Headline
보안의 새로운 패러다임, 제로트러스트
■ 개요
4차 산업혁명과 코로나19 팬데믹을 거치면서 디지털 전환이 급격히 가속화되고 있다. 이로 인해 기업과 공공기관들은 클라우드, 사물인터넷(IoT), 인공 지능(AI) 등 새로운 기술을 도입해 업무 환경을 변화시키고 있으며 원격 근무와 같은 새로운 업무 방식이 일상화되고 있다.
디지털 전환은 생산성과 효율성을 높이는 데 기여했지만, 동시에 새로운 보안 위협을 초래하고 있다. 네트워크 경계가 모호해지면서 기존의 경계 기반 보안 모델은 더 이상 효과적으로 작동하지 않는다는 한계를 드러내고 있다. 디지털 환경에서 새로운 보안 위협은 점점 더 고도화되고 있으며, AI를 활용한 사이버 공격은 기존 보안 체계를 무력화할 수 있는 잠재력을 가지고 있다.
이러한 배경 속에서 등장한 것이 바로 제로트러스트(ZeroTrust) 아키텍처다. 제로트러스트는 “절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)”는 원칙을 기반으로 하며, 내부와 외부를 구분하지 않고 모든 접근 요청에 대해 지속적인 검증을 요구하는 보안 모델이다. 기존의 경계 기반 보안 모델이 네트워크 내부는 신뢰하던 방식에서 벗어나, 네트워크 내·외부 모든 요소에 대해 동일한 수준의 검증과 통제를 적용함으로써 보다 강력한 보안을 제공하는 것이다. 제로트러스트 아키텍처는 단순히 기술적인 변화만을 의미하는 것이 아니라, 조직의 보안 전략 전반에 걸친 근본적인 변화를 요구한다. 이는 클라우드 환경과 원격 근무가 일상화된 현대 사회에서 필수적인 보안 모델로 자리 잡고 있으며, 다양한 사이버 위협에 대응하기 위한 필수적인 접근 방식으로 평가받고 있다.
* 출처 : A.Kerman / NIST, “Zero Trust Cybersecurity: ‘Never Trust, Always Verify’”
그림1. 제로트러스트 도입 전과 후
그러나 제로트러스트 아키텍처를 구현하는 데에는 여러 가지 현실적인 어려움이 존재한다.
첫째, 고도화된 기술적 요구사항이다. 제로트러스트는 사용자 인증 및 권한 관리, 네트워크 세그멘테이션, 데이터 보호 등 다양한 기술적 요소들을 통합적으로 관리해야 하며 이를 위해서는 높은 수준의 기술 역량이 필요하다.
둘째, 정보 보안 예산의 한계도 중요한 문제다. 많은 조직들은 제한된 예산 내에서 운영되기 때문에 모든 시스템을 대상으로 하는 제로트러스트 원칙을 적용한 인프라와 솔루션을 도입하는 데에는 어려움이 있다. 특히 중소기업이나 예산이 제한된 공공기관에서는 이러한 문제가 더욱 두드러진다.
셋째, 가장 큰 문제는 제로트러스트 적용 방법론의 부재다. 제로트러스트라는 개념 자체가 매우 광범위하고 복잡하기 때문에 각 조직에 맞는 구체적인 적용 방안을 찾기가 어렵다. 각기 다른 산업군과 조직 구조에 따라 필요한 보안 요구사항도 상이하기 때문에 일괄적인 방법론으로는 개별 대응이 힘들다.
이러한 어려움에도 불구하고 제로트러스트는 거스를 수 없는 대세가 되고 있다. 미국을 비롯한 주요 선진국들은 정부 차원에서 제로트러스트 도입을 적극적으로 추진하고 있다. 국내에서도 과기정통부와 KISA 주도하에 '제로트러스트 가이드라인'을 발표하고 관련 사업을 지원하는 등 제로트러스트 확산에 박차를 가하고 있다.
또한 국내 다양한 정보 보안 전문회사와 컨설팅, 솔루션 벤더사에서도 제로트러스트 아키텍처 도입을 위해 컨설팅을 제공하고 다양한 솔루션을 개발하는 등 활발한 활동을 전개하고 있다.
그림2. SK쉴더스 제로트러스트 방법론(SKZT) 요약
■ 제로트러스트 국내·외 현황
미국에서는 바이든 정부가 2021년 5월 사이버 보안 강화를 위한 행정명령 EO14028을 발표한 이후, 미연방 정부 기관들이 제로트러스트 아키텍처 도입을 의무화하고 있다.
행정명령 EO14028은 연방 기관들로 하여금 제로트러스트 보안 원칙을 채택하게 하고 있고, 모든 기관들은 제로트러스트 관련 내용을 보고하고 있다. 트럼프 정부에 와서도 CISA를 중심으로 제로트러스트 이니셔티브 사무소(Zero Trust Initiative Office)를 설립해 이와 같은 노력을 이어가고 있다.
유럽에서도 제로트러스트 도입이 활발하게 진행되고 있다. Forrester의 보고서에 따르면, 유럽의 보안 의사 결정권자 중 66% 이상이 제로트러스트 전략 개발을 시작했다. 특히 공공 부문에서 제로트러스트 우선순위가 더 높은 것으로 나타났다. 이는 최근 유럽에서 발생했던 데이터 유출 사고와 GDPR(General Data Protection Regulation)과 같은 데이터 보호 규정 준수 등 요구사항 증가에 따른 대응으로 해석할 수 있다. 2024년 9월 유럽연합(EU)은 사이버 보안 강화를 위한 새로운 규정을 발표하고, EU 기관의 정보 보호 및 위험 관리를 위해 통일된 조치를 시행하고 있다 .
동아시아 지역의 일본과 중국에서도 국가 차원에서 가이드라인을 제시하고 기술 개발과 표준화를 추진하고 있다. 특히 싱가포르에서는 사이버 보안 위협 증가에 대응하기 위해 제로트러스트 아키텍처가 중요한 역할을 하고 있다. 싱가포르 정부는 2023년 5월 정부 제로트러스트 아키텍처 (GovZTA)를 발표하고 정부 기관의 디지털 전환을 제로트러스트를 기반으로 추진 중에 있다. 이외에 금융 및 의료 부문에서도 고객 데이터 및 금융 거래 보호를 위해 제로트러스트 모델을 채택하고 있으며, 기술 기업들은 외부는 물론 내부 접근에 대한 보안 또한 제로트러스트 아키텍처를 기반으로 강화하고 있다.
가트너가 2024년 4월에 발표한 자료에 따르면, 전 세계 조직의 63%가 제로트러스트 전략을 도입했거나 도입을 계획 중인 것으로 나타났다. 특히 클라우드 환경에서는 제로트러스트 아키텍처를 기반으로 전환하려는 움직임이 더욱 활발하게 나타나고 있다.
그림3. 제로트러스트 글로벌 동향
이에 발맞춰 글로벌 IT 벤더사들은 제로트러스트 아키텍처 구현을 위한 다양한 솔루션을 출시하고, 벤더사 간 협업을 통해 시너지 효과를 창출하고 있다. 특히 최근 클라우드 환경에서 보안 위협에 대한 대응책으로 SASE(Secure Access Service Edge), CASB(Cloud Access Security Broker)와 같은 솔루션들이 주목받고 있다. 이러한 솔루션들은 제로트러스트 아키텍처 기반으로 설계돼 클라우드 환경에서의 보안을 강화하는 데 기여하고 있다.
국내에서는 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA) 주도 하에 제로트러스트 도입 및 확산 사업이 활발히 진행되고 있다. 2023년에는 제로트러스트 모델 실증 사업을 통해 다양한 환경에서의 제로트러스트 적용 가능성을 검증했으며, 2024년에는 제로트러스트 도입·확산 지원 사업을 통해 보다 많은 기업들이 제로트러스트 아키텍처를 도입할 수 있도록 지원하고 있다.
또한 국내 제로트러스트 환경 구축을 위한 핵심 가이드라인인 "제로트러스트 가이드라인"은 2023년 6월 V1.0 발표 이후, 2024년 12월 V2.0으로 업데이트되어 기업의 실제 적용을 위한 단계별 고려 사항들이 구체화됐다.
2025년 1월에는 국정원에서 원격근무, 클라우드, 생성형 AI 등 IT 환경 변화에 따른 국내 망 분리 환경 개선을 위한 “국가망 보안체계 가이드라인”을 공개했다. 업계에서는 해당 가이드라인에 따라 망 분리 환경이 완화되면 보안을 강화하기 위한 방안이 제로트러스트 아키텍처와 밀접하게 연계되어 있음을 강조하고 있다.
