이상과 현실의 차이도 명확히 알아야 한다. 그렇지 않으면 네트워크를 잘 보호하고 있다는 착각에 빠지기 쉽다. 다양한 운영체제와 다양한 접근 경로, 다양한 서비스가 공존하는 네트워크는 어느 한 곳에 문제가 발생하면 이를 찾는 것이 힘들다. 다른 서비스에 미치는 영향을 최소화하면서 수정하는 것 또한 어렵다. 이런 복잡도 때문에 네트워크의 경계만 집중적으로 보호하는 경계형 보안 모델이 많이 사용되는지도 모르겠다.
시스템의 복잡도가 늘고 해킹 기술이 많이 발달했지만 네트워크 보안을 포기할 수는 없다. 다행히 그 동안 자동화 기술에 많은 발전이 있었고 많은 교훈을 얻었다. 완전한 시스템 보안은 불가능하다. 각종 보안 장치를 적용해 안전하다고 믿는 호스트도 이미 해커의 손에 넘어가 있을 수도 있다. 이 책은 이런 현실을 받아들이고 불안전한 네트워크 환경에서 시스템을 어떻게 보호할 것인지를 알려주는 책이다.
이 책은 하드웨어부터 애플리케이션까지 네트워크와 관련된 모든 계층을 다룬다. 네트워크에 접속하는 모든 개체를 다루고 각 개체가 만들어내는 네트워크 트래픽을 파헤친다. 원격에서 네트워크에 접속하는 보이지 않는 디바이스를 어떻게 인증할 수 있을까? 인증을 마친 디바이스에서 동작하는 애플리케이션이 적법한 빌드 시스템을 통해 안전하게 빌드 됐는지 어떻게 확인할 수 있을까?
2020년을 전후로 기업의 네트워크 환경이 많이 변했다. 코로나 바이러스가 유행하면서 많은 사람들이 재택근무를 시작했고 이를 당연하게 받아들이기 시작했다. 사내 네트워크에 접속할 때 사무실과 집, 커피숍 모두 동일한 보안 수준을 제공하겠다는 것은 큰 목표다. 내부 네트워크는 신뢰한다는 가정에서 내부 네트워크도 외부 네트워크와 동일하게 취급하겠다는 위험 모델의 변화는 네트워크 엔지니어링의 기반을 흔들었다. 그리고 이 변화를 가능하게 한 네트워크 모델이 바로 제로 트러스트 네트워크다.
이 책은 특정 도구를 소개하거나 특정 기술을 소개하지 않는다. 공격자가 이미 네트워크에 침입했을 수 있다는 가정에서 네트워크 시스템을 어떻게 보호할 것인지에 대한 네트워크 보안의 원칙 또는 철학을 다룬다. 이 때문에 네트워크 실무 경험이 풍부하지 않은 상황에서 이 책을 접하면 당연한 소리를 길게 썼다고 생각할 수도 있다. 하지만 시간이 지나 경험을 쌓은 후 다시 읽는다면 한 줄 한 줄을 음미할 수 있을 것이다. 나는 운이 좋게 세계 최고의 네트워크 시스템을 가까이에서 지켜보는 기회를 갖게 됐다. 또한 번역을 시작할 때와 퇴고를 할 때 깨달음에 큰 변화가 있었다. 독자 여러분도 이 책을 곁에 두고 여러 번 읽으면서 변화를 느끼기 바란다.

