046. 제로 트러스트 (Zero Trust)

⚠️ 이 문서는 "내부망은 안전하다"는 기존의 경계 기반 보안 철학을 완전히 폐기하고, 접속자의 물리적 위치와 무관하게 모든 접근 시도를 지속적으로 검증하는 현대 사이버 보안의 절대 패러다임인 '제로 트러스트(Zero Trust)'를 다룹니다.

핵심 인사이트 (3줄 요약)

본질: 제로 트러스트(Zero Trust)는 특정 솔루션이나 제품이 아니라, **"Never Trust, Always Verify (아무것도 신뢰하지 말고, 항상 검증하라)"**는 철학 하에 네트워크의 경계를 '사용자의 신원'과 '디바이스 무결성'으로 재정의하는 사이버 보안 아키텍처 사상이다.

가치: 원격 근무(WFH), 클라우드 도입(SaaS/IaaS), BYOD 환경의 폭발적 증가로 인해 파괴된 사내망의 물리적 경계를 논리적인 소프트웨어 경계(SDP)로 복원하며, 해커가 내부망에 침투하더라도 측면 이동(Lateral Movement)을 원천 차단하여 피해를 격리한다.

융합: 이 철학을 현실의 엔터프라이즈 환경에 구현하기 위한 표준 지침이 바로 NIST SP 800-207이며, 이를 기술적으로 뒷받침하기 위해 마이크로 세그멘테이션, 지속적 인증(CARTA), 다단계 인증(MFA) 기술이 필연적으로 융합된다.

Ⅰ. 개요 및 등장 배경 (Context & Background)

과거 정보보안의 알파이자 오메가는 '경계 기반 보안 (Perimeter Security)' 혹은 **'성벽과 해자 (Castle and Moat) 모델'**이었다. 방화벽과 VPN이라는 두꺼운 성벽만 통과하여 사내망(내부 네트워크)에 들어오면, 사용자는 암묵적으로 신뢰받아 여러 서버를 마음대로 돌아다닐 수 있었다.

그러나 이 모델은 두 가지 치명적 이유로 붕괴했다.

클라우드와 모바일의 도래: 업무용 서버가 AWS로 가고 데이터가 구글 드라이브(SaaS)에 저장되면서, 쳐야 할 '성벽(경계)' 자체가 사라져 버렸다.
APT 공격과 내부자 위협: 피싱 메일에 속은 직원 PC 하나가 감염되면, 해커는 그 PC의 '신뢰받는 내부망 권한'을 이용해 회사 전체의 DB를 쑥대밭으로 만든다 (Lateral Movement).

이를 타파하기 위해 2010년 포레스터 리서치(Forrester Research)의 존 킨더버그가 **제로 트러스트(Zero Trust)**라는 용어를 창안했다. 핵심은 **"네트워크의 위치(사내망이냐 외부망이냐)는 더 이상 신뢰의 기준이 될 수 없다"**는 것이다.

📢 섹션 요약 비유: 옛날엔 성문(방화벽) 수문장만 통과하면 성 안에서 은행도 가고 무기고도 마음대로 들락거렸습니다(성벽 모델). 하지만 제로 트러스트 시대에는 성 안에 들어왔더라도 은행 문을 열 때마다, 무기고 문을 열 때마다 신분증과 지문을 계속해서 새로 검사받아야 합니다.

Ⅱ. 제로 트러스트의 핵심 원칙 (NIST SP 800-207 기준)

미국 국립표준기술연구소(NIST)는 SP 800-207 문서를 통해 제로 트러스트 아키텍처(ZTA)의 7가지 핵심 원칙을 정립했다.