이와 더불어, 제로트러스트 아키텍처 도입을 위한 한국정보산업협회(KISIA) 산하 한국제로트러스트위원회 (KOZETA)나 민간 협의체인 ZETIA(ZeroTrust Initiative Alliance) 등 제로트러스트 협의체들이 결성됐다. 이들은 제로트러스트 관련 기술 및 정보 공유, 사례 연구 등을 통해 국내 제로트러스트 생태계 활성화에 기여하고 있다.
그럼에도 불구하고 국내 제로트러스트 도입 수준은 해외에 비해 아직 미흡한 단계에 머무르고 있다. 옥타(Okta) APAC 보고서에 따르면 제로트러스트 보안을 진행 중인 한국 기업은 8%에 불과하며, 해외 시장 대비 현저히 낮은 수준이다. 정부 주도의 확산에 힘입어 민간기업의 도입이 늘고 있지만, 위에서 언급한 어려움들 때문에 제로트러스트 확산은 아직 더딘 상황이다. 따라서 국내 환경에 맞는 제로트러스트 모델 개발, 전문 인력 양성, 관련 기술 투자 확대 등 앞으로 더 많은 관심과 노력이 필요하다.
■ 제로트러스트 주요 가이드라인
제로트러스트 아키텍처를 효과적으로 도입하고 운영하기 위해서는 신뢰할 수 있는 가이드라인을 참조하는 것이 필수적이다. 다양한 기관에서 제로트러스트 아키텍처의 구현을 지원하기 위한 가이드라인을 발간하고 있으며, 이러한 문서들은 제로트러스트 원칙을 기반으로 한 보안 모델을 구축하는 데 중요한 참고 자료가 된다. 특히 NIST, CISA, DoD, KISA와 같은 주요 기관들이 발간한 가이드라인은 공공 및 민간 부문에서 제로트러스트를 도입할 때 근거를 제공한다. 이를 통해 조직은 보다 체계적인 보안 전략을 수립할 수 있다.
해당 가이드라인들은 단순히 기술적인 지침을 제공하는 것을 넘어, 제로트러스트 아키텍처를 구현했을 때 그 정당성을 확보할 수 있는 기준을 제공한다. 즉, 각 조직이 직면한 보안 문제에 대해 검증된 방법론과 사례를 바탕으로 대응할 수 있도록 돕는 것이다. 이를 통해 각 조직은 사이버 위협에 대한 방어 태세를 강화하고 보안 정책의 일관성과 신뢰성을 높일 수 있다.
1. NIST, SP 800-207
NIST(National Institute of Standards and Technology)는 미국 상무부 산하의 정부 기관으로, 다양한 기술 분야에서 표준과 모범 사례를 개발하는 데 중요한 역할을 하고 있다. 특히 사이버 보안 분야에서 정보 시스템 보안을 위한 권장 사항과 지침을 제공하는 800 시리즈를 통해 전 세계적으로 널리 알려져 있다.
이 중 2020년 8월에 발표된 NIST SP 800-207은 제로트러스트 아키텍처(ZTA)에 대한 구체적인 가이드라인을 제공하는 문서로, 조직이 제로트러스트 모델을 도입하고 운영할 수 있도록 가이드라인을 제시한다. 해당 가이드라인은 제로트러스트 아키텍처에 대해 정의한 최초의 표준 문서로, 이후 발간된 가이드라인들은 NIST 800-207에서 정의한 제로트러스트 개념과 원칙들을 참고해 작성됐다.
2. CISA, Zero Trust Maturity Model
CISA(Cybersecurity and Infrastructure Security Agency)는 미국 국토안보부 산하의 기관으로, 국가의 사이버 보안과 인프라 보호를 담당하는 주요 기관이다. CISA가 Zero Trust Maturity Model을 발간하게 된 배경은 미국 연방 정부와 민간 부문에서 제로트러스트 아키텍처 도입을 촉진하기 위한 필요성에서 비롯됐다.
특히 2021년 바이든 행정부의 행정명령(EO 14028)에서 연방 기관들이 제로트러스트 아키텍처를 도입하도록 지시한 이후, CISA는 조직들이 제로트러스트 도입 과정을 체계적으로 관리할 수 있도록 성숙도 모델을 제공했다. 해당 모델은 조직들이 제로트러스트 아키텍처를 단계적으로 구현할 수 있도록 돕는 프레임워크로, 각 조직의 보안 성숙도에 따라 적절한 전략을 선택할 수 있도록 설계됐다.
Zero Trust Maturity Model v1.0은 2021년에 처음 발표됐으며, 연방 기관들에게 제로트러스트 아키텍처 도입을 위한 초기 로드맵을 제공했다. 그러나 초기 버전에서는 구체적인 기술적 세부사항이 부족하다는 피드백이 있었고, 이에 따라 v2.0에서는 보다 구체적이고 실질적인 적용 방안을 추가해 업데이트됐다. v2.0은 각 조직의 성숙도 수준에 따라 적용할 수 있는 구체적인 전략과 기술적인 요소들을 제시한다. 특히 클라우드 환경과 원격 근무와 같은 현대적인 IT 환경에서 제로트러스트 아키텍처를 어떻게 구현할 수 있는지에 대한 실질적인 방법론을 제공하고 있다.
3. DoD, Zero Trust Strategy / Zero Trust Overlays
미국 국방부(United States Department of Defense)의 Zero Trust Strategy는 2022년 발표된 포괄적인 사이버 보안 전략이다. 제로트러스트 아키텍처를 통해 국방부 전반의 보안 태세를 강화하고, 2027년까지 이를 완전히 구현하는 것을 목표로 한다. 해당 전략은 단순한 가이드라인이 아니라, 국방부의 IT 인프라와 네트워크 전반에 걸쳐 제로트러스트 기반 아키텍처를 구축하기 위한 구체적인 활동과 체크리스트 개념의 확인 항목을 포함한 실행 계획이다.
DoD가 제로트러스트 전략을 수립하게 된 배경에는 몇 가지 중요한 사건과 환경 변화가 있었다. 특히 2021년 플로리다 송유관(Cyberattack on Colonial Pipeline) 사건은 기존 보안 체계의 취약성을 여실히 드러낸 사례로 꼽힌다. 해당 사건에서 랜섬웨어 공격으로 인해 미국 동부 지역의 주요 에너지 공급망이 마비됐었고, 이는 국가 안보와 경제에 심각한 영향을 미쳤다. 공격자는 네트워크 내부에 침투한 후 횡적 이동(Lateral Movement)을 통해 시스템을 장악했는데, 이는 기존 경계 기반 보안 모델이 내부 위협에 취약하다는 점을 여실히 보여줬다.
최근 DoD에서 공개한 ‘Zero Trust Overlays’ 문서에는 제로트러스트의 주요 필러 별 세부 지침과 실행 방법론이 포함되어 있는데, 이런 부분들은 DoD가 실제로 제로트러스트를 도입하기 위한 노력의 일환으로 볼 수 있다. 이 문서에는 포괄적인 내용 뿐 아니라 제로트러스트 각 필러 별, 항목 별로 세부적으로 어떻게 구현해야 하는지에 대한 구체적인 지침이 담겨 있다.
DoD에서는 제로트러스트 아키텍처를 최적 수준까지 도달시키기 위해 많은 리소스를 투자하고 있다. 이는 다른 정부 기관과 민간 부문에서도 벤치마크가 될 수 있는 선도적인 사례가 될 것이다.
4. KISA, 제로트러스트 가이드라인
KISA(Korea Internet & Security Agency)는 한국의 인터넷 진흥과 사이버 보안을 책임지는 주요 기관이다. 과학기술정보통신부 산하 기관으로, 정보보호와 관련된 정책을 개발하고 사이버 위협에 대응하며 인터넷 인프라의 안전성을 강화하는 역할을 하고 있다. 특히 정보보호 산업의 발전을 촉진하고, 공공 및 민간 부문에서 보안 기술을 확산시키기 위해 다양한 연구와 실증사업을 진행하고 있다.
KISA가 제로트러스트 가이드라인을 발간하게 된 배경은 디지털 전환과 이에 따른 사이버 보안 패러다임의 변화에서 비롯됐다. 4차 산업혁명과 코로나19 팬데믹으로 인해 비대면 업무 환경이 급속히 확산되면서, 기존의 경계 기반 보안 모델이 한계를 드러내고 있다.
