제로 트러스트 성숙도 모델의 세부 역량, 애플리케이션 및 워크로드

1. 애플리케이션 접근

1.1. 리소스 권한 부여 및 통합

• 애플리케이션 및 시스템에 대한 접근 권한 관리
• 다른 보안 시스템과 통합하여 보안을 강화하는 과정으로 표준화된 리소스 승인 게이트웨이를 설정하여 관리

2. 애플리케이션 위협 보호

2.1. 지속적인 모니터링 및 진행 중인 승인

• 자동화된 도구와 프로세스를 사용하여 애플리케이션 및 시스템의 보안 상태 모니터링
• 실시간 보안 승인 관리

3. 접근 가능한 애플리케이션

3.1. 원격 접속

• 사용자가 외부에서 안전하게 기업망에 접속할 수 있도록 하는 보안 조치
• 최소 권한 기준을 설정하기 위해 기존 기기 접근 프로세스 및 도구 사용
• 승인된 애플리케이션에 대해 기업 IDP를 사용하는 기기 및 IoT 등이 원격 접속 지원을 포함하도록 확장

4. 안전한 애플리케이션 배포

• 애플리케이션을 배포할 때 발생할 수 있는 보안 위협을 최소화하기 위해 프로세스 및 도구 사용
• 보안 정책 준수, 취약점 검사, 자동화된 배포 파이프라인, 코드 무결성 검증, 환경 격리 및 모니터링

4.1. 애플리케이션 인벤토리

• 기업 내에서 사용되는 모든 애플리케이션 식별하고 체계적으로 관리하는 과정
• 애플리케이션의 상태, 소유권, 사용 목적 등 파악 가능

5. 소프트웨어·애플리케이션 보안

5.1. 안전한 소프트웨어 개발 및 통합

• 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 보안 요소를 내재화하고 개발된 소프트웨어를 안전하게 통합하는 과정
• 코드 검토, 런타임 보호, 보안 API 게이트웨이, 컨테이너 및 서버리스 보안과 같은 제어 기능 통합 및 자동화
• DevSecOps를 통해 워크플로우 구성

5.2. 소프트웨어 위험 관리

• 소프트웨어 개발 및 운영 과정에서 발생할 수 있는 보안 위험을 식별, 평가, 완화하는 프로세스

* SDLC(Software Development Life Cycle)

• 소프트웨어를 계획, 개발, 테스트, 배포, 유지보수하는 전체 과정을 체계적으로 관리하기 위한 방법론
• 소프트웨어 품질을 높이고 개발 효율성을 확보하기 위해 사용
• 요구사항 수집 > 설계 > 구현 > 테스트 > 배포 > 유지보수로 이루어짐
• 워터풀(Waterfall) 모델: 단계별로 순차적으로 진행, 각 단계 완료 후 다음 단계로 이동
• 애자일(Agile) 모델: 반복적 점진적 개발을 통해 빠른 피드백 반영
• 스파이럴(Spiral) 모델: 위험 분석을 중심으로 반복적으로 개발
• V-모델: 워터풀의 확장형, 각 개발 단계에 대응되는 테스트 단계가 존재

** DevSecOps

• 소프트웨어 개발(Development)과 운영(Operation), 보안(Security)의 합성어로 애플리케이션 개발자와 운영, 보안 실무자 간의 소통과 협업, 통합을 가종하는 개발 문화를 의미
• 급속도로 변화하는 비즈니스 환경에서 발생하는 문제점 해결을 위해 DevOps와 Security가 결합하여 개발 파이프라인의 과정에서 보안 정책 및 기술 반영