모든 데이터 리소스와 컴퓨팅 서비스는 자원(Resource)으로 간주한다: 네트워크 장비, 클라우드 워크로드, 사물인터넷(IoT) 등 모든 것을 자산으로 취급한다.
네트워크 위치에 관계없이 모든 통신은 보호되어야 한다: 사내망 안에서의 통신이라고 해서 평문(HTTP)으로 전송하면 안 되며, 무조건 종단 간 암호화(mTLS 등)를 해야 한다.
개별 기업 자원에 대한 접근은 세션 단위로 동적으로 부여된다: 아침 9시에 인증받았다고 하루 종일 접속을 허용하지 않는다. 특정 자원에 접근할 때마다 신뢰 수준을 평가하여 '최소 권한(Least Privilege)'만 부여한다.
자원에 대한 접근은 클라이언트 신원, 애플리케이션, 디바이스 상태 등 동적 정책에 의해 결정된다: 단순 ID/PW뿐만 아니라 접속 기기의 OS 패치 상태, 백신 업데이트 여부, 접속 위치(ABAC)를 종합 평가한다.
모든 소유/연관 디바이스의 무결성(Integrity) 및 보안 태세를 모니터링하고 측정한다: 단말기(엔드포인트)가 오염되었다면 즉시 신뢰를 박탈하고 접근을 차단한다.
모든 자원의 인증(Authentication) 및 인가(Authorization)는 동적이며 허용 전에 엄격하게 수행된다: 지속적이고 적응적인 위험 및 신뢰 평가(CARTA) 메커니즘을 가동하여 MFA(다단계 인증)를 강제한다.
가능한 모든 정보를 수집하여(Log/Traffic), 보안 태세를 개선하는 데 사용한다: SIEM, AI/ML 기반의 행위 분석을 통해 이상 징후를 머신 스피드로 탐지한다.

┌────────────────────────────────────────────────────────────────────────┐
│           기존 경계 모델 vs 제로 트러스트 모델의 차이 시각화           │
├────────────────────────────────────────────────────────────────────────┤
│                                                                        │
│ [기존: Castle and Moat 모델]                                           │
│   해커 ──X──▶ [ 방화벽 / VPN ] ──▶ (내부망: 100% 신뢰 구역)            │
│                (단일 관문)         ├──▶ 인사 DB (접근 가능)            │
│   내부자 PC 감염 ───────────────────┼──▶ 재무 DB (접근 가능)           │
│                                  └──▶ 소스코드 (접근 가능)             │
│   * 문제점: 방화벽 뚫리면 무방비 (Lateral Movement에 극히 취약)        │
│                                                                        │
│ [혁신: Zero Trust 모델]                                                │
│   모든 요청 ──▶ [ 정책 결정 지점 (PDP) ] ──▶ [ 정책 집행 지점 (PEP) ]  │
│                   (신원, 기기 상태 분석)        (동적 접근 제어)       │
│                        │                       │                       │
│                        ▼                       ▼                       │
│                 (통과/일시적 허가)          (통과/일시적 허가)         │
│                  ▶ [마이크로 세그먼트]      ▶ [마이크로 세그먼트]      │
│                       인사 DB                   재무 DB                │
│                                                                        │
│   * 장점: 내부망/외부망 구분이 없음. 자원 앞마다 검문소가 있음.        │
└────────────────────────────────────────────────────────────────────────┘

[다이어그램 해설] 제로 트러스트의 핵심은 중앙 집중식 큰 대문을 없애고, 자원(DB, 서버) 바로 앞마다 초소형 검문소(PEP, 정책 집행 지점)를 세우는 것이다. 그 검문소는 두뇌 역할을 하는 중앙 정책 서버(PDP)에게 실시간으로 물어본다. "얘가 이 DB에 접근해도 됩니까?" PDP는 기기 상태, 위치, MFA 여부를 종합해 "10분만 허락해"라고 결정한다.

📢 섹션 요약 비유: 클럽 입장할 때 손등에 도장을 찍어주고 안에서는 맘대로 놀게 하는 것이 '기존 방식'이라면, 제로 트러스트는 화장실 갈 때, VIP 룸에 들어갈 때, 심지어 음료수를 마실 때마다 경호원이 신분증을 다시 검사하는 '극강의 보안 클럽'입니다.

Ⅲ. 실무 시나리오 및 기술 요소 융합

제로 트러스트는 단일 제품(Buy)으로 해결되지 않는다. 기존 시스템들을 통합(Integration)하여 아키텍처를 완성해야 한다.