모바일 기기와 사물인터넷(IoT)의 확산, 클라우드 기반 재택 및 원격 근무 환경의 조성은 네트워크 경계를 모호하게 만들었고 이에 따른 새로운 보안 체계가 필요하게 됐다.
특히 최근 발생한 랩서스(LAPSUS$) 해킹 사건과 같은 사례들은 기존 보안 체계가 더 이상 효과적으로 작동하지 않음을 보여주고 있다.
미국과 유럽 등 여러 국가에서는 정부 차원에서 기존 경계 기반 보안 체계를 보완하기 위한 대책으로 제로트러스트 아키텍처(ZTA) 도입을 본격적으로 추진하고 있다. 글로벌 기업들도 새로운 보안 패러다임 전환 시기를 맞아, 시장 경쟁력을 강화하기 위해 제로트러스트 도입에 적극적으로 나서고 있다.
이러한 국제적 흐름 속에서 과학기술정보통신부와 KISA는 국내에서도 제로트러스트 도입을 촉진하기 위해 2023년 6월 제로트러스트 가이드라인 V1.0을 발간했다. 해당 가이드라인은 국내 정부·공공기관 및 민간 기업들이 제로트러스트 아키텍처를 도입할 때 실질적인 도움을 주기 위한 목적으로 만들어졌다. 또한 이를 통해 한국 내 정보통신 환경에 적합한 제로트러스트 보안 체계를 구축하는 데 기여하고자 했다.
2024년 12월에는 가이드라인이 V2.0으로 업데이트되어 기업의 실제 적용을 위한 단계별 고려 사항들이 구체화됐다. V2.0에서는 '초기' 단계를 추가해 성숙도 모델을 4단계로 확장하고, 기업 망 핵심 요소에 대한 정의를 20개에서 27개로 늘렸다. 기업 망 핵심 요소 및 교차 기능에 대한 52가지 보안 세부 역량과 각 세부 역량의 성숙도 수준별 특징도 정의했다. 또한 제로트러스트 아키텍처 도입 과정에서 고려해야 할 사항을 구체화하고, 제로트러스트 도입 준비 단계를 구체화하는 것은 물론 침투 시험을 추가했다. 이외에도 제로트러스트 아키텍처 도입을 위한 조직 내 역할 및 목표 설정 방안을 제시했다.
KISA에서 발간한 제로트러스트 가이드라인은 국내 조직들이 제로트러스트 아키텍처를 도입하기 위한 지침서가 될 것이다. 이후에도 제로트러스트 수준을 평가할 수 있는 체크리스트를 고도화하는 작업 등을 이어갈 예정이다.
다양한 기관들의 가이드라인이 나온 배경과 내용들을 살펴보면, 결과적으로 제로트러스트 아키텍처는 선택이 아닌 필수가 되고 있다. 위에서 언급된 다양한 가이드라인들은 조직이 성공적으로 제로트러스트를 도입하고 운영하는 데 필요한 지침을 제공한다. 다음 장에서는 다양한 가이드라인을 참고해 제로트러스트 주요 필러에 대해서 자세히 알아본다.
■ 제로트러스트 필러(Pillar) 별 세부내용
제로트러스트에서는 보호 대상 또는 적용 범위를 나타내는 논리적인 영역을 “필러(Pillar)”라고 부른다. 해외 가이드라인에서는 일반적으로 5개의 필러와 2~3개의 교차 영역을 명시하고 있으나, KISA 의 “제로트러스트 가이드라인” 에서는 국내 환경에 맞춰 시스템 영역이 추가된 6개의 필러와 2개의 교차 영역으로 분류한다. 이외에 추가적으로 고려해야 할 사항으로는 제로트러스트 기반의 조직 전체의 보안전략을 관리하고 감독해야 할 거버넌스 역량이 있다.
필러에 대한 설명은 가이드라인마다 약간씩의 차이는 있지만, KISA 제로트러스트 가이드라인 기준으로 설명하고자 한다. 6개의 필러인 식별자·신원(Identity), 기기 및 엔드포인트(Device /Endpoint), 네트워크(Network), 시스템(System), 응용 및 워크로드(Application & Workload), 데이터(Data)와 2개의 교차 영역인 가시성 및 분석(Visibility and Analytics), 자동화 및 통합(Automation and Orchestration)이다.
제로트러스트 아키텍처를 효과적으로 도입하기 위해서는 제로트러스트 주요 필러 별로 관리적, 기술적 방안을 병행해서 이해해야 한다. 제로트러스트는 단순한 기술적 변화가 아닌, 조직의 전반적인 보안 전략을 재구성하는 과정이다. 때문에 각 필러에서 요구되는 핵심 요소들을 구체적으로 식별하고 이를 기반으로 적절한 기술을 적용해야 한다.
제로트러스트 아키텍처를 구현하기 위해서는 현재 수준보다 한 단계 높은 수준의 보안 기술들이 적용되어야 한다. 기존에 사용 중인 시스템(솔루션)을 고도화해서 활용하거나 필요 시 추가적으로 시스템을 구축해야 한다.
따라서 각 필러 별로 요구되는 보안 조치와 이를 지원하는 주요 시스템(솔루션)은 제로트러스트 아키텍처의 성공적인 구현을 위한 핵심 요소로 작용한다. 아래 주요 필러 별 세부내용에서 관련된 시스템을 위주로 제로트러스트 아키텍처 구현 방법을 설명하고자 한다.
1. 식별자·신원 (Identity)
식별자 필러는 사람, 서비스 혹은 IoT 기기 등을 고유하게 설명할 수 있는 속성 혹은 속성의 집합을 의미한다. 제로트러스트 원칙에 따라 모든 사용자는 신뢰할 수 없는 대상으로 간주되며, 네트워크와 시스템에 접근하기 전에 반드시 검증을 거쳐야 한다. 이를 위해 사용자 신원 관리 체계는 지속적으로 업데이트되어야 하며, 사용자의 신뢰도를 평가해 동적으로 권한을 부여하거나 제한하는 방식으로 운영된다. 식별자 필러에 연관된 주요 시스템은 아래와 같다.
가. AD(Active Directory), 인사정보시스템 (Human Resources Management System)
사용자의 인벤토리를 관리하기 위해 조직의 AD(Active Directory)와 인사정보시스템을 고도화하고, 이를 타 시스템과 연동해 모든 사용자와 조직 정보를 세부적으로 관리할 수 있다. 해당 시스템을 활용해 사용자 목록은 지속적으로 최신 상태로 유지되며 사용자의 역할, 부서, 직급 등 다양한 속성을 기반으로 그룹핑하여 관리할 수 있다. AD와 인사정보시스템은 각 사용자의 신원을 명확하게 식별하고, 이를 바탕으로 권한을 부여하거나 제한하는 데 중요한 역할을 한다.
나. 통합인증(SSO, Single Sing-ON)
SSO(Single Sign-On)는 통합 인증 기술로, 한 번의 로그인만으로 조직 내 여러 시스템에 접근할 수 있도록 한다. 기존의 단순한 토큰 기반 인증 방식에서 벗어나, 제로트러스트 기반의 SSO는 사용자의 위험도를 평가하고 이를 기반으로 점수화된 방식의 인증 절차를 적용한다. 또한 SSO는 EDR(Endpoint Detection and Response)이나 UEM(Unified Endpoint Management)과 같은 기술들과 연계해 다양한 보안 컨텍스트(사용자 위치, 디바이스 정보, 보안S/W설치여부 등)를 활용함으로써 보다 정교한 인증 절차를 제공할 수 있다.
다. IAM(Identity and Access Management)
IAM은 조직의 모든 리소스에 접근하는 계정과 권한을 관리하는 매개체로, 업무 시스템 뿐 아니라 인프라 장비나 보안 장비에 대한 계정과 권한도 다룬다. IAM은 온-프레미스 환경은 물론 SaaS(Software as a Service) 형태로도 제공된다. 최근에는 클라우드 환경과 SaaS 시스템을 포함한 다양한 환경에서 계정과 권한을 통합 관리하기 위해 SaaS 형태로 전환되는 추세다. 이를 통해 조직은 중앙에서 통합적으로 계정과 권한을 관리할 수 있으며, 보안 정책을 일관되게 적용할 수 있다. 제로트러스트에서는 기존 IAM에서 자격증명(Credential) 관리까지 고도화한 ICAM (Identity, Credential, and Access Management)의 개념이 자주 등장한다. 일반적으로 IAM은 SSO와 연계돼 구성된다. 동일 벤더사에서 SSO와 IAM 시스템을 함께 제공하기도 하고, 타 벤더사와 연계를 통해 구성되기도 한다.
