'아무도 믿지 말고, 항상 검증하라(Never Trust, Always Verify)'는 제로 트러스트의 핵심 원칙은 더 이상 낯선 개념이 아닙니다. 클라우드 서비스 도입이 가속화되고 원격 근무가 새로운 표준으로 자리 잡으면서, 기존의 경계 기반 보안 모델은 한계를 드러내고 있습니다.
경계 기반 보안의 종말
과거에는 회사 내부 네트워크는 '안전한 곳', 외부 네트워크는 '위험한 곳'으로 구분했습니다. 하지만 내부자 위협이나, 한 번 뚫리면 내부 시스템 전체가 위험에 노출되는 '측면 이동(Lateral Movement)' 공격에는 매우 취약했습니다.
제로 트러스트의 핵심 원칙 3가지
- 명시적 검증 (Verify Explicitly): 모든 접근 요청은 신원, 위치, 기기 상태 등 다양한 요소를 기반으로 항상 인증되고 권한이 부여되어야 합니다.
- 최소 권한 접근 (Use Least Privilege Access): 사용자에게는 업무 수행에 필요한 최소한의 권한과 리소스에만 접근을 허용합니다.
- 침해 가정 (Assume Breach): 공격이 이미 발생했다고 가정하고 네트워크를 마이크로 세그멘테이션하여, 공격자가 다른 시스템으로 이동하는 것을 차단하고 피해를 최소화합니다.