작가의 말
네트워크를 신뢰하지 않는 조건에서도 신뢰도가 높은 시스템을 구축하는 것은 오랜 염원이었다. 하지만 이런 시스템을 디자인하고 구현하기란 쉽지 않은 일이다. 문제 하나를 해결하면 다른 문제가 등장해 우리를 괴롭히는 일은 비일비재하지만 여러 분야의 전문가들이 힘을 합쳐 문제들을 적극적으로 풀어나가길 바란다.
신뢰도가 높은 네트워크를 구축하려면 새로운 관점에서 문제에 접근해야 한다. 시스템의 기능을 구현한 다음에 보안을 추가한다는 생각은 버려야 한다. 디자인 단계에서부터 보안이 설계된 시스템을 생각해야 한다. 보안이 시스템의 동작을 제한하는 도구가 돼서는 안 된다. 시스템이 처음 동작하는 순간부터 보안이 공존해야 한다. 보안은 시스템의 동작을 가능하게 하는 도구여야 하며 시스템의 동작을 방해하는 도구가 되서는 안 된다. 이 책은 시스템 설계자가 따라야 할 디자인 패턴과 주의사항을 많이 담고 있다. 이 책의 가이드 라인을 잘 따른다면, 최신 공격 대부분을 방어할 수 있는 신뢰도 높은 시스템을 구현할 수 있을 것이다.
이 책에서 소개하는 내용을 적용해 시스템을 구현하면, 제로 트러스트 모델을 따르는 시스템을 구축할 수 있다. 제로 트러스트 모델에서는 사전에 승인된 권한이 전혀 없다. 카페에서 접속하든 데이터 센터에 있는 서버에서 접속하든, 모든 접근 요청은 접근의 적법성 검사를 받는다. 이 모델을 적용한 시스템에선 공격의 수평적 이동, VPN 이슈, 중앙 집중식 방화벽 관리에 따른 오버헤드는 더 이상 문제가 되지 않는다. 이전과는 전혀 다른 네트워크 모델이며, 미래의 네트워크 보안이 따라야 할 모델이라 할 수 있다.
보안은 끊임없는 변화가 일어나는 복잡한 영역이다. 시스템의 보안을 확보하려면 시스템의 여러 계층에 걸친 깊은 이해가 필요하며, 해커들이 어떻게 각 계층의 버그나 약점을 악용할 수 있을지 잘 이해해야 한다. 제로 트러스트 모델을 적용해 시스템의 보안 수준을 높이는 작업이 어려울 수는 있다. 하지만 이 과정을 통해 많은 것을 배우는 즐거움을 얻을 수 있을 것이다. 우리가 제로 트러스트 네트워크를 구현하면서 즐거워했던 것만큼, 독자 여러분도 즐겁게 네트워크를 구축하길 바란다.

추천사

브라이언 버그(Bryan Berg)(스트라이프(Stripe)의 인프라 엔지니어)
“현대 네트워크 보안 모델의 이론을 소개하고, 이를 구현하는 데 필요한 실질적인 조언을 담은 책이다. 클라우드 시스템이나 다국적 네트워크에서 서비스를 구축하거나 운영한다면, 반드시 이 책을 읽고 조언에 따라야 한다.”
라이언 휴버(Ryan Huber)(슬랙(Slack)의 보안 운영 책임자)
“제로 트러스트 네트워크에 관한 저자들의 풍부한 지식과 경험을 엿볼 수 있다. 소규모 네트워크부터 대규모 네트워크까지 현대 네트워크 보안 원칙을 구현하는데 있어서 반드시 참고해야 할 책이다.”

에반 길먼
컴퓨터 네트워크를 전공한 엔지니어다. 오랫동안 학계에 있었으며, 현재 인터넷 보안과 관련된 일을 하고 있다. 안전하지 못한 환경에서 동작하는 시스템을 만들고 운영하는 일을 하고 있다. 오픈소스 프로젝트 참여, 콘퍼런스 연설, 저술 등 다양한 방법으로 네트워크 시스템을 디자인하는 데 참여하고 있다.

더그 바르트
지식을 공유하는 것을 좋아하는 소프트웨어 엔지니어다. 오비츠(Orbitz), 페이저듀티(PagerDuty)같은 다양한 규모의 시스템에서 일한 경험이 있다. 모니터링 시스템, 메시 네트워크, 오류 테스트 등의 전문가다.


옮긴이 evilqcom
국내에서 CS 학사 및 석사 과정을 마치고 미국에서 CS 박사 학위를 받았다. 지금은 구글에서 시큐리티 엔지니어로 일하고 있다. 다양한 시스템을 접하고 싶어 소프트웨어 엔지니어가 아닌 시큐리티 엔지니어로서의 길을 선택했으며, 매일 마주하는 도전과 배움 속에서 바쁘게 살고 있다.