라. MFA(Multi-Factor Authentication)
MFA는 일반적으로 알려진 인증방식(지식, 소유, 존재) 중 2가지를 결합해 인증하는 방식이다. 특정 시스템에서 자체적으로 제공되거나 외부 2차 인증 전문 시스템(예: OTP, 생체인증, 토큰인증)을 활용할 수도 있다. MFA는 기본적인 ID와 패스워드 외에도 추가적인 인증 요소를 요구함으로써 보안을 강화한다. 이를 통해 사용자가 실제로 자격이 있는지에 대한 추가적인 검증이 이루어지며, 민감한 정보나 시스템에 대한 접근이 보다 안전하게 보호된다. 제로트러스트 아키텍처에서는 Passwordless 방식의 인증을 추구하며 이는 패스워드 방식을 제외한 MFA를 통해 인증이 구현된다.
2. 기기 및 엔드포인트 (Device / Endpoint)
디바이스 필러는 IoT 기기, 휴대폰, 노트북, PC 등을 포함한 네트워크에 연결해 데이터를 주고 받는 모든 하드웨어 장치를 의미한다. 일반적으로 기관 소유에서 개인용 BYOD까지 포함한다. 제로트러스트 아키텍처에서는 조직 네트워크에 접근하는 모든 디바이스를 식별해 관리할 수 있어야 한다. 식별된 디바이스는 네트워크에 연결되기 전에 철저한 검증을 거쳐야 하며, 네트워크 연결된 이후에도 지속적인 검증을 통해 디바이스의 신뢰성을 확보해야 한다. 디바이스 필러에 연관된 시스템은 아래와 같다.
가. 자산관리시스템(Asset Management System)
자산관리시스템은 조직 내 모든 OA(Office Automation) 장비를 식별하고 관리할 수 있는 중요한 도구다. 디바이스 인벤토리 영역에 해당한다. 이를 통해 조직의 모든 디바이스를 실시간으로 관리하고, 장비의 라이프사이클을 추적해 누락되거나 관리되지 않는 장비를 최소화할 수 있다. 고도화된 자산관리시스템은 디바이스의 등록, 사용, 폐기까지 모든 과정을 자동으로 처리하며, 이를 통해 조직 내 자산을 효율적으로 관리할 수 있다. 또한 자산관리시스템은 다른 보안 솔루션과 연동돼 디바이스 상태를 실시간으로 모니터링하고, 이상 징후가 발생하면 즉각 대응할 수 있는 체계를 제공한다.
나. AD(Active Directory), PMS(Patch Management System)
AD(Active Directory)와 PMS(Patch Management System)는 조직 내 디바이스에 대한 패치 관리를 지원하는 핵심 기술이다. AD는 사용자와 기기의 인증을 담당하며, PMS는 운영체제나 애플리케이션에 대한 패치를 관리한다. 취약점이 발견되면 AD나 PMS를 통해 일괄적인 패치 배포가 가능하며, 이를 통해 조직 내 모든 디바이스가 최신 보안 패치를 유지하도록 할 수 있다. PMS는 패치 배포 뿐 아니라 패치 실패 시 롤백 기능을 제공해 안정적인 시스템 운영을 지원한다.
다. EDR(Endpoint Detection and Response)
EDR은 엔드 포인트에 대한 통합적인 관리를 가능하게 하는 기술이다. EDR은 엔드포인트에서 발생하는 위협을 실시간으로 탐지하고 대응하며, 엔드 포인트에 이상이 발생했을 때 즉각적인 조치를 취할 수 있다. EDR을 통해 수집된 디바이스 정보는 제로트러스트 아키텍처 내 여러 영역에서 활용될 수 있으며, 이를 통해 디바이스의 신뢰도를 평가하고 네트워크 접근을 제어할 수 있다. 특히 EDR은 실시간 감지 및 대응에 초점을 맞추고 있어, 조직 내 모든 디바이스를 지속적으로 모니터링하고 보호하는 데 중요한 역할을 한다.
라. UEM(Unified Endpoint Management)
UEM은 단순히 PC나 노트북 같은 전통적인 디바이스 뿐 아니라 웨어러블 기기, 프린터, 무선 장비 등 다양한 엔드포인트 장비를 통합적으로 관리할 수 있는 기술이다. UEM은 이와 같은 다양한 기기를 식별하고 관리하며, 이를 통해 조직 내 모든 엔드포인트 기기의 상태를 실시간으로 모니터링할 수 있다. 또한 UEM은 SSO(Single Sign-On)나 ICAM(Identity Credential Access Management)과 연동해 사용자와 기기의 접근 권한을 동적으로 조정할 수 있으며, 의심스러운 행동이 감지되면 즉각적인 대응이 가능하다.
마. XDR(Extended Detection and Response)
XDR은 EDR의 확장 개념으로, 단순히 엔드포인트 관리에 그치지 않고 네트워크, 애플리케이션까지 통합적으로 탐지하고 대응할 수 있는 플랫폼이다. XDR은 다양한 보안 솔루션과 연동돼 전체 IT 환경에서 발생하는 위협을 종합적으로 분석하고 대응한다. 이를 통해 엔드포인트 뿐 아니라 네트워크 트래픽이나 애플리케이션 로그까지 실시간으로 모니터링할 수 있으며, 위협이 감지되면 자동으로 차단하거나 경고를 제공한다.
바. EPP(Endpoint Protection Platforms)
EPP는 엔드포인트에 대한 통합 보안을 제공하는 플랫폼으로, 서버 백신·패치관리시스템(PMS)·개인정보관리·디바이스 취약점 관리·랜섬웨어 방지 등 엔드포인트에서 필요한 다양한 보안 기능을 통합적으로 관리한다. EPP는 단순히 개별적인 보안 기능을 제공하는 것을 넘어, 엔드포인트에서 필요한 여러 보안 기능을 플랫폼 형태로 통합해 일관된 정책 적용과 효율적인 관리를 가능하게 한다. 예를 들어 엔드포인트 상태를 실시간으로 모니터링하고 취약점을 탐지해 랜섬 웨어나 악성코드와 같은 고도화된 위협에 대응할 수 있다. 제로트러스트 아키텍처에서 EPP는 다양한 시스템과 연계돼 동작한다. 엔드포인트의 정보를 IAM이나 ICAM에 전달해 사용자와 디바이스에 대한 신뢰도 점수를 파악하고 이를 기반으로 동적인 정책 관리를 가능하게 할 수 있다.
3. 네트워크 (Network)
네트워크는 기업망의 유무선 네트워크, 클라우드 접속을 포함하는 인터넷 등 데이터를 전송하기 위해 사용되는 모든 형태의 통신 매체를 포함한다. 기업 혹은 기관은 네트워크 환경을 작은 단위로 나누어 접근을 제어하고, 내·외부 데이터 흐름을 관리할 수 있어야 한다. 특히 공격자가 접근해서는 안 되는 네트워크로 이동하는 것을 방지할 수 있어야 한다. 네트워크 필러에 연관된 시스템은 아래와 같다.
가. SDN (Software-Defined Networking)
SDN은 네트워크 제어와 데이터 전달을 분리해 네트워크를 더 유연하고 동적으로 관리할 수 있는 기술이다. 기존의 VLAN 방식과 달리, SDN은 네트워크 스위치의 고도화된 기능을 활용해 세분화된 네트워크 분할을 가능하게 한다. 이를 통해 다양한 트래픽을 효율적으로 처리하고 네트워크 자원을 최적화한다. SDN은 중앙 집중형 제어를 통해 네트워크 정책을 쉽게 적용하고 관리할 수 있어, 대규모 네트워크 환경에서 매우 유용한 기술이다.
나. SDP (Software-Defined Perimeter) / ZTNA (Zero Trust Network Access)
SDP는 소프트웨어 정의 경계를 의미하며 국내에서는 주로 보안 솔루션으로 매칭된다. 기존의 SSL-VPN과 달리 SDP는 상시 터널링이 열려 있지 않으며, SPA(Single Packet Authorization)라는 보안 토큰을 활용해 인증된 사용자만이 선 인증 후 접속 방식으로 내부 네트워크에 접근할 수 있다. 이는 상시 연결된 SSL-VPN보다 보안성이 높고, NAC(Network Access Control)보다 내부 자원에 대한 접근을 더욱 엄격하게 통제할 수 있다는 장점이 있다.또한 단순한 인증이 아닌, 보안 컨텍스트(보안 토큰, 디바이스 정보) 등을 통해 인증을 진행하기 때문에 보안적으로도 높은 장점을 가진다. 최근 들어서는 ZTNA(Zero Trust Network Access)으로 확장돼 솔루션화되고 있다.
