제로트러스트 아키텍처 (Zero Trust Architecture)
출제 빈도: ★★★★★ | ★133,135회 기출
답안.
Ⅰ. 개요
제로트러스트(Zero Trust)란 "아무것도 신뢰하지 않고, 항상 검증한다(Never Trust, Always Verify)"를 원칙으로 하는 보안 아키텍처이다. 네트워크 경계(Perimeter) 기반의 전통적 보안 모델이 클라우드·재택·BYOD 환경에서 무력화됨에 따라, 모든 접근 요청을 지속적으로 검증하는 패러다임으로 전환되었다.
Ⅱ. 핵심 원칙 (NIST SP 800-207)
┌─────────────────────────────────────────────┐
│ Zero Trust 핵심 원칙 │
├─────────────────────────────────────────────┤
│ 1. 모든 자원은 접근 통제 대상 │
│ 2. 네트워크 위치와 무관하게 보안 적용 │
│ 3. 세션 단위 접근 허가 (최소 권한) │
│ 4. 정책은 동적: 신원+디바이스+행위+환경 │
│ 5. 모든 자산의 보안 상태 지속 모니터링 │
│ 6. 인증/인가는 접근 허용 전 엄격 수행 │
│ 7. 데이터 수집→보안 개선 피드백 루프 │
└─────────────────────────────────────────────┘
Ⅲ. 아키텍처 구성요소
| 구성요소 | 역할 | 대표 기술 |
|---|---|---|
| PEP (정책 시행 지점) | 접근 허용/차단 실행 | SDP Gateway, 프록시 |
| PDP (정책 결정 지점) | 접근 정책 판단 | PE(정책 엔진) + PA(정책 관리자) |
| 신원 확인 | 사용자·디바이스 검증 | MFA, PKI, IAM |
| 마이크로세그멘테이션 | 워크로드 간 격리 | NSG, 서비스메시 |
| SIEM/SOAR | 로그 분석·자동 대응 | Splunk, Sentinel |
Ⅳ. 전통 경계 보안 vs 제로트러스트
| 구분 | 경계 보안 | 제로트러스트 |
|---|---|---|
| 신뢰 모델 | 내부=신뢰, 외부=불신 | 모두 불신, 항상 검증 |
| 접근 제어 | VPN + 방화벽 | SDP + IAM + MFA |
| 세그먼테이션 | VLAN 단위 | 워크로드 단위 (마이크로) |
| 적합 환경 | 온프레미스 폐쇄망 | 클라우드, 하이브리드, 원격 |
Ⅴ. 구현 로드맵
CISA(미국 CISA 성숙도 모델) 기준 5개 기둥(Identity, Devices, Networks, Applications, Data)에 대해 단계적으로 적용한다. 국내에서는 KISA 제로트러스트 가이드라인이 2024년 발표되었으며, 공공기관 대상 의무 도입이 추진되고 있다.
관련: 암호기술(01번) · ISMS(04번) · 클라우드 보안(05번) · SDP/SASE(06번)