제134회 정보관리기술사 2교시 2번 — 제로 트러스트 보안 아키텍처(ZTA) NIST 800-207

by

전통적 경계 기반(Castle-and-Moat) 보안 모델은 클라우드·원격근무·BYOD 환경에서 한계를 노출하고 있습니다. NIST SP 800-207이 정의하는 제로 트러스트 아키텍처(ZTA)는 “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”를 원칙으로 합니다.

1. 제로 트러스트 개념 및 7대 원칙 (NIST)

1-1. 핵심 원칙

  • 모든 데이터·서비스는 리소스로 간주
  • 네트워크 위치와 무관하게 모든 통신 암호화·인증
  • 리소스 접근은 세션 단위로 요청·부여
  • 최소 권한(Least Privilege) 원칙 적용
  • 모든 자산의 무결성·보안 태세 검증
  • 모든 네트워크 트래픽 수집·분석
  • 동적 정책 수립 및 지속적 개선

2. ZTA 핵심 구성 요소

2-1. 논리적 컴포넌트

컴포넌트 약어 역할
정책 결정 지점 PDP 접근 허용·거부 정책 판단(PE + PA 포함)
정책 엔진 PE 신뢰 알고리즘 실행 — 접근 허용 여부 결정
정책 관리자 PA PEP에 세션 토큰 발급, 접속 경로 구성
정책 집행 지점 PEP 실제 트래픽을 허용·차단하는 게이트키퍼
CDM 시스템 CDM 자산 현황·취약점·패치 상태 관리
SIEM 이벤트 로그 수집·위협 탐지

2-2. 신뢰 알고리즘 입력 요소

사용자 정체성: MFA, PKI 인증서
디바이스 상태: EDR 건강 점수, 패치 수준, MDM 등록 여부
행동 패턴: UEBA — 이상 행동 탐지
네트워크 위치: IP 평판, 지리적 위치
리소스 민감도: 데이터 분류 레이블

3. ZTA 구현 방식 비교

방식 특징 적합 환경
강화된 ID 거버넌스 IdP + MFA 중심, IAM 강화 SaaS 중심 소규모 기업
마이크로 세그멘테이션 워크로드 단위 네트워크 분리 데이터센터·하이브리드 클라우드
SDP(Software Defined Perimeter) 검증 전 네트워크 불가시(dark) 유지 원격근무·BYOD 환경
SASE(Secure Access Service Edge) 클라우드 기반 네트워크+보안 통합 글로벌 분산 사무소

4. ZTA 구현 단계 (성숙도 모델)

4-1. 3단계 로드맵

  • 초기(Traditional): 정적 정책, 경계 방화벽 위주 — 레거시 현황 파악
  • 고급(Advanced): MFA 전사 적용, 워크로드 마이크로 세그멘테이션, SIEM 연동
  • 최적(Optimal): 동적 정책, UEBA 기반 자동 대응, 지속적 검증·모니터링

4-2. 핵심 기술 구현 목록

✅ IdP 통합 + 조건부 MFA (FIDO2/WebAuthn)
✅ PAM(특권계정 관리) 도입
✅ 네트워크 마이크로 세그멘테이션 (서비스 메시 / NSG)
✅ EDR + MDM 디바이스 건강 검증
✅ 모든 내부 트래픽 TLS 암호화
✅ SIEM + SOAR 자동 대응 연계

5. ZTA 도입 시 도전 과제 및 해결 방안

도전 과제 해결 방안
레거시 시스템 통합 어려움 API 게이트웨이·프록시로 ZTA 정책 적용
사용자 마찰(MFA 피로) 위험 기반 적응형 인증(Risk-Based MFA) 도입
정책 복잡성 증가 IaC(Terraform)로 정책 코드화·버전 관리
성능 오버헤드 PEP 분산 배치, 엣지 POP 활용

6. 결론

제로 트러스트는 특정 제품이 아닌 보안 철학·전략입니다. NIST SP 800-207을 기준으로 PDP-PEP 구조를 설계하고, 성숙도 모델에 따라 단계적으로 도입하되 Identity를 새로운 경계(New Perimeter)로 삼는 것이 핵심입니다.

Leave a Comment