다. Micro-Segmentation
Micro-Segmentation은 네트워크를 더욱 세분화해 각 애플리케이션이나 서버 단위로 보안을 강화하는 기술이다. 각 서버에 에이전트 혹은 에이전트리스 방식으로 개별 방화벽을 설정하고 이를 통해 더욱 강화된 보안을 제공한다. 자원에 개별 방화벽 체계를 구축해 내부망에서 발생할 수 있는 위협을 최소화하고, 침입자가 한 영역에 침투하더라도 다른 영역으로 확산되는 횡적 이동 자체를 방지하기 때문에 제로트러스트 원칙을 구현할 수 있다. Micro-Segmentation 체계를 구축하게 되면 단순한 횡적 이동 방지 뿐 아니라 네트워크 세션 수를 현저히 줄일 수 있고 트래픽을 가시화해 네트워크 성능 향상과 효율성 증대가 가능하다.
라. NDR (Network Detection and Response)
NDR은 풀 패킷 모니터링 체계를 통해 네트워크 트래픽을 실시간으로 분석하고 이상 징후를 탐지하는 기술이다. 이를 통해 네트워크 상에서 발생하는 위협을 실시간으로 탐지하고 대응할 수 있다. 특히 복잡한 IT 환경에서 발생하는 다양한 위협 요소를 효과적으로 탐지하고 대응하는 데 필수적인 역할을 하고, 제로트러스트 원칙을 구현하기 위한 가시화 기능에 대해 네트워크 영역으로 대응이 가능하다. 그러나 NDR을 효과적으로 운영하기 위해서는 많은 리소스가 필요하다. 최근에는 빅데이터 분석이나 AI 기술을 활용해 자동화 수준이 높아지고 있지만, 여전히 정확한 탐지와 대응을 위해서는 고도화된 알고리즘과 전문가의 지속적인 관리가 요구된다.
4. 시스템 (System)
시스템 필러는 중요 응용 프로그램을 구동하거나 중요 데이터를 저장하고 관리하는 서버들을 포함한다. 온-프레미스(On-Premise) 및 클라우드에 구축 운용 중인 모든 서버 시스템들이 여기에 해당한다. 시스템 관리자 또는 개발자가 루트 계정과 같은 주요 권한의 자격자로 접속해 시스템을 관리하고 제어하는 경우, 주요 파일의 읽기 및 쓰기와 주요 명령어 사용 등 시스템 리소스 접근에 관한 세밀하고 상세한 접근 제어가 이루어져야 한다. 매 세션마다 다중 인증(MFA) 등 강력한 신원 확인 및 위험 관리 절차를 포함해야 한다. 시스템 필러에 연관된 시스템은 아래와 같다.
가. Micro-Segmentation
Micro-Segmentation은 네트워크 뿐 아니라 시스템 영역에서도 필수적인 보안 기술이다. 각 시스템(서버) 단위로 마이크로 세그멘테이션을 적용함으로써 시스템 내부의 보안을 강화할 수 있다. 이를 통해 각 서버나 애플리케이션에 개별 방화벽을 설정하고, 침입자가 한 서버에 침투하더라도 다른 서버로 확산되는 횡적 이동을 방지할 수 있다. 또한 시스템 자체의 운영체제(OS)를 활용해 보안 정책을 기반으로 마이크로 세그멘테이션을 적용할 수 있다.
나. PAM (Privileged Access Management)
PAM은 조직 내 모든 시스템(서버)이나 DB 서버 등에 대한 접근을 통제하는 중요한 보안 시스템(솔루션)이다. 해외에서는 일반적으로 PAM으로 통칭하지만, 국내에서는 시스템 접근제어와 DB 접근제어 등으로 구분해 사용한다. 해당 시스템은 실제 조직에서 많이 사용중인 시스템이다. 이를 통해 RBAC(Role-Based Access Control), ABAC(Attribute-Based Access Control)와 같은 정책들을 적용해 사용자와 장치의 접근 권한을 관리할 수 있다. 또한 시스템 명령어 제어 등의 세부 기능을 지원하며 보안 설정을 일괄적으로 적용할 수 있어 효율적인 관리가 가능하다. 사용자 영역의 IAM이나 ICAM과 연동을 통해 통합계정권한관리 형태로도 구현 가능하다.
다. 시스템 취약점 관리 시스템 (Vulnerability Management System)
시스템의 취약점 관리는 제로트러스트 아키텍처에서 중요한 요소 중 하나다. 최신 취약점이 발견되면 WaS(Web Application Server)나 DB 서버 등에 즉각적으로 반영해야 한다. 이를 위해서는 취약점 점검 솔루션과 패치 관리 시스템(PMS)을 활용해 취약점을 조치하거나 관리할 수 있다. 주기적인 취약점 관리는 서버 보안을 유지하는 데 필수적이며 이를 통해 보안 위협을 사전에 차단할 수 있다. 최근 많은 시스템 취약점 관리 솔루션이 SaaS(Software as a Service) 형태로 제공되고 있으며, 이는 기존 온-프레미스 방식 대비 빠른 배포와 확장성, 자동 업데이트 및 최신정보 반영 등 여러가지 장점을 제공한다.
라. 백업 관리 시스템 (Backup Management System)
백업 관리 시스템은 사이버 복원력(Resilience)를 구현하는 중요한 요소로, 시스템의 기본 config의 백업부터 최근에 이르러서는 디지털 트윈 기술까지도 구현이 가능하다. 제로트러스트 아키텍처에서 복원력(Resilience)은 중요한 개념으로, 백업 관리 시스템을 통해 데이터 손실이나 침해 사고 발생 시 신속하게 복구할 수 있는 체계를 마련해야 한다. 이를 통해 조직은 데이터 유실이나 손상으로 인한 피해를 최소화하고 비즈니스 연속성을 유지할 수 있다.
5. 응용 및 워크로드 (Application & Workload)
응용 및 워크로드는 제로트러스트 아키텍처에서 중요한 역할을 하며 기업 망 내에서 실행되는 모든 애플리케이션과 관련된 API, 프로그램, 서비스 등을 포함한다. 해당 영역은 온-프레미스와 클라우드 환경, 쿠버네티스 환경 모두를 아우르며 애플리케이션의 보안과 관리가 핵심이다. 특히 각 애플리케이션의 인벤토리 관리, 소유자 지정, 중요도 평가, 취약점 관리 등을 통해 보안 위협을 최소화하고 업무 연속성을 유지하는 것이 중요하다. 응용 및 워크로드 필러에 연관된 시스템은 아래와 같다.
가. SASE (Secure Access Service Edge)
SASE(Secure Access Service Edge)는 네트워크와 보안을 통합해 제공하는 클라우드 기반의 보안 프레임워크다. 제로트러스트 아키텍처에서는 네트워크 경계를 신뢰하지 않으며, SASE는 SD-WAN(Software-Defined Wide Area Network)과 결합해 모든 사용자와 장치에 대해 일관된 보안 정책을 적용한다. 이를 통해 조직은 어디서나 안전하게 네트워크에 접근할 수 있으며 네트워크 전반에 걸쳐 일관된 보안을 유지할 수 있다.
최근 글로벌 벤더들은 SASE를 단일 솔루션이 아닌, 포괄적인 보안 플랫폼으로 발전시키고 있다. 이러한 플랫폼화 추세는 조직이 다양한 보안 요구사항을 통합적으로 관리할 수 있게 해준다. SASE 플랫폼은 특정 영역에 국한되지 않고 사용자 인증부터 데이터 보호까지 제로트러스트의 모든 필러를 아우르는 광범위한 보안 기능을 제공한다.
예를 들어 SASE 플랫폼은 ID 및 접근 관리(IAM), 제로트러스트 네트워크 접근(ZTNA), 클라우드 접근 보안 브로커(CASB), 데이터 손실 방지(DLP) 등의 기능을 통합적으로 제공한다. 이를 활용해 조직은 사용자 신원 확인, 디바이스 보안, 네트워크 세그먼테이션, 애플리케이션 접근 제어, 데이터 암호화 등 제로트러스트의 핵심 원칙을 일관되게 적용할 수 있다. 이러한 통합적 접근 방식은 보안 관리의 복잡성을 줄이고 조직의 전반적인 보안 태세를 강화할 수 있다. 그러나 SASE는 대부분 SaaS 형태로 제공되며 온-프레미스 환경과 클라우드 환경을 결합해 사용하는 국내 환경에는 일부 사용이 제한적일 수 있다.
