핵심 인사이트
- ZTA(Zero Trust Architecture)는 NIST SP 800-207이 정의한 구체적 구현 아키텍처 — "제로 트러스트"가 원칙이라면 ZTA는 정책 결정 지점(PDP), 정책 시행 지점(PEP), 정책 엔진(PE)의 3요소로 구성된 실제 구현 모델이다.
- ZTA의 핵심은 정책 엔진(Policy Engine)의 동적 신뢰 점수 계산 — 사용자 ID, 디바이스 상태, 위치, 시간, 행동 분석을 종합해 매 요청마다 실시간으로 신뢰 점수를 산출하고 접근 여부를 결정하는 지속적 평가(Continuous Evaluation)가 핵심이다.
- ZTA 구현의 7가지 원칙 — NIST는 ① 모든 데이터 소스/서비스를 리소스로 간주, ② 통신 보안은 네트워크 위치와 무관, ③ 세션별 접근 허가, ④ 동적 정책, ⑤ 모든 자산 모니터링, ⑥ 동적 엄격한 인증, ⑦ 현재 상태에서 점진적 개선을 원칙으로 제시한다.
Ⅰ. ZTA 핵심 구성 요소
NIST SP 800-207 ZTA 구성:
3대 핵심 컴포넌트:
PE (Policy Engine, 정책 엔진):
신뢰 점수 계산 + 접근 결정 주체
입력 데이터:
- CDM (Continuous Diagnostics and Mitigation): 디바이스 현황
- 위협 인텔리전스 (Threat Intelligence)
- 네트워크 활동 로그
- 데이터 접근 정책 (IAM)
출력: 허용/거부/제한 결정
PA (Policy Administrator, 정책 관리자):
PE 결정을 PEP에 전달
세션 토큰 생성/취소
접근 경로 구성
PEP (Policy Enforcement Point, 정책 시행 지점):
실제 접근 차단/허용 실행
위치: 게이트웨이, 프록시, 방화벽
모든 리소스 앞단에 존재
데이터 흐름:
사용자/디바이스
│ 접근 요청
v
[PEP] ──── 접근 허용/거부 ───▶ 리소스
│
│ 정책 결정 요청
v
[PA] ──── 신뢰 점수 ────▶ [PE]
│
┌────────┤
│ CDM 시스템
│ 위협 인텔리전스
│ ID 관리자
│ SIEM
└────────
📢 섹션 요약 비유: ZTA 3요소는 공항 보안 — PE(보안 시스템: 위험 판단), PA(공항 직원: 판단 전달), PEP(게이트: 실제 통과/차단). 매 탑승마다 재검사!
Ⅱ. 신뢰 점수 계산
동적 신뢰 점수 (Dynamic Trust Score):
입력 변수:
ID/인증 (Identity):
MFA 성공 여부
계정 최근 활동 패턴
권한 범위 적합성
기여 점수: 0~30점
디바이스 상태 (Device Health):
OS 패치 최신 여부 (+/- 10점)
EDR 활성 여부 (+/- 10점)
디스크 암호화 여부 (+/- 5점)
알려진 CVE 취약점 (-15점)
기여 점수: 0~25점
네트워크/위치 (Network/Location):
IP 평판 점수
일반 접속 위치 여부 (+/- 15점)
VPN 사용 여부
비정상 국가 (-20점)
기여 점수: 0~25점
행동 분석 (Behavior Analytics):
평소 접속 시간대 여부
접근 리소스 패턴 일치
이상 행위 (대량 다운로드, 야간 접속)
기여 점수: 0~20점
신뢰 점수 = ID + 디바이스 + 네트워크 + 행동
범위: 0~100점
정책:
70점 이상: 접근 허용
40~70점: 추가 MFA 요구
40점 미만: 접근 거부 + 보안팀 알림
예시:
MFA OK(30) + 최신 패치(25) + 사무실 IP(20) + 정상(20)
= 95점 → 즉시 허용
MFA OK(30) + 취약점 있음(10) + 해외 IP(-5) + 야간(-5)
= 30점 → 거부 + 알림
📢 섹션 요약 비유: 신뢰 점수는 여행자 신용 점수 — ID(여권), 디바이스(건강 증명서), 위치(일반 경로), 행동(의심스럽지 않음). 70점 이상만 입국!
Ⅲ. ZTA 구현 배포 모델
NIST SP 800-207 배포 모델:
1. 에이전트 기반 (Agent/Gateway):
디바이스에 에이전트 설치
에이전트 ↔ PEP(게이트웨이) ↔ 리소스
장점: 세밀한 디바이스 제어
단점: 에이전트 설치 필요 (BYOD 어려움)
도구: CrowdStrike, Zscaler ZPA
2. 마이크로세그멘테이션:
네트워크 내부를 작은 구역으로 분리
각 구역 간 PEP 배치
장점: 기존 인프라 재사용
단점: 네트워크 재설계 필요
도구: Illumio, VMware NSX
3. SDP (Software-Defined Perimeter):
사용자가 리소스 "보기" 전에 인증
인증 전 리소스 IP 노출 안 함
Cloud SPA (Single Packet Authorization):
첫 패킷으로 인증 → 포트 개방
도구: Cloudflare Access, Appgate SDP
4. ZTNA (Zero Trust Network Access):
VPN 대체 솔루션
사용자 → ZTNA 클라이언트 → ZTNA 서비스 → 앱
앱별 개별 터널 (VPN과 달리 전체망 X)
도구: Zscaler Private Access (ZPA)
Cloudflare WARP, Palo Alto Prisma
5. CASB (Cloud Access Security Broker):
SaaS 앱 접근 중간 제어
Microsoft 365, Salesforce 등
Shadow IT 탐지
도구: Netskope, MCAS (Microsoft)
선택 기준:
레거시 많은 기업: 마이크로세그멘테이션
원격 근무 중심: ZTNA
SaaS 의존: CASB
📢 섹션 요약 비유: ZTA 배포 모델은 경비 시스템 종류 — 에이전트(개인 경호원), 마이크로세그멘테이션(건물 구역 경비), ZTNA(개인 통로), CASB(외부 건물 접근 통제). 상황에 맞는 경비 선택!
