최근 몇 년 사이 ‘VPN(Virtual Private Network) 없이도 회사 업무를 할 수 있다’는 이야기를 들어보신 적 있으신가요? 또는 ‘제로트러스트(Zero Trust)’라는 용어를 IT 뉴스에서 자주 보셨을 텐데요. 이것이 바로 우리가 오늘 알아볼 새로운 보안 패러다임입니다.

코로나19로 재택근무가 확산되면서 많은 기업들이 기존 보안 시스템의 한계를 실감했습니다. 직원들이 집에서, 카페에서, 심지어 해외 출장지에서도 회사 시스템에 안전하게 접속해야 하는 상황이 되었거든요. 기존의 “회사 건물 안은 안전하고, 밖은 위험하다”는 전제로 만들어진 보안 시스템으로는 이런 변화에 대응하기 어려웠습니다.

 

1. 제로트러스트가 뭐죠?: “아무도 믿지 말고, 항상 확인하자!”

제로트러스트(Zero Trust)는 “절대 신뢰하지 않고 항상 확인한다(Never Trust, Always Verify)”는 원칙을 바탕으로 하는 최신 보안 전략입니다. 네트워크 내부의 모든 사용자에게 암묵적인 신뢰를 부여하는 것이 아니라, 사용자, 디바이스, 애플리케이션 및 데이터 간의 각 개별 연결에 대해 보안 정책을 적용합니다.

쉽게 설명하면, 제로트러스트는 병원의 보안 체계와 비슷합니다. 의사라고 해서 병원에 한 번 들어오면 모든 곳을 자유롭게 다닐 수 있는 게 아니라, 소아과 의사는 소아과 출입증이 있어야 소아과 병동에 들어갈 수 있고, 중환자실에 들어갈 때도 별도로 권한을 확인받아야 합니다. 매번 “이 사람이 정말 이 구역에 들어갈 권한이 있는 사람인지” 확인하는 것이죠.

제로트러스트의 3가지 핵심 원칙

1. 명시적으로 확인(Verify Explicitly): 사용자 ID, 위치, 디바이스 상태, 서비스 또는 워크로드, 데이터 분류 및 변칙을 비롯한 모든 데이터 지점을 기반하여 항상 인증하고 승인합니다.

2. 최소 권한 액세스 사용(Use Least Privilege Access): Just-In-Time 및 Just-Enough-Access, 위험 기반 적응형 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한하고, 데이터를 보호하고, 생산성을 향상합니다.

3. 침해가 발생했다고 가정(Assume Breach): 엔드투엔드 암호화를 확인하고 분석을 사용하여 가시성을 얻고, 위협을 탐지하고, 방어를 강화합니다.

 

2. 기존 보안 vs 제로트러스트: 성과 방화벽, 어떻게 다를까?

옛날 방식의 문제점: 성벽만 믿다가 뒤통수 맞는 이유

기존의 IT 인프라 구조에서는 경계 보안 모델(Perimeter Security Model)이 사용되었습니다. 이는 중세 시대 성처럼 성벽으로 내•외부가 구분되어 성 밖에 있는 모든 것이 위험하게 간주되고 성 안으로 들어오면 그 안의 모든 리소스를 사용할 수 있는 개념입니다.

이런 전통적 보안 모델에서 나타나는 문제점들:

• 내부 신뢰의 함정: 한 번 내부에 들어오면 추가 검증 없이 모든 자원에 접근 가능
• 경계 불분명: 클라우드(Cloud), 모바일(Mobile), IoT(Internet of Things)로 인해 네트워크 경계가 모호해짐
• 내부자 위협: 권한을 탈취당한 내부 사용자나 악의적 내부자에 취약
• 횡적 이동(Lateral Movement): 한 곳이 뚫리면 전체 네트워크로 공격이 확산

제로트러스트는 어떻게 다를까: 철저한 신분증 검사의 힘

제로 트러스트가 다른 보안 패러다임과 구분되는 가장 큰 차이점은 보안 이행 메커니즘이 네트워크 주변부에 집중하는 것이 아니라 타깃이 되는 시스템과 애플리케이션 자체에 집중한다는 것입니다.

경계 보안 모델이 적용된 보안 시스템의 경우 문제가 되는 접근을 차단하는 데 그 목적이 있습니다. 제로 트러스트 모델이 적용된 보안 시스템도 허가 받지 않은 사용자나 단말기에 대해 접근을 차단하는 것도 목적에 포함되어 있지만 경계 보안 모델이 차단에 초점을 둔 것에 비해 제로 트러스트 모델은 차단보다는 철저한 신원 인증에 초점을 둔다는 점에서 차이가 있습니다.

