Zero Trust 보안

Zero Trust 보안

"절대 신뢰하지 말고, 항상 검증하라"는 원칙에 기반하여 네트워크 위치에 관계없이 모든 접근에 대해 지속적인 신원 검증과 최소 권한 접근을 적용하는 보안 아키텍처

특징: 명시적 검증, 최소 권한 접근(JIT/JEA), 침해 가정

구성요소: Policy Engine(정책 엔진), Policy Administrator(정책 관리자), PEP(Policy Enforcement Point)

기술요소: ZTNA(VPN 대체), 마이크로세그멘테이션, SDP, SASE, CASB, IAM/MFA

5단계: 신원(MFA), 장치(상태 확인), 네트워크(마이크로세그멘테이션), 애플리케이션(접근 제어), 데이터(암호화)

3대 핵심 원칙

• •명시적 검증(Verify Explicitly): 모든 접근 요청마다 사용자 신원/장치 상태/위치/행위 등 다중 신호 기반 인증·인가
• •최소 권한 접근(Least Privilege): JIT(Just-In-Time)/JEA(Just-Enough-Access), 필요한 자원에 필요한 시간만 최소 권한 부여
• •침해 가정(Assume Breach): 내부 네트워크도 이미 침해되었다고 가정, 마이크로세그멘테이션으로 측면 이동(Lateral Movement) 차단

ZTNA vs VPN 상세 비교

구현 단계(CISA Zero Trust Maturity Model)

• •1단계(Traditional): 경계 기반 보안, 정적 정책, 수동 구성
• •2단계(Initial): MFA 도입, 기본 자산 가시성, 부분적 마이크로세그멘테이션
• •3단계(Advanced): ZTNA 전환, 지속적 검증, 자동화된 정책 적용, SASE 통합
• •4단계(Optimal): 완전 자동화, AI 기반 실시간 위험 판단, 동적 정책, 모든 필러(신원/장치/네트워크/앱/데이터) 통합

적용사례: 원격 근무, 클라우드 접근, 내부 위협 대응

비교: Zero Trust(검증/경계없음) vs 경계보안(내부신뢰/명확한 경계)

연관: IAM, MFA, SASE, ZTNA, 마이크로세그멘테이션