Ⅳ. ZTA 성숙도 모델
CISA (Cybersecurity and Infrastructure Security Agency)
ZTA 성숙도 모델:
5개 지주 (Pillars):
Identity (ID)
Devices (디바이스)
Networks (네트워크)
Applications/Workloads (앱)
Data (데이터)
각 지주 성숙도 4단계:
전통적 (Traditional)
초기 (Initial)
고급 (Advanced)
최적화 (Optimal)
예: Identity 지주
전통적:
비밀번호만 (MFA 없음)
정적 ID 관리
초기:
MFA 일부 적용
기본 ID 거버넌스
고급:
전 직원 MFA
JIT (Just-In-Time) 접근
PAM 도입
최적화:
위험 기반 MFA (신뢰 점수 연동)
AI 기반 이상 ID 탐지
지속적 인증 (Continuous Authentication)
전체 성숙도 로드맵:
Year 1: Traditional → Initial
MFA 전사 도입
MDM 디바이스 등록
Year 2: Initial → Advanced
ZTNA (VPN 대체)
마이크로세그멘테이션 코어 시스템
Year 3+: Advanced → Optimal
AI/ML 신뢰 점수
자동화 정책 적용
완전한 ZTA
📢 섹션 요약 비유: ZTA 성숙도는 보안 무술 단계 — 흰 띠(전통적: 비밀번호만) → 노란 띠(MFA) → 파란 띠(ZTNA) → 검은 띠(AI 기반 지속 인증). 한 번에 검은 띠 불가!
Ⅴ. 실무 시나리오 — 미국 연방 기관 ZTA
미국 연방 정부 ZTA 전환 (행정명령 14028):
배경:
2021년 5월: 바이든 행정명령 14028
"연방 기관은 ZTA 아키텍처를 채택해야"
CISA, OMB 가이드라인 발표:
M-22-09: "모든 연방 기관 2024년까지 ZTA"
요구사항:
1. MFA: 피싱 저항 MFA (FIDO2/WebAuthn)
2. 엔드포인트 보안: EDR 전면 도입
3. 암호화: 네트워크 트래픽 전체 암호화
4. 데이터 분류: 민감 데이터 레이블링
5. ZTNA: VPN 폐기 계획
주요 도전:
레거시 시스템:
COBOL, 구형 Unix 시스템
에이전트 설치 불가
→ 네트워크 레벨 마이크로세그멘테이션으로 우회
ITAR 규정 준수:
방산 데이터는 특정 클라우드만 가능
→ FedRAMP High 클라우드 사용
실적:
2023 기준:
MFA: 76% 기관 도입
EDR: 85% 디바이스 커버리지
ZTNA: 45% 기관 시범 도입
예산: 연방 IT 예산의 일부 (수십억 달러)
시사점:
대규모 조직의 ZTA: 3~7년 장기 여정
레거시 시스템이 가장 큰 장애물
아키텍처보다 문화 변화가 더 어려움
📢 섹션 요약 비유: 연방 ZTA는 정부청사 전체 보안 리모델링 — 모든 출입구(PEP), 생체인식(MFA), 구역별 잠금(마이크로세그멘테이션). 수백 개 청사를 동시에. 7년 대공사!
📌 관련 개념 맵
ZTA (Zero Trust Architecture)
+-- 핵심 컴포넌트
| +-- PE (Policy Engine)
| +-- PA (Policy Administrator)
| +-- PEP (Policy Enforcement Point)
+-- 배포 모델
| +-- 에이전트 기반
| +-- 마이크로세그멘테이션
| +-- ZTNA (ZPA, Cloudflare)
| +-- CASB
+-- 성숙도
| +-- CISA 5 Pillars
| +-- Traditional → Optimal
+-- 참조 표준
+-- NIST SP 800-207
+-- 미국 행정명령 14028
📈 관련 키워드 및 발전 흐름도
[제로 트러스트 개념 (2010)]
John Kindervag, Forrester
"Zero Trust Networks"
|
v
[Google BeyondCorp (2014)]
구글 내부 구현 공개
에이전트+게이트웨이 모델
|
v
[NIST SP 800-207 (2020)]
공식 ZTA 아키텍처 정의
PE/PA/PEP 표준화
|
v
[미국 행정명령 (2021)]
연방 기관 ZTA 의무화
민간 기업도 영향
|
v
[현재: AI 기반 ZTA]
AI 신뢰 점수 계산
지속적 인증 (Continuous Auth)
SASE 통합 (네트워크+보안)
👶 어린이를 위한 3줄 비유 설명
- ZTA 3요소는 공항 보안 — 보안 시스템(PE: 위험 판단), 직원(PA: 판단 전달), 게이트(PEP: 실제 통과/차단). 매 탑승마다 재검사!
- 신뢰 점수는 여행자 평점 — ID+디바이스+위치+행동을 합산. 70점 이상만 통과. 나쁜 디바이스(취약점)나 이상한 위치(해외 IP)면 점수 감소!
- ZTA 성숙도는 무술 단계 — 흰 띠(비밀번호만)에서 검은 띠(AI 지속 인증)까지. 한 번에 검은 띠 불가, 단계별 향상!