제로 트러스트 아키텍처 구현, 데이터 정규화(Data Normalization)가 핵심

'제로 트러스트 아키텍처(ZTA)'의 실행은 '제로 트러스트 모델'의 각 축과 통합되는 많은 구성 요소에 의존합니다. 이러한 구성 요소는 '정책 엔진(PE, policy engine)' 및 '트러스트 알고리즘 컴포넌트'에서 최상의 의사 결정을 내리기 위해 원활하게 작동해야 합니다. '트러스트 알고리즘'은 특히 대규모의 다양한 네트워크에 걸쳐 모든 ZTA 환경에서 구현해야 하는 복잡하고 핵심적인 구성 요소 중 하나입니다.

이 알고리즘은 '네트워크 트래픽 메타데이터', '애플리케이션 메타데이터', '엔드포인트 메타데이터', '보안 이벤트 로그 데이터' 등과 같은 대량의 데이터를 지속적으로 분석합니다. 그리고 각 계정과 디바이스에 위험을 할당하여 액세스 권한을 판단합니다. 트러스트 알고리즘에는 위험을 계산하고 더 빠르고 정확한 결정을 내리는 데 도움이 되는 인공 지능(AI)/머신 러닝(ML) 알고리즘이 포함되어 있습니다. 머신 러닝은 AI의 일부입니다.

미국 국립표준기술원(NIST: National Institute of Standards and Technology)는 AI를 다음과 같이 정의합니다:
 

1. 추론, 학습, 자기 계발 등 인간의 지능과 관련된 기능을 수행하는 데이터 처리 시스템을 개발하는 데 전념하는 컴퓨터 과학의 한 분야입니다.

2. 추론, 학습, 자기 계발 등 일반적으로 인간의 지능과 관련된 역할을 수행할 수 있는 장치의 기능입니다.


그림 1. NIST SP 800-207: 트러스트 알고리즘 입력.

 

NIST SP 800-207에 정의된 트러스트 알고리즘: ZTA(제로 트러스트 아키텍쳐)를 배포한 기업의 경우에는 정책 엔진을 두뇌로, PE의 신뢰 알고리즘을 주요 사고 과정으로 생각할 수 있습니다. TA(트러스트 알고리즘)는 정책 엔진에서 리소스에 대한 액세스를 최종적으로 허용하거나 거부하는 데 사용하는 프로세스입니다. 정책 엔진은 대상, 대상 속성 및 역할에 대한 관찰 가능한 정보를 여러 소스에서 입력값은 받는데, 이 소스들은 정책 데이터베이스, 과거 대상 행동 패턴, 위협 인텔리전스 소스 및 기타 메타데이터 소스 등과 같습니다.

모든 AI/ML 노력의 첫 번째 단계는, 에코시스템의 다양한 데이터 소스에서 데이터를 확인하고 수집하여, 네트워크, 데이터, 엔드포인트, 사용자, 디바이스, 애플리케이션 기둥 전반에 걸쳐 충분한 가시성을 확보하는 것입니다. 이후 데이터 정규화를 포함한 데이터 준비를 수행한 다음 모델을 개발하고 테스트합니다. 데이터 수집과 정리는 '트러스트 알고리즘'을 위한 AI 기반의 정확성과 성공에 매우 중요합니다. 현재 논의되고 있는 AI/ML은 의사결정을 위한 데이터 분석 및 분류를 위해 설계되었습니다. AI를 사용하여 텍스트나 오디오와 같은 새로운 콘텐츠를 만드는 생성형 인공지능이라고 널리 알려진 것과는 다릅니다.

'데이터 정규화'는 모든 필드와 레코드에서 일관성을 유지하도록 데이터 항목을 구성하는 작업입니다. 트러스트 알고리즘이 수많은 다양한 환경의 데이터 분석을 기반으로 트러스트 점수를 할당할 때 데이터 정규화는 중요해집니다. 여러 클라우드 서비스 제공업체, 레거시 시스템, 물리적, 가상, 컨테이너 리소스 전반의 온프레미스 컴퓨팅이 해당됩니다.

여기서부터 상황이 흥미로워지고 복잡해집니다. 데이터가 정규화되지 않았기 때문에 트러스트 알고리즘의 위험 점수를 계산하기 위해 다양한 종류와 소스의 데이터 세트에 AI/ML 모델을 적용하는 것은 어려운 일입니다. 모델이 같은 범주안에 있는 것을 비교할 수 없기 때문에 서로 다른 데이터 세트에서 AI/ML 모델을 학습시키는 것은 비효율적입니다. 데이터 정규화를 통해 표준화 및 일관된 데이터를 확보할 수 있으므로 효과적인 AI/ML 모델을 학습하고 구축하여 올바른 위험 결정을 내릴 수 있습니다.

메타데이터를 생성하고 AI/ML 모델을 만들고 훈련시키는 것은 한 가지입니다. 모든 메타데이터가 표준화되어 일관되게 제공되는 방법은 '클라우드 서비스 공급자로부터 출처가 있는 경우'입니다. 이 경우에는 데이터가 일관되지 않은 다양한 클라우드 서비스 제공업체와 온프레미스 네트워크에서 데이터를 가져올 때에 비해 분류기를 학습시키는 AI/ML 프로세스가 더 쉽고 정확해집니다. 복잡성이 증가하면 정규화하더라도 AI/ML 학습이 더 어려워져 성능과 정확도가 떨어지게 됩니다.

가장 이상적인 방법은 단일 솔루션이 모든 환경(온프레미스, 소프트웨어 정의 네트워크, 컨테이너, 여러 클라우드 서비스 제공업체의 클라우드 워크로드)의 네트워크 트래픽 전반에 걸쳐, 메타데이터를 생성하고 표준화 하는 것 입니다. 이렇게 하면 '제로 트러스트 아키텍처'를 지원하기 위해 효과적이고 신뢰할 수 있는 AI/ML 기반 트러스트 알고리즘을 구축하는 데 사용되는 메타데이터를 준비하고, 정규화하는 데 따르는 복잡성과 조직의 부담이 줄어듭니다.

엑세스(접속)에 대한 가시성 확보는 일부분일 뿐입니다. 도구는 캡처된 트래픽을 처리할 수 있어야 하며, 이러한 정규화 회피(avoidance of normalization)는 특히 AI/ML을 사용하여 의사 결정을 내릴 때 위협 탐지를 강력하고 효율적으로 만드는 것이 핵심입니다.

같은 시각을 통해 환경을 관찰하는 기능을 갖추는 것은 매우 중요합니다. 공격자는 단순히 다른 방식으로 클라우드 인프라를 본다고 해서 이를 존중하지 않습니다.