 

3. 왜 갑자기 제로트러스트가 핫해졌을까: 코로나와 해커들의 진화

우리 일상이 바뀌었어요: 집에서도 회사 일 하는 시대

모바일과 사물인터넷, 그리고 클라우드의 확산으로 원격재택 근무환경이 조성되고, 코로나 펜데믹으로 비대면 사회가 가속되면서 기업망 보호를 위한 전통적인 사이버보안 체계의 변화가 필요해졌습니다. 게다가 디지털 전환의 가속화로 기존 네트워크 경계가 확장되고 다변화되면서 사이버보안 역시 일상생활과 다양한 산업분야로 확장됐습니다.

해커들도 똑똑해졌어요: 랜섬웨어의 공포

갈수록 늘어나는 해킹이나 랜섬웨어(Ransomware)로 인한 피해는 경계 기반 모델의 문제를 드러내며, 기존 솔루션으로는 완벽한 해결책을 제공하지 못한다는 설명이다.

제로트러스트의 역사: 구글이 시작한 보안 혁명

제로트러스트를 처음 전면 도입한 것은 구글이었는데, 바로 오퍼레이션 오로라(Operation Aurora) 때문이었습니다. 구글은 전면적으로 보안을 점검하고 약 8년에 걸쳐 제로 트러스트의 사고방식으로 사내 네트워크를 다시 구축했습니다.

제로트러스트의 발전 과정:

• 2010년: 포레스터 리서치(Forrester Research)의 존 킨더버그(John Kindervag)가 ‘제로트러스트 네트워크’ 용어 최초 사용
• 2016년: 미연방 인사관리처(OPM)에서 발생한 개인정보 유출사고에 대한 미국 하원 감독개혁위원회 보고서에서 ‘제로트러스트 모델을 도입하자’는 내용이 나오면서 본격적으로 논의되기 시작
• 2020년: NIST가 2020년 8월 ‘SP 800-207 보고서‘에서 ‘Zero Trust Architecture’를 소개하며 내부 사용자가 한 번 뚫리면 연쇄적으로 공격당하는 것을 막을 수 있는 방법을 제안한 것이 본격적인 제로트러스트 활성화의 방아쇠가 됐다.
• 2021년: 바이든 미국 대통령의 ‘국가 사이버보안 개선을 위한 행정 명령’ 발표

 

4. 제로트러스트는 어떤 부품들로 만들어질까: 5가지 핵심 요소

CISA의 제로 트러스트 보안 모델에는 제로 트러스트를 구현하는 동안 조직이 집중할 수 있는 5가지 요소가 요약되어 있습니다.

신원 확인하기(Identity Management): “당신이 누구세요?”

사용자 ID를 인증하고 해당 사용자에게 승인된 엔터프라이즈 리소스에 대한 액세스 권한만 부여하는 것은 제로 트러스트 보안의 기본 기능입니다. 주요 도구로는:

• IAM(Identity and Access Management) 시스템
• SSO(Single Sign-On) 솔루션
• MFA(Multi-Factor Authentication) – 다단계 인증

기기 관리하기(Device Management): “이 컴퓨터 믿어도 될까요?”

네트워크 리소스에 연결하는 모든 디바이스는 조직의 제로 트러스트 정책 및 보안 제어를 완벽하게 준수해야 합니다. 여기에는 워크스테이션, 휴대폰, 서버, 노트북, IoT 디바이스, 프린터 등이 포함됩니다.

네트워크 쪼개기(Network Security): 작은 방들로 나누어 관리하기

네트워크를 마이크로 세그먼테이션(Micro Segmentation)으로 분할하여 각 영역에 적절한 보안 정책을 적용합니다. 마이크로 세그멘테이션은 네트워크를 여러 부분으로 나누고 사용자와 기기, 애플리케이션에 대해 세분화된 보안 정책과 접근 제어를 적용함으로써 공격자의 횡적 이동을 어렵게 하는 보안 기술입니다.

앱 사용 권한(Application Security): “이 프로그램 써도 되나요?”

모든 애플리케이션 접근에 대해 인증과 권한 확인을 수행합니다.