나. CASB (Cloud Access Security Broker)
CASB(Cloud Access Security Broker)는 클라우드 서비스 사용자와 클라우드 애플리케이션 사이에서 모든 활동을 모니터링하고, 보안 정책을 시행하는 온-프레미스 또는 클라우드 기반 소프트웨어다. 제로트러스트 아키텍처에서는 클라우드 애플리케이션도 신뢰하지 않기 때문에 CASB를 통해 가시성을 확보하고 민감 데이터를 보호해 위험 방어 및 규제 준수를 수행해야 한다. CASB는 클라우드 애플리케이션에 대한 접근을 통제하고 데이터 유출을 방지하는 데 중요한 역할을 한다.
다. OSS(Open Source Software) 취약점 관리 시스템
OSS 취약점 관리 시스템은 오픈 소스 소프트웨어의 보안 취약점을 관리하고 대응하는 도구다. 제로트러스트 환경에서는 오픈 소스 소프트웨어는 신뢰할 수 없기 때문에 이를 체계적으로 관리해야 한다. OSS 취약점 관리 솔루션은 오픈 소스 라이브러리와 컴포넌트의 취약점을 실시간으로 모니터링하고, 최신 보안 패치와 업데이트를 적용해 보안을 강화한다. 해당 도구는 SBoM(Software Bill of Materials)을 통해 사용 중인 모든 오픈 소스의 목록을 추적하며, 라이선스 이슈까지 관리할 수 있다. 제로트러스트 원칙에 따라 오픈 소스 소프트웨어도 지속적으로 검증하고 모니터링해야 한다.
라. SAST (Static Application Security Testing)
SAST는 정적 애플리케이션 보안 테스트로, 소스 코드나 바이너리 코드를 분석하여 보안 취약점을 사전에 발견하는 기술이다. 제로트러스트 환경에서는 애플리케이션의 내부 구조도 신뢰할 수 없기 때문에 SAST를 활용해 코드 기반의 보안 취약점을 식별하고 해결해야 한다. 이를 통해 SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등과 같은 취약점을 사전에 차단하고 애플리케이션의 보안을 강화할 수 있다. SAST는 개발 초기 단계에서부터 코드 품질을 높이고 보안을 강화하는 데 중요한 역할을 한다.
마. DAST (Dynamic Application Security Testing)
DAST는 동적 애플리케이션 보안 테스트로, 런타임 환경에서 애플리케이션을 실행하면서 발생할 수 있는 보안 취약점을 탐지하는 기술이다. 제로트러스트 환경에서는 애플리케이션이 실행되는 동안에도 지속적인 검증이 필요하기 때문에 DAST를 통해 세션 관리 이슈나 서버 설정 오류와 같은 런타임 상의 취약점을 파악한다. 이를 통해 실시간으로 발생할 수 있는 보안 위협을 탐지하고 대응할 수 있다.
6. 데이터 (Data)
데이터 영역은 제로트러스트 아키텍처에서 가장 중요한 리소스로 간주되며, 조직 내에서 발생하는 모든 데이터는 보호의 최우선 대상이다. 그러나 실제로 데이터를 식별하고 다루기에는 아직까지 어려운 부분이 많다. 데이터는 온-프레미스·클라우드·사용자 디바이스 등 다양한 환경에서 생성되고 저장되며, 이를 체계적으로 관리하고 보호하기 위해서는 데이터 인벤토리·소유자 관리·중요도 관리·권한 관리 등의 체계적인 프로세스가 필요하다. 제로트러스트에서는 기본적으로 모든 데이터는 신뢰할 수 없다는 전제 하에, 지속적인 모니터링과 검증을 통해 데이터를 보호한다. 데이터와 연관된 주요 시스템은 아래와 같다.
가. DSPM (Data Security Posture Management)
DSPM은 조직 내에서 데이터를 보호하기 위한 전체적인 보안 상태를 관리하는 시스템이다. DSPM은 조직의 클라우드 및 온-프레미스 환경에서 데이터를 지속적으로 모니터링하고, 보안 취약점이나 위협 요소를 식별해 대응하는 데 중점을 둔다. 제로트러스트 아키텍처에서는 모든 데이터가 신뢰할 수 없기 때문에, DSPM은 데이터를 실시간으로 분석하고 위험 요소를 사전에 탐지해 대응할 수 있도록 한다. 최근 글로벌 시장에서는 DSPM 솔루션이 빠르게 발전하고 있으며, AI와 머신 러닝을 활용한 고도화된 기능들이 추가되고 있다. 이와 같은 선진 DSPM 솔루션들은 대규모 데이터 분석, 자동화된 데이터 분류, 광범위한 보안 기능 통합, 생성형 AI 대응 등의 기능을 제공하고 있다. 국내 기업들도 이와 같은 글로벌 트렌드에 발맞춰, 데이터 전반에 걸친 관리 방안과 솔루션을 적극적으로 개발하고 있다. 그러나 데이터에 대한 포괄적인 관리와 보안은 국내외를 막론하고 모든 기업들이 직면한 복잡하고 도전적인 과제다.
나. DLP (Data Loss Prevention)
DLP는 기업 내에서 발생할 수 있는 데이터 유출을 방지하기 위한 시스템이다. DLP는 기업의 중요 데이터가 저장되거나 전송되는 모든 경로에서 데이터를 보호하며, 데이터 자체에 대한 보안 정책을 적용한다. 제로트러스트 환경에서는 모든 데이터를 신뢰할 수 없기 때문에, DLP는 데이터를 실시간으로 모니터링하고 권한 없는 사용자가 민감한 데이터에 접근하거나 전송하려 할 때 이를 차단한다. 최근 DLP 솔루션은 기존의 기본 기능을 넘어 더욱 고도화되고 있다. 데이터를 식별하고 분류하는 능력이 향상되었으며, 데이터의 흐름을 더욱 정밀하게 추적해 비정상적인 활동을 탐지하고 대응할 수 있게 됐다. 또한 다른 시스템들과의 연계와 연동을 통해 DLP의 기능들을 확장하고 있다. 예를 들어 Microsoft 365와 같은 클라우드 기반 생산성 도구와 연계돼 클라우드 환경에서의 데이터 유출을 효과적으로 차단할 수 있다. 이에 더해 온-프레미스 기반의 NGFW(차세대 방화벽)와 연계를 통해 내·외부로 전달되는 데이터에 대해서도 제어가 가능하다. 이와 같은 DLP 시스템 고도화를 통해 제로트러스트 아키텍처에서는 단순한 데이터 유출 방지를 넘어, 조직의 전반적인 데이터 보안 태세를 강화하는 핵심 요소로서 기능할 수 있다.
다. DRM (Digital Rights Management)
기존의 DRM은 주로 문서를 암호화해 저장하거나 전송 중에 데이터가 유출되지 않도록 보호하는 데 초점이 맞춰져 있었다. 그러나 최근 DRM 기술은 단순한 암호화 기능을 넘어, 데이터의 사용과 배포 전반을 통제하고 추적할 수 있는 고도화된 기능으로 발전하고 있다.
제로트러스트 아키텍처에서DRM 시스템은 문서의 전체 생애 주기 동안 데이터를 보호하며, 파일이 저장되거나 전송되는 환경 뿐만 아니라 사용 중에도 지속적으로 보안을 유지할 수 있도록 설계되어야 한다. 이를 통해 조직은 문서가 내부 사용자 뿐만 아니라 외부 접근자에게 공유되는 경우에도 보안 정책을 일관되게 적용할 수 있다. 예를 들어 DRM은 사용자가 문서를 열람하거나 편집하는 행위를 세밀하게 제어할 수 있다. 또 특정 사용자나 그룹에게만 열람 권한을 부여하거나, 편집, 인쇄, 스크린샷 캡처 등의 작업을 제한할 수 있다. 이처럼 DRM은 단순히 문서를 암호화하는 기술에서 벗어나, 데이터 중심의 세밀한 권한 관리와 실시간 추적 기능을 제공하는 시스템으로 고도화 되고 있다.
7. 가시성 및 분석 (Visibility and Analytics)
가시성 및 분석 필러는 자동화 및 통합 필러와 함께 제로트러스트 아키텍처에 있어 6개 필러에 공통적으로 적용되는 중요한 영역이다. 해당 필러는 조직 내 모든 데이터·시스템·네트워크·사용자 활동에 대한 실시간 가시성을 제공하며, 이를 통해 잠재적인 보안 위협을 조기에 탐지하고 대응할 수 있도록 돕는다. 제로트러스트 아키텍처의 핵심 원칙인 "항상 검증"을 효과적으로 구현하기 위해서는 가시성과 분석이 필수적이다.
