정보보안기사 기출 핵심 [61] 클라우드 IAM과 제로 트러스트 아키텍처 완전 정복

by

클라우드 IAM과 제로 트러스트 아키텍처란?

클라우드 환경에서의 Identity and Access Management(IAM)와 제로 트러스트 아키텍처는 현대 보안의 핵심입니다. 정보보안기사 시험에서도 빈출되는 주제로, 개념과 구현 방법을 명확히 이해해야 합니다.

IAM 핵심 개념

접근 제어 모델

  • RBAC(Role-Based Access Control): 역할 기반 접근 제어. 사용자에게 역할을 부여하고 역할에 권한을 매핑. 최소 권한 원칙 적용
  • ABAC(Attribute-Based Access Control): 속성 기반 접근 제어. 사용자·리소스·환경 속성을 조합해 동적으로 접근 결정
  • PBAC(Policy-Based Access Control): 정책 기반 접근 제어. XACML 등 정책 언어로 표현
  • MAC vs DAC: MAC(강제적 접근 제어)는 시스템이 결정, DAC(임의적 접근 제어)는 소유자가 결정

AWS IAM 구성 요소

  • User/Group/Role: 사용자는 장기 자격증명, 역할은 임시 자격증명. EC2·Lambda에 역할 부여
  • Policy: JSON 형식. Effect/Action/Resource/Condition 요소. Managed vs Inline Policy
  • STS(Security Token Service): AssumeRole로 임시 자격증명 발급. 교차 계정 접근에 활용
  • IAM Condition: aws:MultiFactorAuthPresent, aws:SourceIp, aws:RequestedRegion 등 조건 키

제로 트러스트 아키텍처

제로 트러스트 원칙

  • Never Trust, Always Verify: 내부 네트워크도 신뢰하지 않음. 모든 요청 검증
  • 최소 권한 접근: 필요한 리소스에만 필요한 시간 동안 접근 허용
  • 마이크로 세그멘테이션: 네트워크를 세분화해 측면 이동(Lateral Movement) 방지
  • 지속적 검증: 세션 중에도 지속적으로 신뢰도 평가

NIST SP 800-207 제로 트러스트

  • Policy Engine(PE): 접근 결정을 내리는 핵심 컴포넌트. 신뢰 알고리즘 실행
  • Policy Administrator(PA): PE의 결정을 집행. 세션 토큰 생성·폐기
  • Policy Enforcement Point(PEP): 실제 접근을 허용·차단하는 게이트웨이
  • CDM(Continuous Diagnostics and Mitigation): 자산 현황 지속 모니터링

제로 트러스트 구현 기술

  • BeyondCorp(Google): 제로 트러스트의 실제 구현 사례. VPN 없이 기기·사용자 신원으로 접근 제어
  • SASE(Secure Access Service Edge): SD-WAN + 클라우드 보안 서비스 통합. Cloudflare One, Zscaler
  • Identity-Aware Proxy: 애플리케이션 레벨 프록시. 모든 요청에 인증·권한 부여
  • 디바이스 신뢰: MDM/EMM으로 기기 상태 확인. 패치 수준·암호화·루팅 여부 검사

OAuth 2.0 / OpenID Connect 심화

  • Authorization Code + PKCE: 공개 클라이언트(SPA, 모바일)용. code_verifier·code_challenge로 코드 탈취 방어
  • Client Credentials: 서비스 간 인증. 사용자 없는 M2M 통신
  • JWT 구조: Header.Payload.Signature. iss·sub·aud·exp·iat 클레임. RS256 vs HS256
  • Token Introspection: RFC 7662. 불투명 토큰 검증. active 필드로 유효성 확인

시험 핵심 포인트

  • RBAC vs ABAC 차이: RBAC는 역할 기반 정적, ABAC는 속성 기반 동적
  • 제로 트러스트 3요소: PE(결정) → PA(집행 지시) → PEP(실제 집행)
  • STS AssumeRole: 임시 자격증명(Access Key + Secret Key + Session Token)
  • PKCE: Proof Key for Code Exchange. S256 해시로 code_challenge 생성

마무리

클라우드 IAM과 제로 트러스트는 현대 보안 아키텍처의 근간입니다. 경계 기반 보안에서 정체성 기반 보안으로의 패러다임 전환을 이해하고, 각 구성 요소의 역할과 상호작용을 명확히 파악해두세요.

Leave a Comment