1043. 제로 트러스트 (Zero Trust) 아키텍처 - ZTNA 무경계 보안 신뢰성 제거 지속적 검증 최소 권한 부여 마이크로 세그멘테이션 인증 체계

핵심 인사이트: 옛날 회사 보안망(VPN)은 '목욕탕(신뢰 구역)'과 같았다. 입구(방화벽)에서 표 내고 한 번만 들어오면, 그 안에서는 홀딱 벗고 탈의실이든 사우나든 아무 데나 다 돌아다닐 수 있었다. 해커가 직원 아이디 하나만 털어서 성벽(VPN)만 뚫으면 회사 전체 서버를 쑥대밭으로 만들었다. "야! 성벽 안이라고 믿는 바보 같은 짓 집어치워! 성벽 안의 서버실 문도 잠그고, 서랍장도 잠그고, 서랍 속 파일도 다 자물쇠를 채워! 직원이 결재 서류 1장을 열 때마다 '너 진짜 홍길동 맞아? 해킹당한 거 아니야?' 라며 1초마다 총을 들이밀고 지문 인식을 시켜라!" 아무도, 아무것도, 심지어 성벽 안의 내부자조차 1%도 믿지 않는 극강의 의심병 아키텍처, 제로 트러스트다.

Ⅰ. 기존 경계 기반 보안(Perimeter Security)의 몰락

  • M&M (Marshmallow & Macaroni) 보안: 겉(방화벽)은 딱딱하지만, 속(내부망)은 마시멜로처럼 뚫리면 끝장나는 물렁물렁한 구조였습니다.
  • 해커는 악성 메일(피싱)로 말단 직원의 PC(내부망) 1대를 감염시킵니다. 이미 성벽 안에 들어왔으니 방화벽은 무용지물입니다. 해커는 내부망에서 왕처럼 돌아다니며(Lateral Movement, 횡적 이동) 인사 서버, DB 서버를 야금야금 다 털어갑니다.

Ⅱ. 제로 트러스트 (Zero Trust)의 핵심 철학 🌟

2010년 포레스터 리서치(Forrester Research)의 존 킨더박이 주창했습니다.

  • "Never Trust, Always Verify" (절대 믿지 말고, 항상 검증하라)
  • 네트워크 내부냐 외부냐(위치)는 아무런 의미가 없습니다. 회사 빌딩 안에서 꽂은 랜선이든, 카페 와이파이든 똑같이 "가장 위험한 적성 구역"으로 간주합니다.

Ⅲ. 제로 트러스트를 완성하는 3대 원칙 🌟 핵심 기출 🌟

1. 지속적이고 동적인 인증 (Continuous Verification)

  • 아침에 지문 찍고 로그인했다고 끝이 아닙니다.
  • 기밀문서를 누르려는 찰나, 시스템이 AI로 분석합니다. "어? 홍길동 대리는 맨날 서울에서 맥북으로 접속했는데, 지금 갑자기 아프리카 IP 윈도우 PC에서 접속 중이네?"
  • 아이디/비번이 맞더라도 위치, 기기 상태, 접속 시간을 실시간 점검하여 조금이라도 이상하면 즉시 OTP 2차 인증을 때려버리는(MFA) 끈질긴 감시 체계입니다.

2. 최소 권한의 원칙 (Least Privilege)

  • 옛날 VPN은 접속하면 회사 네트워크 전체의 로컬 IP(192.168.x.x) 대역을 통째로 뚫어주어 이방 저방 다 볼 수 있었습니다.
  • ZTNA (제로 트러스트 네트워크 접속): 접속해도 네트워크 전체를 안 보여줍니다. 홍길동 대리에게는 오직 '사내 그룹웨어 웹페이지 1개(애플리케이션)'에만 접속할 수 있는 바늘구멍 같은 단 1개의 통로만 열어주고, 옆에 있는 회계 서버나 DB 서버는 아예 IP 자체를 캄캄하게 숨겨버려(Dark Cloud) 해커의 횡적 이동을 원천 차단합니다.

3. 마이크로 세그멘테이션 (Micro-segmentation) 🌟 (1044번 연계)

  • 하나의 거대한 회사 내부망(서브넷)을 잘근잘근 다져버립니다.
  • "인사 서버와 회계 서버 사이에, 그리고 DB 서버 앞에도 모조리 미니 방화벽을 촘촘하게 세워라!"
  • 해커가 말단 PC를 뚫더라도, 그 PC가 속한 1평짜리 작은 감옥(세그먼트) 밖으로는 1mm도 전진할 수 없게 내부망 자체를 수만 개의 방폭문으로 쪼개버리는 기술입니다.

Ⅳ. 제로 트러스트 아키텍처(ZTA)의 구성

NIST(미국 국립표준기술연구소)에서 정의한 뼈대입니다.

  • PEP (정책 실행 지점): 사용자와 서버 사이의 진짜 문지기입니다. (예: 방화벽, 게이트웨이)
  • PDP (정책 결정 지점): "홍길동 들여보내 줄까?" 판단하는 뇌입니다.
    • 정책 엔진 (PE): 신뢰도를 계산합니다. (위치, 비밀번호 등 점수화)
    • 정책 관리자 (PA): PE의 결정을 받고 PEP에게 "문 열어라!" 명령을 내립니다.

📢 섹션 요약 비유: 기존 방화벽 보안은 **'클럽 입구의 기도(가드)'**였습니다. 신분증 내고 한 번 클럽 안에 들어가면, 그 안에서 VIP 룸을 가든 화장실을 가든 춤을 추든 아무도 검사하지 않았습니다(내부망 무한 신뢰). 해커(스파이)가 환풍구로 클럽 안에 떨어지기만 하면 VIP 금고를 마음대로 털 수 있었습니다. **제로 트러스트(Zero Trust)**는 클럽 안을 **'수만 개의 레이저 보안 철창(마이크로 세그멘테이션)'**으로 다 쪼개버린 미친 교도소입니다. 클럽에 들어와서 1번 테이블에서 2번 테이블로 1미터만 이동하려 해도, 테이블 사이의 가드가 튀어나와 "신분증 내놔! 홍채 인식해!(지속적 검증)"라고 총을 들이밉니다. 게다가 내 신분으론 1번 테이블만 보이게 허락되었고(최소 권한), 2번 테이블 너머는 아예 투명 망토를 씌워 보이지도 않게 만들어 해커가 침투해도 단 한 발짝도 나아가지 못하고 굶어 죽게 만드는 극강의 내부 감시 아키텍처입니다.