아무것도 신뢰하지 않고 검증한다. Zero Trust 보안이란?

-

1. 제로 트러스트의 시작

1.1. Zero Trust 란

  • Zero Trust는 "기본적으로 아무것도 신뢰하지 않고(never trust), 모든 접근을 지속적으로 검증(always verify)하는 보안 모델"이다.

1.1.1. Never Trust, Always Verify

  • 절대 신뢰하지 말고, 항상 검증하라
    • 사용자, 기기, 네트워크 위치를 기본적으로 신뢰하지 않는다.
    • 내부망이라도 안전하다고 가정하지 않는다.
    • 모든 접근 요청에 대해 항상 인증(Authentication)과 인가(Authorization)를 수행한다.

1.1.2. Least Privilege Access

  • 최소 권한 원칙
    • 사용자에게 업무 수행에 필요한 최소한의 권한만 부여한다.
    • 불필요한 접근 권한은 허용하지 않는다.

1.1.3.  Assume Breach

  • 침해를 가정하라
    • 시스템이 이미 공격당했을 가능성을 전제로 설계한다.
    • 공격이 발생해도 확산되지 않도록 설계한다.

1.2. Zero Trust 시작 배경

  • 2010년, ‘오퍼레이션 오로라(Operation Aurora)’라는 대규모 사이버 공격 사건이 발생하였다.

  • 사건 개요:
    • 이 공격은 구글을 포함한 20개 이상의 주요 IT 기업을 대상으로 한 대규모 APT(지능형 지속 위협) 공격이었다.
  • 공격 수법:
    • 웹 브라우저인 인터넷 익스플로러의 제로데이 취약점을 악용한 ‘드라이브 바이 다운로드(Drive-by Download)’ 방식이 사용되었다.
  • 공격 대응:
    • 이 공격으로 큰 피해를 입은 구글은 기존의 네트워크 경계 기반 보안 모델만으로는 고도화된 사이버 공격을 방어하기에 한계가 있다고 판단하였다.
    • 이에 따라 구글은 약 8년에 걸쳐 모든 접근을 검증하는 제로 트러스트(Zero Trust) 아키텍처로 인프라를 재설계 하였다.
    • 이후 2014년, 그 성과를 비욘드코프(BeyondCorp)’ 라는 논문으로 발표하며 제로 트러스트 개념을 전 세계적으로 확산시키는 계기를 마련하였다.

※ Drive-by Download: 사용자가 별도 실행 없이 웹페이지 방문만으로 악성코드가 자동으로 다운로드 및 실행되도록 하는 공격 방식이다.

1.2.1. BeyondCorp 논문

BeyondCorp: A New Approach to Enterprise Security
    • 비욘드코프(BeyondCorp) 논문은 구글이 기존의 내부 망 중심 보안 방식을 버리고 제로 트러스트 보안 모델로 전환한 사례를 설명한 논문이다.
    • 비욘드코프의 핵심은 네트워크 위치를 신뢰하지 않는 것이다. 회사 안에서 접속하든 외부에서 접속하든, 모든 접근은 사용자 신원, 기기 상태, 권한 정보를 기준으로 검증된다.
    • 즉, 비욘드코프는 “내부에 있다고 믿지 말고, 모든 접근을 계속 확인해야 한다”는 제로 트러스트 원칙을 실제 기업 환경에 적용한 대표 사례이다.

1.2.1.1. 주요 내용

  • 기존 보안 모델은 내부 네트워크를 신뢰하는 방식이었지만, 내부망이 한 번 침해되면 공격 확산을 효과적으로 차단하기 어렵다
  • 이에 따라 구글은 내부 망 역시 외부 인터넷과 동일하게 위험할 수 있다고 보고, 모든 접근 요청에 대해 인증(Authentication)과 인가(Authorization)를 수행하는 제로 트러스트 모델을 적용하였다.
  • 이 모델에서는 사용자의 위치(On-Premise 또는 Remote)보다 사용자 신원(User Identity)접근 권한(Access Control)이 더 중요한 판단 기준이 된다.
  • 또한, 단순히 사용자뿐만 아니라 기기의 보안 상태(Device Security Posture)관리 여부(Device Management)까지 함께 검증한다.
  • 이를 통해 신뢰된 사용자와 기기만 업무 시스템에 접근하도록 통제하며, 기존의 VPN(Virtual Private Network)에 대한 의존도를 줄이고 위치에 관계없이 안전한 접근 환경을 제공한다.
  • 결과적으로 이 사례는 제로 트러스트가 이론이 아닌, 대규모 기업 환경에서도 실제로 구현 가능한 현실적인 보안 모델임을 보여준다.

