제로 트러스트란?
제로 트러스트(Zero Trust)는 “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”는 보안 철학을 기반으로 한 아키텍처입니다. 기존의 경계 기반 보안(성벽 방식)과 달리, 내부 네트워크라도 신뢰를 전제하지 않습니다.
제로 트러스트 등장 배경
- 클라우드·원격근무 확산으로 기업 네트워크 경계가 사라짐
- 내부자 위협 및 측면 이동(Lateral Movement) 공격 증가
- 기존 VPN 방식의 광범위한 네트워크 접근 권한 문제
제로 트러스트 7가지 원칙 (NIST SP 800-207)
- 모든 데이터 소스와 컴퓨팅 서비스를 리소스로 간주
- 네트워크 위치와 무관하게 모든 통신 보안
- 개별 세션 단위로 자원 접근 허가
- 동적 정책으로 접근 결정 (최소 권한 원칙)
- 모든 자산의 무결성·보안 상태 모니터링
- 모든 인증·접근을 동적으로 엄격히 시행
- 자산·네트워크 인프라 상태 정보를 지속 수집해 보안 개선
핵심 기술 구성 요소
ZTNA (Zero Trust Network Access)
- 사용자·디바이스·애플리케이션 단위로 최소 권한 접근
- 기존 VPN 대체: 전체 네트워크 노출 없이 특정 앱만 접근 허용
- SDP(Software Defined Perimeter) 기반 구현
마이크로세그먼테이션 (Microsegmentation)
- 데이터센터 내부를 세밀한 보안 구역으로 분리
- 측면 이동(Lateral Movement) 차단
- 워크로드 단위로 최소 권한 통신 정책 적용
IAM과 MFA
- 강력한 신원 확인: MFA, FIDO2, 생체인증
- 지속적 신원 검증: 세션 중에도 신원·디바이스 상태 재평가
지속적 모니터링 및 분석
- 모든 접근 요청·트래픽 로깅
- 행동 분석(UEBA)으로 이상 징후 탐지
Google BeyondCorp 사례
구글이 2009년 중국 해킹(Operation Aurora) 이후 도입한 제로 트러스트 모델. VPN 없이 모든 직원이 공용 인터넷으로 내부 서비스에 접근하되, 디바이스·사용자 상태를 지속 검증합니다.
제로 트러스트 vs 경계 기반 보안
- 경계 기반: 내부 = 신뢰 / 외부 = 비신뢰 (성벽+해자 모델)
- 제로 트러스트: 위치 무관 모든 접근 검증 (체크포인트 모델)
시험 핵심 포인트
- 제로 트러스트 핵심 원칙: Never Trust, Always Verify
- NIST SP 800-207: 제로 트러스트 아키텍처 표준
- ZTNA: VPN 대체, 앱 단위 접근
- 마이크로세그먼테이션: 측면 이동 차단
- 최소 권한 원칙(Least Privilege): 필요한 권한만 최소한으로 부여
마무리
제로 트러스트는 최신 보안 트렌드로 정보보안기사 출제 비중이 증가하고 있습니다. 핵심 원칙과 구성 기술을 기존 경계 기반 보안과 비교하며 이해하면 효율적으로 학습할 수 있습니다.