데이터 지키기(Data Protection): 중요한 정보는 금고에

제로 트러스트 모델에서는 조직이 데이터를 분류하여 대상 액세스 제어 및 데이터 보안 정책을 적용하여 정보를 보호할 수 있습니다. 전송 중, 사용 중, 미사용 중인 데이터는 암호화 및 동적 권한 부여를 통해 보호됩니다.

 

5. 실제로 쓰고 있는 곳들 구경하기: 구글, 토스 그리고 우리 일상

구글의 BeyondCorp: “VPN 없이도 어디서든 일할 수 있어요!”

BeyondCorp는 Google에서 구현한 제로 트러스트 모델입니다. 10년에 걸친 Google의 경험과 커뮤니티에서 제공한 아이디어와 사례를 바탕으로 설계되었습니다. BeyondCorp는 액세스 제어 기능을 네트워크 경계에서 개별 사용자로 이전하여 기존의 VPN을 사용하지 않고도 어디서든 안전하게 업무를 처리할 수 있도록 합니다.

현재 대부분의 Google 직원이 매일 BeyondCorp를 이용하며 Google의 핵심 인프라 및 기업 리소스용 사용자 기반 및 기기 기반 인증과 승인을 제공받습니다.

구글 BeyondCorp의 핵심 원칙:

• 서비스에 대한 액세스는 연결하는 네트워크에 의해 결정되어서는 안 된다
• 서비스 액세스 권한은 사용자와 기기의 컨텍스트 요소를 바탕으로 제공되어야 한다
• 서비스에 대한 액세스는 모두 인증, 승인, 암호화를 거쳐야 한다

더 자세한 내용은 구글의 BeyondCorp 공식 문서에서 확인할 수 있습니다.

토스의 도전: “은행도 제로트러스트 할 수 있어요!”

전통적인 환경의 보안 아키텍처는 방화벽과 같은 경계를 기준으로 신뢰와 비신뢰를 나누어서 운영이 되고 있었는데요. 신뢰 구간에서의 추가적인 보안 통제가 없으면서 신뢰의 크기가 커진다면 그만큼 보안의 Risk들도 증가하게 된다는 한계점들이 있었고, 다원화 된 Identity 관리, 보안 솔루션 관리, 재택근무 환경과 오피스 환경의 이원화된 환경을 관리함으로써 보안 가시성 확보 및 관리의 어려움, 팀원들의 업무의 불편함들을 해결하기 위해 토스에서는 제로트러스트 보안 아키텍처를 도입하게 되었습니다.

토스의 구현 내용:

• Identity 통합: Single Sign On : Application 로그인 통합(SAML, OIDC)
• RBAC 구현: RBAC(Role Based Access Control) : 인사 DB와 연계하여 직군, 팀 단위의 접근 제어
• 디바이스 관리: UEM(Unified Endpoint Management)을 통한 보안 설정 자동 적용
• 네트워크 보안: SASE와 ZTNA는 기존에 사용하던 방화벽 정책을 기반으로 Migration은 하지만, IP 기반 접근제어가 아닌, RBAC(Role Based Access Control) 기반 즉, 토스의 조직 정보를 기반으로 정책을 Migration

여러분도 이미 경험하고 계세요: 생각보다 가까운 제로트러스트

우리가 모르는 사이에 이미 제로트러스트를 경험하고 있습니다:

온라인 뱅킹:

• 로그인할 때마다 아이디, 비밀번호 입력
• 새로운 기기에서 접속하면 추가 인증 요구 (SMS 인증, OTP 등)
• 이체할 때마다 별도 인증 수행 (공인인증서, 생체인증 등)

회사 시스템:

• 각 시스템마다 별도 권한 확인
• 중요한 파일에 접근할 때 추가 승인 필요
• 외부에서 접속할 때 VPN + 추가 인증

클라우드 서비스:

• Google Drive, Office 365 등에서 파일별 권한 관리
• 새로운 앱에 연결할 때마다 권한 승인

 

6. 헷갈리는 용어 정리: ZTA vs ZTNA, 뭐가 다른 거예요?

많은 사람들이 ZTA(Zero Trust Access)와 ZTNA(Zero Trust Network Access)를 같은 의미로 사용하고 있는데, ZTA는 네트워크에 접근하는 사람과 기기를 파악해 제어하는 것이고, ZTNA는 사용자의 애플리케이션 접근 권한에 관한 것으로 ZTA 구성의 한 가지 요소다.