1.2.1.2. 구현 방법

BeyondCorp components and access flow
BeyondCorp components and access flow

  • 사용자가 업무 시스템에 접속하면 모든 요청은 먼저 접근 프록시(Access Proxy)를 거쳐 중앙에서 통제된다.
  • 접근 프록시는 사용자 인증(Authentication)을 수행하고, 요청에 대한 인가(Authorization)로그 기록(Logging)을 담당한다.
  • 이후 접근 제어 엔진(Access Control Engine)은 사용자 신원, 소속 그룹, 접근 권한을 기반으로 접속 허용 여부를 판단한다.
  • 동시에 기기 인벤토리 데이터베이스(Device Inventory Database)를 통해 해당 기기가 기업에서 관리되는 정상 기기인지 확인한다.
  • 또한, 기기 인증서와 보안 상태 정보를 활용하여 기기의 신뢰 상태를 지속적으로 검증(Continuous Verification)한다.
  • 최종적으로 사용자와 기기가 모두 보안 정책을 만족하는 경우에만 기업 애플리케이션 접근이 허용된다.
  • 모든 통신은 암호화되며, 이를 통해 VPN 없이도 안전한 원격 접속 환경을 제공한다.

1.2.2. Jericho Forum White Paper

Jericho Forum Visioning White Paper
  • Jericho Forum Visioning White Paper
    • 제리코 포럼(Jericho Forum)의 비경계형 방어(De-perimeterization) 개념과 그 추진 배경을 설명한 대표적인 백서이다.
    • 비욘드코프(BeyondCorp) 논문의 핵심인 ‘경계에 의존하지 않는 보안’이라는 개념은, 2004년에 결성된 제리코 포럼의 비경계형 방어 개념에 기반을 두고 있다.
    • 이 개념은 이후 제로 트러스트 보안 모델의 철학적 기반이 되었다.

1.2.2.1. 주요 내용

  • 제리코 포럼은 기존의 네트워크 경계 중심 보안의 한계를 지적하고, 비경계형 방어(De-perimeterization)개념을 제시하였다.
  • 내부/외부 네트워크 구분만으로는 현대 위협 대응이 어렵고, 클라우드, 협력사, 원격 근무 확산으로 보안 경계가 약화되었다고 본다.
  • 이에 따라 보안은 네트워크 위치가 아니라 자산의 중요도와 위험 수준을 기준으로 적용되어야 하며, 모든 접근은 명확한 신뢰 검증을 필요로 한다.
  • 이러한 관점은 이후 제로 트러스트의 기반 철학으로 이어졌다.

1.2.2.2. 구현 방식

  • 모든 통신은 검증 가능한 안전한 프로토콜을 사용하고, 사용자와 기기는 상호 인증 후 접근해야 한다.
  • 인증, 인가 및 추적 기능은 외부 조직까지 확장되어야 하며, 데이터 접근은 위치가 아닌권한과 보안 속성으로 통제한다.
  • 또한 데이터는 저장·전송·사용 전 과정에서 보호하고, 관리자 권한도 예외 없이 통제(권한 분리)해야 한다.

2. 제로 트러스트의 실현

2.1. Before vs After

Zero Trust Before vs After
  • Before: 경계 방어 
    • 사내 네트워크를 안전한 '구역'으로 간주
    • 네트워크의 위치(내부/외부)를 기준으로 신뢰를 부여하며, 일단 경계를 통과하면 내부의 자원은 안전하다고 믿는다.
  • After: 제로 트러스트 
    • '아무것도 신뢰하지 않는다'는 원칙
    • 사용자가 내부망에 있더라도 신뢰하지 않으며, 모든 접근 요청은 위치에 상관없이 항상 엄격하게 검증한다.

