1. 제로 트러스트 아키텍처 (Zero Trust Architecture, ZTA)
ㅇ 네트워크 내외부를 구분하는 전통적인 경계 기반 보안 모델을 버리고,
- 모든 접속 시도와 사용자,단말을 신뢰하지 않고 검증을 요구하는 보안 모델
ㅇ 즉, "절대 신뢰하지 말고 항상 검증하라 (Never trust, always verify)"는 원칙에 따라,
- 모든 트래픽,사용자,디바이스,애플리케이션 접근 요청에 대해,
- 지속적이고 정밀한 인증·권한 체크를 수행하는 것
2. 배경 및 필요성
ㅇ 전통적인 보안 모델은 네트워크 내부를 신뢰하고 외부만 차단하는 경계 기반 접근을 취함
ㅇ 그러나, 클라우드 서비스 확산, 원격근무 증가, BYOD(Bring Your Own Device) 환경에서는,
ㅇ 경계가 모호해지고, 내부자 위협과 계정 탈취 공격이 증가하면서,
ㅇ 경계 기반 보안만으로는 위협을 효과적으로 막기 어려움
3. 핵심 원칙
ㅇ 최소 권한 원칙 (Least Privilege Access)
- 사용자,서비스는 수행하는 작업에 꼭 필요한 권한만 부여받아야 함
ㅇ 지속적 검증 (Continuous Verification)
- 최초 인증뿐 아니라 접근 시점마다 신원,상태를 검증함
ㅇ 마이크로 세분화 (Micro Segmentation)
- 네트워크를 작은 단위로 분할하여 공격자가 침투하더라도 횡적 확산을 최소화함
ㅇ 컨텍스트 기반 접근 제어 (Context-Aware Access Control)
- 사용자 위치, 디바이스 보안 상태, 리스크 점수 등 상황 정보를 기반으로 접근 평가함