제로트러스트 아키텍처(ZTA: Zero Trust Architecture):

• 전체적인 보안 철학과 프레임워크
• Identity, Device, Network, Application, Data 모든 영역을 포함
• 조직의 보안 전략과 정책을 포괄하는 개념

제로트러스트 네트워크 액세스(ZTNA: Zero Trust Network Access):

• ZTA의 구체적인 구현 기술 중 하나
• 주로 애플리케이션 접근 제어에 초점
• VPN과 달리 ZTNA는 사용자를 전체 네트워크에 연결하지 않고 액세스 권한이 있는 리소스에만 연결합니다
• VPN의 대안으로 주목받는 기술

 

7. 막상 도입하려니 어려워요: 현실적인 고민들과 해결 방법

진짜 어려운 부분들: 돈, 시간, 그리고 사람들의 반발

현재 제로트러스트의 상황이 좋은 것만은 아니다. 정부의 정책적인 지원과 보안 솔루션 기업의 적극적인 연구, 그리고 제로트러스트가 필요해진 현실 등 여러 가지 상황이 잘 맞아떨어지긴 했지만, 새로운 개념의 적용과 개발, 그리고 필요성은 느끼지만 당장 도입하는 것에 대한 비용문제 등은 어려움으로 다가온다.

실제 기업들이 직면하는 주요 도전과제들:

1. 비용 부담: 기존 시스템 교체 및 새로운 솔루션 도입 비용
2. 복잡성: 조직 전체에 제로 트러스트 전략을 구현하는 것은 복잡한 작업일 수 있습니다. 제로 트러스트 솔루션 하나만 설치한다고 해서 문제가 모두 해결되는 것이 아니기 때문입니다.
3. 사용자 경험: 보안 강화로 인한 업무 복잡성 증가에 대한 우려
4. 기술 격차: 전문 인력 부족과 기술 이해도 부족

천천히 차근차근: 단계별로 접근하는 똑똑한 방법

기업의 모든 서비스를 제로트러스트화 하는 것은 예산상 어려움이 있을 것이다. 그래서 단계적 적용이 필요하다는 것이다. 제로트러스트의 일부 서비스 적용이 기업의 도입 효과를 직감할 수 있는 수단이라고 생각한다.

1단계: 현황 파악 및 목표 설정

• ‘왜 제로트러스트를 적용하고 싶으세요?’라는 질문에 대한 명확한 답변
• 가장 중요한 데이터와 시스템 파악
• 위험도 평가를 통한 우선순위 설정

2단계: 파일럿 프로젝트(Pilot Project)

• 특정 부서나 시스템에 제한적 적용
• 효과 검증 및 문제점 파악
• 사용자 피드백 수집

3단계: 점진적 확산

• 성공 사례를 바탕으로 범위 확대
• 조직 전체로 단계적 확산
• 지속적인 모니터링과 개선

 

8. 우리나라는 지금 어떤 상황?: 정부 지원부터 미래 전망까지

정부도 밀어주고 있어요: 가이드라인부터 지원사업까지

과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA)이 준비하는 ‘제로트러스트 가이드라인 2.0‘이 공개를 앞두고 있고, 제로트러스트 보안 모델 실증사업도 지난 2023년 11월 성과공유회를 통해 그 결과를 공개한 이후 올해 보다 자세한 내용이 공개될 예정이다.

과학기술정보통신부는 작년 10월 국내 산･학･연･관 전문가로 구성된 ‘제로트러스트포럼(간사기관 : 한국인터넷진흥원)’을 구성하고 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 통해 의견을 모아 국내 환경에 적합한 ‘제로트러스트 가이드라인 1.0‘을 마련했다고 밝혔다.

이 가이드라인은 제로트러스트의 개념과 모델, 그리고 도입 절차 등에 대해서 설명하고 있어 실제 도입을 고려하는 기업들에게 매우 유용한 참고자료가 되고 있습니다.

앞으로 어떻게 될까요?: AI와 함께하는 보안의 미래

2025년에는 이와 같은 AI 기술들이 더욱 보편화될 것으로 기대됩니다. 이미 많은 기업이 AI 기술을 통한 보안 솔루션을 도입함으로써 생산성과 보안성을 동시에 강화하는 사례가 늘어나고 있습니다.

사이버 보안 시장의 다른 중심 축은 AI 기술의 활용입니다. AI는 위협 탐지와 대응 속도를 향상시키는데 기여하고 있으며, 이는 실시간으로 발생하는 사이버 공격을 보다 효과적으로 차단할 수 있도록 만들어 줍니다.