시나리오: 재택근무자의 사내 ERP 시스템 접속

과거(VPN 기반): 집에서 사내망 VPN에 접속하면 끝. 사용자의 개인 PC에 악성코드가 있어도 묻지 마 통과.
제로 트러스트 기반:
- 직원이 ERP 접속을 시도한다. (네트워크 경로: 인터넷 $\rightarrow$ ZTNA 게이트웨이)
- IAM(신원 관리): Okta나 Azure AD를 통해 FIDO 생체 인증(MFA)을 요구한다.
- 엔드포인트(UEM/EDR): 접속을 시도하는 노트북의 OS가 최신인지, 백신이 돌아가는지 체크한다. (디바이스 무결성 확인)
- 컨텍스트 분석(ABAC): 새벽 3시에 해외 IP에서 접속을 시도한다면 '위험도(Risk)'를 올리고 접속을 차단하거나 추가 인증을 요구한다.
- SDP(소프트웨어 정의 경계): 위의 모든 조건을 통과하면, 사내망 전체를 열어주는 것이 아니라 오직 'ERP 서버'로 가는 1:1 비밀 통로(터널)만 열어준다. 다른 서버는 핑(Ping)조차 가지 않는다(다크 네트워크).

이 시나리오를 완성하기 위해 IAM, EDR, ZTNA, 마이크로 세그멘테이션 솔루션이 거미줄처럼 융합되어야 한다.

📢 섹션 요약 비유: 아무리 회사 사장님이라도, 술에 취해 비틀거리거나(디바이스 악성코드 감염), 새벽 4시에 복면을 쓰고 오면(이상한 IP 접근) 회사 정문을 열어주지 않는 무자비한 AI 경비원 시스템을 도입하는 것입니다.

Ⅳ. 도입의 장애물과 한계 (Trade-offs)

레거시 시스템의 저항: 클라우드 네이티브 앱은 ZTA 적용이 쉽지만, 20년 된 메인프레임이나 자체 제작한 낡은 C/S 프로그램은 지속적 인증(SAML/OIDC)이나 mTLS를 지원하지 않아 ZTA 게이트웨이를 덧씌우는 데 막대한 비용이 든다.
사용자 경험(UX) 저하: 모든 단계마다 인증을 요구하면 직원들의 피로도가 극심해진다. 이를 해결하기 위해 패스워드리스(Passwordless) 인증과 백그라운드 행동 분석(SSO 연동)을 통한 '심리적 수용성' 확보가 ZTA 성공의 핵심 열쇠다.
벤더 종속성(Lock-in): ZTA를 완벽하게 구현하려면 신원, 네트워크, 기기 관리를 하나로 묶어야 하는데, 이를 한 회사의 거대한 생태계(예: Microsoft 365 + Azure AD + Intune)에 종속되기 십상이다.

Ⅴ. 결론

"제로 트러스트(Zero Trust)"는 해킹이 만연한 현대 사이버 전쟁터에서 조직이 살아남기 위한 유일한 생존 철학이다. 경계는 뚫렸다는 패배주의가 아니라, **"뚫려도 상관없게 만들겠다(Assume Breach)"**는 주도적인 복원력(Resilience)의 선언이다.

기업의 인프라 담당자는 더 이상 굵은 랜선과 방화벽 정책에 매달릴 것이 아니라, 분산된 신원(Identity) 관리와 디바이스 헬스 체크, 그리고 최소 권한 부여라는 소프트웨어 기반의 마이크로 경계로 시선을 완전히 돌려야 한다.

📌 관련 개념 맵

상위 철학: 제로 트러스트 아키텍처 (ZTA)
구현 표준: NIST SP 800-207
핵심 구현 기술: ZTNA (Zero Trust Network Access), SDP (소프트웨어 정의 경계), 마이크로 세그멘테이션, IAM (Identity and Access Management)
보안 사상: 최소 권한 원칙(Least Privilege), 침해 가정(Assume Breach), 지속적 인증(CARTA)

👶 어린이를 위한 3줄 비유 설명

옛날엔 집 대문만 꽁꽁 잠그면 집 안방, 부엌, 냉장고는 아무나 막 열어볼 수 있었어요 (경계 보안).
하지만 도둑이 아빠인 척하고 대문을 통과하면 집안 물건을 다 훔쳐 가는 큰일이 발생했어요.
제로 트러스트는 대문은 물론이고 방문, 냉장고 문, 과자 상자 문을 열 때마다 "너 진짜 우리 아빠 맞아? 손가락 지문 대봐!" 하고 끊임없이 의심하고 검사하는 완벽한 방어법이랍니다!