사용자 혹은 기기, 응용 및 워크로드의 상태 확인 등 중요하고 상황에 맞는 세부 정보를 이용해 분석한다. 가시성을 제공할 경우 기업 혹은 기관에서는 비정상 행위에 대한 탐지를 개선하고, 보안 정책 및 접근제어 결정을 동적으로 변화시킬 수 있어야 한다.
또한 네트워크에 대한 원격 감시 이상으로 트래픽을 패킷 단위로 직접 캡쳐하고 분석함으로써, 네트워크를 통해 진입하는 모든 종류의 위협을 관찰하고 지능화된 방어 기법을 적용해야 한다. 가시성 및 분석과 연관된 시스템들은 아래와 같다.
가. SIEM (Security Information and Event Management)
SIEM은 제로트러스트 아키텍처에서 다양한 요소(사용자, 네트워크, 애플리케이션 등)에서 발생하는 방대한 로그 데이터를 수집하고, 이를 기반으로 보안 위협을 탐지하고 대응하는 데 중요한 역할을 한다. 제로트러스트 아키텍처에서 SIEM은 기존보다 더욱 방대한 로그를 수집해야 한다. 예시로 기존에는 접속에 대한 로그만 수집하던 SSO(싱글 사인 온) 시스템이 이제는 사용자가 리소스에 접근한 이후의 행위까지 상세히 기록해야 하기 때문에 수집되는 로그의 양이 기하급수적으로 증가한다.
이와 같은 방대한 로그를 처리하기 위해 로그의 수집과 분석 기능을 분리해서 운영하는 방법 등 운영 전략이 필요하다. 예를 들어 로그를 수집하는 서버와 이를 분석하는 서버를 분리한다. 단순하게 로그만 수집하는 별도 로그서버를 구성하고 SEIM을 통해서는 분석만 수행하는 방법으로 성능 저하를 방지하고 비용 문제를 완화할 수 있다. 초기 단계에서 이러한 로깅 및 분석 체계를 적절히 설계하지 않으면 용량 부족이나 과도한 비용 문제가 발생할 수 있다. 따라서 제로트러스트 기반의 SIEM 운영에서는 초기부터 데이터 처리 용량과 비용 효율성을 고려한 설계가 필요하다.
나. 빅데이터 (Big Data)
빅데이터는 대규모 데이터를 처리하고 분석해 조직의 보안 태세를 강화하는 데 중요한 역할을 한다. 특히 비정형 데이터와 대용량 데이터를 다루는 데 강점을 가지며, 기존 보안 시스템으로는 탐지하기 어려운 이상 징후를 식별하는 데 효과적이다. 빅데이터는 머신 러닝, AI(인공지능), UEBA(사용자 및 엔터티 행동 분석)와 같은 고도화된 기술을 활용해 정상적인 활동 패턴과 비정상적인 활동을 구분하고, 잠재적인 위협을 사전에 탐지할 수 있다.
빅데이터는 제로트러스트 아키텍처에서 SIEM과 상호 보완적인 역할을 수행한다. SIEM은 주로 구조화된 로그 데이터를 실시간으로 수집하고 상관관계를 분석해 보안 이벤트를 탐지하는 데 초점을 맞춘다. 반면 빅데이터는 구조화된 데이터 뿐 아니라 비정형 데이터까지 포함해 심층적인 패턴 분석과 예측 기능을 제공한다. 예를 들어 SIEM이 특정 이벤트를 탐지하면 빅데이터 분석 기술은 해당 이벤트의 맥락과 연관성을 심층적으로 파악해 보다 정교한 위협 대응을 가능하게 한다.
빅데이터 기술은 대규모 데이터를 실시간으로 처리하며, 사용자 및 엔터티의 행동을 프로파일링하고 이상 징후를 감지하는 데 활용된다. 이를 통해 조직은 외부 위협 뿐 아니라 내부자 위협에도 효과적으로 대응할 수 있다. 또한 위협 인텔리전스(TI)와 연계돼 최신 공격 패턴이나 취약점 정보를 통합적으로 분석하고 대응 전략을 수립할 수 있도록 돕는다.
다. 통합 로그 시스템 (Log Management System)
통합 로그 시스템은 조직 내 다양한 소스(네트워크 장비, 애플리케이션, 사용자 활동 등)에서 생성된 로그 데이터를 중앙에서 관리하고 분석할 수 있도록 지원한다. 이러한 시스템은 PEP(Policy Enforcement Point), PDP(Policy Decision Point)와 같은 제로트러스트 컴포넌트와 연동돼 정책 결정과 시행에 필요한 데이터를 제공한다. 또한 통합 로그 시스템은 표준화된 형식을 SIEM, SOAR 등과 상호 운용성을 보장하며, 이를 통해 조직의 보안 태세를 강화할 수 있다.
8. 자동화 및 통합 (Automation and Orchestration)
자동화 및 통합 필러는 보안과 운영 절차를 자동화하고 통합해 일관된 정책 적용과 효율적인 운영을 가능하게 한다. 이를 통해 수동 작업을 줄이고 보안 위협에 신속하게 대응할 수 있다. 조직의 IT 인프라 전반에 걸쳐 일관된 보안 정책도 적용할 수 있다. 자동화는 보안에 있어서 아직 어려운 개념이지만, 많은 리소스를 소요하는 보안 영역에서 꼭 필요한 내용이다. 제로트러스트 아키텍처에서도 모든 중요 요소들에 공통적으로 필요한 개념이다. 자동화 및 통합과 연관된 시스템들은 아래와 같다.
가. SOAR (Security Orchestration, Automation, and Response)
SOAR는 보안 오케스트레이션, 자동화 및 대응을 통합적으로 수행하는 플랫폼으로, 다양한 보안도구와 데이터를 연계해 위협 탐지와 대응을 자동화하는데 중점을 둔다. SOAR는 단순히 데이터를 수집하고 경고를 생성하는 것을 넘어, 조직의 보안 운영을 효율화하고 일관된 대응 절차를 구현하는 데 중요한 역할을 한다.
SOAR는 SIEM과 긴밀히 연계돼 작동한다. SIEM이 수집한 방대한 로그 데이터를 기반으로 위협을 탐지하고, 이를 자동화된 워크플로우와 플레이북(Playbook)을 통해 처리한다. SIEM은 주로 로그 데이터의 수집과 상관관계 분석을 담당하지만, SOAR는 해당 데이터를 활용해 구체적인 대응 조치를 실행하고 반복적인 작업을 자동화함으로써 보안 업무의 리소스를 감소시킬 수 있다.
SOAR의 핵심 기능 중 하나인 보안 오케스트레이션은 다양한 보안 도구와 시스템을 통합해 중앙에서 관리하고, 데이터 흐름과 작업을 조정하는 것을 의미한다. 이를 통해 조직은 여러 시스템 간의 상호작용을 최적화하고 일관된 워크플로우를 구현할 수 있다. 또한 자동화 기능은 위협 탐지, 경고 처리, 사고 대응 등 반복적인 작업을 자동으로 수행해 인적 오류를 줄이고 신속성을 향상시킨다.
제로트러스트 아키텍처 측면에서 SOAR는 사용자와 엔터티에 대한 지속적인 검증 과정을 강화하거나 네트워크와 시스템에 이상이 발생하게 되면 플레이북 기반의 표준화된 대응 절차 등을 수행한다. SIEM과 연계돼 조직 내 자동화된 보안 운영의 핵심 역할을 담당한다.
나. RPA (Robotic Process Automation)
RPA는 반복적이고 규칙 기반의 작업을 자동화하는 기술로, 보안 뿐 아니라 IT운영, 비즈니스 프로세스 등 다양한 영역에서 활용이 가능한 기술이다. 사람이 수행하던 단순하고 반복적인 작업을 소프트웨어 로봇이 대신 처리함으로써, 효율성을 높이고 인적 오류를 줄이며 조직의 생산을 강화하는 데 기여한다.
제로트러스트 아키텍처 측면에 있어 RPA는 보안 및 운영 절차를 자동화해 일관된 정책 적용과 신속한 대응을 가능하게 한다. 예를 들어 사용자 온보딩 및 오프보딩 프로세스를 자동화해 신규 사용자의 계정 생성과 권한 부여를 신속하게 처리하거나 비밀번호 재설정 요청을 자동으로 처리해서 보안 업무의 부담을 줄일 수 있다.
