Description
“절대 신뢰하지 말고, 항상 검증하라(Never trust, always verify)”는 슬로건처럼 ZTA(Zero Trust Architecture)는 IT 시스템의 설계 및 구현 철학의 일종으로 네트워크 안이든 밖이든 아무도 기본적으로 신뢰하지 않고, 매번 접근할 때마다 신원·기기 상태·권한·위험도를 검증해야 하고 승인되었더라도 최소한의 권한으로 접근하도록 구현해야 한다.
과거의 국가/기업의 시스템은 방화벽을 통해 내부 시스템과 외부 시스템을 네트워크를 분리를 시키고 방화벽을 이용해서 내부 시스템으로 접근 시도하는 모든 요소들을 통제할 수 있었다. 그렇지만 현재는 클라우드 서비스, 원격 근무, 모바일 환경과의 연결, IoT 기기와의 연결 등 다양한 연결 방식이 생겼고 내부 시스템은 잠재적인 보안 위협에 노출되었다. 즉, 외부와 내부를 분리하고 이를 기반으로 방어하는 경계 기반 방어에 한계가 왔다. 이에 시스템에 접근하는 모든 요소(사람, 시스템 등)를 식별하고 항상 검증하는 방식의 보안이 필요하게 되었다.
Why is this important?
•
경계 방어 한계 : VPN/내부망만 믿으면 계정 하나만 유출되도 내부 시스템에 심각한 침해가 발생함
•
클라우드·원격근무 일상화 : “회사 안에 있다”는 사실이 신뢰 근거가 될 수 없음.
•
피해 최소화: 침해 사고가 나더라도 서비스/데이터 단위로 확산(횡이동)을 차단할 수 있음.
Easy Examples
•
회사 건물에 들어왔다고 인가된 사람이 아니라, 각 층마다, 회의실마다 신분 확인 필요
Bob은 USB를 통해 회사 내부 기밀 자산을 유출하기 위한 시도를 하려고 한다. 그러나 Bob의 회사는 물리적인 보안을 철저하게 하고 있어 USB 등 인가되지 않은 외부 저장 매체를 가지고 들어올 수 없고 물리적인 보안 절차를 통과하지 못하면 출입 키를 받을 수 없다. 이때 Bob은 물리적인 보안에 허술함을 발견하였다. 우선 Bob은 평소처럼 출근하였고 물리적인 보안 절차를 통과하여 출입 키를 받아서 사무실로 들어왔다. 그 후 점심시간에 Bob은 점심을 먹으러 나가는 척 하며 차에 있던 USB를 가지고 왔는데 이때 보안 가드들은 Bob의 목에 걸려있는 출입 키를 보고 인가된 사람이라고 판단하여 별다른 물리적인 보안 절차를 거치지 않았다. 결국 Bob의 회사에서는 내부 기밀 자산들이 유출되었다.