Zero Trust
제로 트러스트(Zero Trust)는 시스템의 내부와 외부를 구분하지 않고, 네트워크에 접근을 시도하는 모든 사용자, 디바이스, 애플리케이션을 기본적으로 신뢰하지 않는 전략적 사이버 보안 프레임워크다.
이 개념은 2010년 Forrester Research의 애널리스트 존 킨더바그(John Kindervag)가 창안했다. 핵심 원칙은 “절대 신뢰하지 말고, 항상 검증하라(Never trust, always verify)“이다. 이는 기존의 경계 기반 보안(Perimeter-based security) 모델이 방화벽 내부에 접속한 사용자를 무조건 안전하다고 가정하여 발생하는 보안 취약점을 극복하기 위해 설계되었다.
미국 국립표준기술연구소(NIST)의 표준 아키텍처와 미국 사이버보안 및 인프라 보안국(CISA)의 가이드라인에 따른 제로 트러스트의 핵심 구성 요소는 다음과 같다.
- 지속적인 인증 및 검증 (Continuous Authentication and Verification): 네트워크 최초 접속 시점뿐만 아니라 세션이 유지되는 모든 과정에서 사용자의 신원, 디바이스의 보안 상태, 위치 및 행동 패턴을 지속적으로 모니터링하고 인증한다.
- 최소 권한 접근 (Least Privilege Access): 사용자, 디바이스 또는 애플리케이션이 특정 작업을 수행하는 데 필요한 최소한의 접근 권한만 부여한다. JIT(Just-In-Time) 및 JEA(Just-Enough-Access) 정책을 적용하여 잠재적 권한 남용을 방지한다.
- 마이크로 세그멘테이션 (Micro-segmentation): 보안 경계를 물리적 네트워크가 아닌 애플리케이션 또는 데이터 단위의 정밀한 구역으로 세분화한다. 이를 통해 보안 침해 사고가 발생하더라도 공격자의 내부 네트워크 내 수평 이동(Lateral Movement)을 물리적으로 차단한다.
출처:
- John Kindervag, “Build Security Into Your Network’s DNA: The Zero Trust Network Architecture”, Forrester Research, 2010.
- National Institute of Standards and Technology (NIST), Special Publication 800-207, “Zero Trust Architecture”, 2020.
- Cybersecurity and Infrastructure Security Agency (CISA), “Zero Trust Maturity Model Version 2.0”, 2023.