제로 트러스트 개념
- 제로 트러스트(Zero Trust)는 말 그대로 '신뢰가 없다' 즉, '아무도 믿지 마라'라는 뜻
- 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략
- 전통적인 보안 시스템에서는 관문을 통과한 사용자나 단말기는 신뢰하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 접속한 사용자나 단말기라도 신뢰하지 않는 것이 기본 전제
기존 시스템의 문제점
- 급변하는 근무 형태로 인해 기업의 IT 시스템 보안 환경이 네트워크, 기업용 애플리케이션, 클라우드 시스템 등 외부와 접속할 수 있는 접속 지점이 증가
- IT 시스템에 접속할 수 있는 방식 역시 기존 기업에서 제공하던 PC 외에도 개인용 PC, 스마트폰, 태블릿 등 더 다양
- 전통적인 기존 보안 시스템은 방화벽 컨셉의 경계 보안 모델로 성벽, 관문, 울타리와 같은 시스템이어서 큰 울타리나 성벽, 관문을 하나만 세우고 해당 울타리나 성벽, 관문을 통과한 이후 안쪽으로 들어오면 어떠한 작업이라도 다 허용하는 방식
-> 이에 따라 모니터링하고 경계해야할 면적이 과거와 비교할 수 없을 정도로 넓어졌기 때문에 지금의 보안 시스템 환경에서 개별 사용자와 단말기에 대한 모든 보안을 적용하고 관제하는 것은 매우 많은 비용 및 노력이 들어감
제로 트러스트 모델이 다시 주목받는 이유
- 제로 트러스트 모델을 도입하게 되면 기업의 보안 관리자는 모든 사용자와 단말기에 보안 정책을 적용하는 대신, 보안 정책을 위반할 것이라고 가정한 상태로 취급
- 사용자나 단말기가 IT 시스템 안의 데이터나 애플리케이션, 내부 인프라(IT 시스템 내 데이터베이스 등), 네트워크 등에 접속하려고 할 때 철저한 신원 확인 및 인증을 통해 접근 권한이나 사용 권한을 부여
- 인증 이후에 접근 권한이나 사용 권한을 부여할 때에도 최소한의 영역에서만 접근하거나 사용할 수 있도록 권한을 적용해서 부여함으로 쓸데없는 수평 이동을 줄임
- 사용자나 단말기가 다른 데이터나 애플리케이션, 내부 인프라, 네트워크에 접속하거나 사용하려고 한다면 마찬가지로 철저한 신원 확인 및 인증을 통과해야 함
-> 과거의 보안 시스템이 IT 시스템의 접속을 통해 외부로부터의 유입에 대한 방어에 집중하고 내부의 보안이 상대적으로 허술했던 것에 비해 제로 트러스트 모델은 외부로부터의 유입에 대한 방어와 동등한 레벨로 내부의 보안도 처리한다는 점에서 다시 주목받고 있음
