제로 트러스트(Zero Trust)는 "신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)"를 원칙으로 하는 현대적 네트워크 보안 모델이다. 내부 네트워크도 외부와 동일하게 불신한다.
기존 보안 vs 제로 트러스트
기존 (Castle-and-Moat):
인터넷 → [방화벽] → 내부망 (신뢰된 영역)
내부 사용자는 모두 신뢰 → 내부 위협에 취약
제로 트러스트:
모든 접근 요청 → 항상 검증 (위치 무관)
VPN 내부라도 무조건 인증 + 권한 확인
핵심 원칙
| 원칙 | 설명 |
|---|
| 항상 검증 | 모든 요청에 인증·인가 수행 |
| 최소 권한 | 필요한 최소한의 권한만 부여 |
| 침해 가정 | 이미 침해됐다고 가정, 피해 최소화 |
| 마이크로 세그멘테이션 | 리소스별 접근 제어 |
구현 요소
1. ID 검증: MFA, 인증서, SSO
2. 기기 검증: 기기 건강 상태, 패치 여부
3. 네트워크: 마이크로 세그멘테이션
4. 애플리케이션: 최소 권한, API 게이트웨이
5. 데이터: 암호화, DLP
관련 개념
- •VPN — 제로 트러스트가 VPN을 대체하는 추세
- •방화벽 — 경계 보안 (제로 트러스트와 병행)
- •2FA — 제로 트러스트 인증 강화
- •OAuth — 제로 트러스트 권한 위임
참고문헌
- •NIST SP 800-207 — Zero Trust Architecture