또한 SIEM과 SOAR와 같은 시스템과 연계되어 더욱 강력한 보안 체계를 구축할 수 있다. 예를 들어 SIEM에서 탐지된 이상 징후를 기반으로 RPA가 추가조사를 수행한다. 이외에도 SOAR와 연계해 사전 정의된 플레이북에 따라 위협에 즉각적으로 대응하는 프로세스를 실행할 수 있다.
RPA는 제로트러스트 아키텍처에서 반복적이고 시간 소모적인 작업을 자동화함으로써, 효율성과 정확성을 높이는 데 중요한 역할을 할 수 있다. 보안 뿐 아니라 IT 운영 및 비즈니스 프로세스 전반에 걸쳐 활용될 수 있는 범용적인 기술로, 조직의 생산성과 보안 태세를 동시에 강화할 수 있는 핵심 기술이다.
다. ML (Machine Learing)
머신 러닝은 데이터를 학습해 예측이나 판단을 내리는 기술로, 제로트러스트 아키텍처에서는 사용자 및 엔터티 행동분석(UEBA)·신뢰도 평가·동적 정책 생성 등에 활용된다. 머신 러닝은 대규모 데이터에서 패턴을 식별하고 비정상적인 활동을 탐지하는 데 효과적이다. 이를 통해 제로트러스트의 핵심 원칙들을 지키는 데 기여한다.
머신 러닝 기술은 각 시스템에 내재된 형태로 작동하거나 별도의 머신 러닝 모델이 시스템과 연계되어 활용될 수 있다. 예를 들어 특정 보안 솔루션에 내장된 머신 러닝 알고리즘은 실시간으로 데이터를 처리해 이상 징후를 탐지할 수 있다. 별도의 머신 러닝 플랫폼에 다양한 시스템에서 수집된 데이터를 전달하고 통합적으로 분석해 더 높은 수준의 위협 탐지와 대응을 가능하게 한다.
특히 반복적인 학습 과정을 통해 시간이 지남에 따라 더욱 정교한 모델로 발전하며, 조직이 새로운 위협 시나리오에도 효과적으로 대응할 수 있도록 돕는다. 예를 들어 EDR 및 UEM 시스템과 연계된 머신 러닝 알고리즘은 디바이스 상태와 네트워크 활동 데이터를 분석해 잠재적인 위협을 사전에 탐지하고 차단할 수 있다.
라. AI (Artificial Intelligence)
AI는 데이터를 학습하고 분석해 보안 운영 및 운영 절차를 자동화하고 최적화할 수 있는 기술로, 제로트러스트 아키텍처에서 중요한 역할을 한다. 과거에는 AI가 보안 영역에서 공상적인 기술로 여겨졌지만, 최근에는 실제로 눈에 보일 정도로 효과를 발휘하며 다양한 보안 시스템과 통합돼 활용되고 있다. AI는 정책 생성·로그 분석·위협 탐지 및 대응 등에서 실질적인 성과를 보여주고 있으며 제로트러스트 환경에서 핵심 기술로 자리 잡고 있다.
제로트러스트 아키텍처에서 AI는 머신 러닝과 같은 형태로 각 시스템에 내재된 형태로 동작하거나 별도의 AI 모델과 연계돼 활용될 수 있다. 글로벌 벤더 제품의 경우, SaaS 형태의 AI 모델을 별도로 제공해 해당 벤더 사의 다양한 제품들과 연계돼 동작한다. 예를 들어 통합계정권한관리(IAM) 시스템에서 계정과 권한에 대한 적정성을 검토하거나 Micro-Segmentation 시스템에서 개별 방화벽에 대한 정책을 생성하고 검증하는 기능으로 활용된다.
특히 로그 데이터를 분석하는 데 강력한 도구로 활용된다. SIEM이나 SOAR와 같은 시스템에서 수집된 방대한 로그 데이터를 AI가 실시간으로 분석해 이상 징후를 탐지하고 대응 방안을 제시한다. 기존에는 사람이 직접 처리해야 했던 복잡한 로그 데이터를 AI가 자동으로 처리함으로써, 시간과 자원을 절약하고 보안 사고에 대한 대응 속도를 크게 향상시킬 수 있다.
또한 보안에서 AI는 단순히 로그 분석이나 위협 탐지에 그치지 않고 정책 생성과 최적화에도 활용된다. 기존 보안 정책의 효과성을 평가하고 개선 방안을 제시하며, 새로운 위협 시나리오에 맞는 동적 정책을 자동으로 생성할 수 있다.
제로트러스트 환경을 구현하기 위해서는 사용자 검증·로그 분석·리스크 스코어링 등 다양한 작업들이 필요하며, 이와 같은 복잡한 작업들을 자동화하는 데 AI가 중요한 역할을 할 수 있다. 방대한 데이터를 실시간으로 처리하고 위협을 탐지하며 동적 정책을 생성함으로써, 조직의 보안 운영을 효율화하고 인적 자원의 부담과 보안 사고에 대한 문제를 완화시킬 수 있다.
그림4. 제로트러스트 필러 별 주요 시스템 요약
이와 같은 필러 별 다양한 주요 시스템들은 제로트러스트 환경을 효과적으로 구현할 수 있도록 한다. 제로트러스트 아키텍처의 성공적인 구현은 조직의 보안 전략과 기술적 역량이 조화를 이루는 데 달려 있다. 이제까지 살펴본 주요 시스템들은 제로트러스트 환경 구축의 기반이 되며, 이를 통해 조직은 더욱 강력하고 유연한 보안체계를 마련할 수 있다.
■ 맺음말
제로트러스트 아키텍처는 단순히 기술적 변화에 그치지 않고, 조직 전체의 보안 전략과 운영 방식을 근본적으로 변화시키는 방법이다. 보안의 새로운 패러다임이라고 할 수 있다. 이는 기존 경계 기반 보안 모델이 가진 한계를 극복하고 더욱 정교하고 유연한 보안 체계를 구축하기 위한 현대적인 대안으로 자리 잡고 있다.
비록 제로트러스트 아키텍처를 도입하는 과정에서 기술적, 관리적 도전 과제가 존재하지만 이를 해결하기 위한 기술과 방법론은 지속적으로 발전하고 있다. 실제로 AI와 머신 러닝 등을 활용한 기술의 발전은 많은 리소스가 필요한 제로트러스트 아키텍처 구현을 보다 현실적으로 만들어줬다. 이미 글로벌 및 국내 기업들이 이러한 기술을 활용해 점진적으로 제로트러스트 환경을 구축하고 있으며, 이를 통해 보다 안전하고 신뢰할 수 있는 디지털 환경을 조성할 수 있을 것이다.
제로트러스트 아키텍처를 성공적으로 구현하기 위해서는 관리적 요소와 기술적 요소가 상호보완적으로 작동해야 한다. 보안 정책의 수립과 실행은 물론이고 이를 지원하는 다양한 시스템과 솔루션들 또한 필수적이다.
또한 제로트러스트 구현 과정에서 조직의 리소스와 요구사항에 맞는 단계적 접근이 필요하다. 모든 필러를 한꺼번에 적용하기보다는 우선적으로 보호해야 할 핵심 자산과 프로세스를 식별하고, 이에 적합한 기술과 정책을 도입하는 것이 효과적이다. 이를 통해 조직은 초기 투자와 운영 부담을 최소화하면서도 점진적으로 보안 수준을 높여 나갈 수 있다.
결론적으로 제로트러스트 아키텍처는 단순한 선택이 아닌 필수적인 보안 전략으로 자리 잡고 있다. 조직은 이러한 변화를 수용하고 점진적으로 도입함으로써, 더욱 안전한 디지털 환경을 구축하고 미래의 사이버 위협에 대비할 수 있을 것이다.
* 이 후 EQST Insight를 통해 특별 부록으로 각 필러 별 주요 시스템의 국내·외 벤더 사 및 솔루션들을 소개하는 추가 자료를 발간할 예정이다. 이를 통해 최신 정보를 기반으로 제로트러스트 환경 구축에 필요한 솔루션을 선택하고, 활용할 수 있도록 실질적인 도움을 제공할 계획이다.
■ 참고 문헌
[1] NIST SP 800-207, “Zero Trust Architecture”, 2020.08
[2] CISA , “Zero Trust Maturity Model V2.0”, 2023.04
[3] DoD, “Zero Trust Strategy”, 2022.11
[4] DoD, “Zero Trust Overlays”, 2024.06
[5] 과학기술정보통신부/KISA, “제로트러스트 가이드라인 V1.0”, 2023.06
[6] 과학기술정보통신부/KISA, “제로트러스트 가이드라인 V2.0”, 2024.12