실제로 해보고 있어요: 실증사업으로 검증하는 중

국산 기술 기반의 제로트러스트 보안 모델 실 환경 적용 사례 지원을 통해 국내 업무 환경에 최적화된 제로트러스트 보안모델 마련을 위한 다양한 노력들이 진행되고 있습니다.

제로트러스트 도입‧전환 컨설팅 지원도 활발히 이루어지고 있어, 제로트러스트 기반 보안 적용을 희망하거나 도입에 대한 절차 및 예산 책정 등에 어려움을 겪고 있는 기업‧기관들이 실질적인 도움을 받을 수 있게 되었습니다.

 

9.많이 묻는 질문들:

Q: 제로트러스트 도입하면 업무가 더 복잡해지나요? A: 초기에는 인증 단계가 늘어나 복잡할 수 있지만, SSO(Single Sign-On)나 자동화를 통해 사용자 경험을 개선할 수 있습니다. 구글이나 토스 같은 기업들도 직원들의 업무 편의성을 높이면서 보안을 강화하는 데 성공했습니다.

Q: 중소기업도 제로트러스트를 도입할 수 있나요? A: 네, 가능합니다. 모든 것을 한 번에 바꿀 필요는 없고, 가장 중요한 시스템부터 단계적으로 적용할 수 있습니다. 클라우드 기반 솔루션을 활용하면 비용 부담도 줄일 수 있습니다.

Q: 기존 VPN을 완전히 없애야 하나요? A: 반드시 그런 것은 아닙니다. 제로트러스트는 VPN을 대체하는 것이 아니라 보완하는 개념입니다. 점진적으로 ZTNA(Zero Trust Network Access) 솔루션으로 전환하는 것이 일반적입니다.

Q: 제로트러스트 구축에 얼마나 시간이 걸리나요? A: 조직의 규모와 현재 인프라 상태에 따라 다르지만, 일반적으로 1-3년 정도의 점진적 전환 기간을 계획하는 것이 현실적입니다.

 

결국, 제로트러스트는 선택이 아닌 필수입니다!

디지털 전환이 가속화되고 사이버 위협이 갈수록 정교해지는 현재, 제로트러스트는 더 이상 선택사항이 아닙니다. 제로 트러스트는 네트워크 경계와 관계없이 그 누구도, 그리고 어떠한 활동이든 기본적으로 ‘신뢰하지 않는’ 것에 바탕을 둔 보안 개념입니다.

중요한 것은 제로트러스트가 단순한 기술 도입이 아니라 조직의 보안 문화 자체를 바꾸는 패러다임 전환이라는 점입니다. 하지만 구글, 토스 등의 성공 사례에서 보듯이, 제대로 구현된 제로트러스트는 보안성 향상과 함께 업무 효율성도 크게 개선할 수 있습니다. 앞으로는 제로트러스트를 도입하지 않은 기업이 오히려 경쟁력에서 뒤처질 수 있습니다. 2024년 실태 조사에 따르면, 보안 담당자의 58.4%는 제로트러스트 도입을 고려하고 있으나, 비용 부담 및 기존 시스템과의 통합 문제로 인해 주저하는 경우가 많습니다. 하지만 이제는 ‘도입할지 말지’가 아니라 ‘언제, 어떻게 도입할지’를 고민해야 할 때입니다.

지금이야말로 우리 조직에 맞는 제로트러스트 전략을 수립하고 실행에 옮길 때입니다. 작은 걸음부터 시작해서 점진적으로 확장해 나가면, 분명히 더 안전하고 효율적인 디지털 업무 환경을 만들어갈 수 있을 것입니다. 🙂

 

 

---

참고 자료

공식 가이드라인

• NIST SP 800-207 Zero Trust Architecture: 미국 국립표준기술연구소의 공식 제로트러스트 아키텍처 가이드라인
• 한국 제로트러스트 가이드라인 1.0: 한국인터넷진흥원에서 발간한 국내 환경에 맞는 가이드라인

실제 구현 사례

• 구글 BeyondCorp 공식 문서: 구글의 제로트러스트 구현 모델 상세 정보
• 토스 제로트러스트 도입기: 금융업계 최초 제로트러스트 도입 실제 사례

정부 지원 정보

• KISA 제로트러스트 지원사업: 정부의 제로트러스트 도입 지원 프로그램