2.2. 제로 트러스트 구현 기술

  • 제로 트러스트의 주요 구현 기술은 사용자 신원 확인, 기기 관리, 접근 통제, 엔드포인트 보호, 클라우드 보안, 데이터 유출 방지, 보안 모니터링을 담당하는 기술 요소들이다.

2.2.1. 인증 접근 제어

  • MFA (Multi-Factor Authentication)
    • 다중 요소 인증 방식이다. 비밀번호 외에 OTP, 생체정보 등 2개 이상의 인증 요소를 요구하여 보안을 강화하는 방식이다.
  • RBA (Risk-Based Authentication)
    • 사용자 로그인 시 위치, 기기, 시간 등 위험도를 분석하여 추가 인증 여부를 결정하는 방식이다.
  • IAM (Identity and Access Management)
    • 사용자 신원 관리 및 접근 권한을 통합적으로 관리하는 시스템이다. 인증(Authentication)과 인가(Authorization)를 포함한다.

2.2.2. 단말 보안

  • MDM (Mobile Device Management)
    • 기업이 모바일 기기를 원격으로 관리·통제하는 기술이다. 기기 설정, 보안 정책 적용, 원격 삭제 등을 수행한다.
  • MAM (Mobile Application Management)
    • 모바일 기기의 전체가 아닌 특정 업무용 앱만 관리하는 방식이다. 데이터 보호 중심의 관리 기법이다.

2.2.3. 엔드포인트 보안

  • EPP (Endpoint Protection Platform)
    • 안티바이러스 기반의 전통적인 엔드포인트 보안 솔루션이다. 악성코드 탐지 및 차단이 중심이다.
  • EDR (Endpoint Detection and Response)
    • 단말의 행위를 지속적으로 모니터링하여 위협을 탐지하고 대응하는 보안 기술이다. 공격 이후 대응까지 포함하는 것이 특징이다.
  • XDR (Extended Detection and Response)
    • 개별 솔루션이 아니라 네트워크, 서버, 이메일, 클라우드 등 다양한 보안 시스템을 연계하여 위협의 전체 흐름을 분석하고 탐지/대응하는 확장된 보안 체계이다.

※ EPP는 악성코드 예방 중심이고, EDR은 단말 행위 기반 탐지 및 대응 중심이며, XDR은 다양한 보안 영역을 통합하여 전사적 위협 분석 및 대응을 수행하는 구조이다.

2.2.4. 네트워크 및 접속 보안

  • VPN (Virtual Private Network)
    • 외부에서 내부 네트워크에 접속할 때 암호화 터널을 통해 안전하게 연결하는 기술이다. 접속 시 내부 망 전체 접근이 가능한 구조인 경우가 많다.
  • IAP (Identity-Aware Proxy)
    • 사용자 단위로 애플리케이션 접근을 제어하는 방식이다. VPN과 달리 네트워크 전체가 아닌 특정 서비스만 접근 허용한다.

※ VPN은 네트워크 단위 접근이며, IAP는 사용자, 서비스 단위 접근이다.

2.2.5. 보안 관제 및 데이터 분석

  • SIEM (Security Information and Event Management)
    • 다양한 시스템의 로그를 수집·분석하여 보안 이벤트를 탐지하고 대응하는 통합 관제 시스템이다.

2.2.6. 클라우드 및 웹 보안

  • SWG (Secure Web Gateway)
    • 웹 트래픽을 검사하여 악성 사이트 접근을 차단하는 보안 게이트웨이이다.
  • CASB (Cloud Access Security Broker)
    • 클라우드 서비스 사용 시 가시성을 확보하고 데이터 보호 및 접근 제어를 수행하는 보안 솔루션이다.
  • DLP (Data Loss Prevention)
    • 중요 데이터의 외부 유출을 방지하는 기술이다. 데이터 식별, 모니터링, 차단 기능을 포함한다.