📌 원문 문제
제로 트러스트 아키텍처(Zero Trust Architecture)를 설명하시오.
1. 개념과 등장 배경
제로 트러스트(Zero Trust)란 “내부 네트워크에 있다고 해서 신뢰하지 않는다”는 원칙 하에, 모든 접근 요청에 대해 신원·기기·컨텍스트를 지속적으로 검증하고 최소 권한만을 부여하는 보안 아키텍처입니다. 기존 경계 보안(Castle-and-Moat)은 내부망 침투 시 자유로운 횡적 이동이 가능해 APT 공격에 취약했습니다.
2. 핵심 원칙 (NIST SP 800-207)
- Never Trust, Always Verify: 위치(내부/외부)에 관계없이 모든 접근을 검증
- 최소 권한 접근(Least Privilege): 필요한 자원에만, 필요한 시간 동안만 접근 허용
- 마이크로 세그멘테이션: 네트워크를 최소 단위로 분리하여 침해 시 횡적 이동 차단
- 지속적 모니터링: 세션 중에도 지속적으로 신뢰도 재평가
3. ZTA 핵심 구성요소
| 구성요소 | 역할 | 예시 솔루션 |
|---|---|---|
| PEP (Policy Enforcement Point) | 접근 요청을 가로채 PDP 결정 실행 | API 게이트웨이, 프록시 |
| PDP (Policy Decision Point) | 신원·기기·컨텍스트 평가 후 허용/거부 결정 | IAM, SIEM 연동 엔진 |
| 신원 공급자(IdP) | 사용자·기기 신원 강력 인증 (MFA·인증서) | Okta, Azure AD, Ping |
| 기기 신뢰 | 기기 보안 태세(패치·EDR 설치) 평가 | MDM, EDR 통합 |
4. ZTNA vs 전통 VPN
| 구분 | 전통 VPN | ZTNA |
|---|---|---|
| 접근 범위 | 전체 내부 네트워크 | 특정 애플리케이션만 |
| 인증 | 최초 1회 (ID/PW) | 지속적 재검증 (MFA+컨텍스트) |
| 횡적 이동 | 가능 (내부망 자유 이동) | 불가 (앱별 격리) |
✅ 핵심 암기: 제로 트러스트 = Never Trust Always Verify | PEP(실행)·PDP(결정) | ZTNA > VPN — 앱 단위 최소 접근