제로트러스트란?
제로 트러스트(Zero Trust)는 네트워크 위치나 내부,외부 여부와 관계없이 어떠한 사용자 것도 기본적으로 신뢰하지 않고, 지속적인 검증과 최소 권한 원칙을 통해 보안을 강화하는 보안 모델입니다.
핵심원칙
- 모든 트래픽과 요청을 신뢰하지 않고 항상 검증합니다.
- 업무에 필요한 Least Privilege(최소권한)만 부여합니다.
- Assume Breach(침해가정) 기반으로 방어 전략을 수립합니다. (내부망 침해 가정)
- 지속적인 상태 모니터링을 통해 실시간 위협에 대응합니다.
현대 IT 환경 변화와 새로운 보안 요구사항
사이버 보안 위협은 과거 단순한 외부 침입 중심에서 점차 정교하고 복합적인 형태로 진화하고 있습니다. 기존에는 방화벽과 같은 경계 기반 방어를 통해 외부 공격을 차단하는 것이 주요 전략이었지만, 최근에는 계정 탈취, 피싱, 공급망 공격, API 악용 등 정상적인 접근 경로를 활용한 공격이 증가하고 있습니다. 특히 공격자가 내부 사용자 권한을 획득한 이후에는 기존 보안 체계를 우회하여 시스템 전반으로 확산될 수 있기 때문에, 내부망 침투 시에 무방비 상태에 노출됩니다.
이와 동시에 업무 환경 또한 크게 변화하고 있습니다. 클라우드 기술의 확산으로 온프레미스 중심의 인프라에서 벗어나 하이브리드/멀티 클라우드 환경이 확산되었으며, SaaS 서비스와 원격 근무, 모바일 기기 사용이 증가하면서 사용자와 시스템은 다양한 네트워크를 통해 연결되고 있습니다. 이로 인해 내부와 외부의 경계는 점점 모호해지고 있으며, 특정 네트워크 위치를 기준으로 신뢰를 판단하는 방식은 현실적으로 유지되기 어려운 구조로 변화하고 있습니다.
이러한 변화는 결국 보안 원칙의 근본적인 전환을 요구하고 있습니다. 과거에는 내부를 신뢰하고 외부를 차단하는 경계 기반 보안 모델이 효과적이었으나, 현재는 모든 접근을 기본적으로 신뢰하지 않고 지속적으로 검증하는 방식이 필요해졌습니다. 즉, 보안의 중심이 네트워크 위치에서 사용자와 디바이스의 신원, 그리고 행위 기반 검증으로 이동하고 있는 것입니다. 이러한 흐름 속에서 최소 권한 원칙, 지속적인 인증과 인가, 그리고 모든 요청에 대한 검증을 핵심으로 하는 새로운 보안 패러다임이 자리잡고 있습니다.
(요약 정리) 왜 제로트러스트인가?
- 사이버 위협에 진화
- 계정 기반 공격 증가: 피싱, 크리덴셜 스터핑 등을 통해 정상 사용자 계정을 탈취하는 공격이 증가하였습니다.
- 내부자 및 권한 오남용 위협: 탈취된 계정 또는 내부 사용자의 과도한 권한을 악용한 공격이 주요 위협으로 부상하였습니다.
- 공급망 공격 확대: 신뢰된 외부 라이브러리, 패키지, 협력사를 통한 우회 침투 공격이 증가하고 있습니다.
- API 및 애플리케이션 계층 공격 증가: 네트워크가 아닌 애플리케이션/API 레벨에서의 공격이 주요 공격 벡터로 자리잡았습니다.
- 업무 환경의 변화
- 원격근무 확산: 재택/원격 근무 확대로 접속 위치와 단말의 다양성이 증가하였습니다.
- 클라우드/SaaS 확산: 데이터가 사내망을 벗어나 외부 클라우드와 SaaS 서비스에 분산 저장됩니다.
- 보안 원칙의 전환
- Perimeter-less: 신뢰하는 내부망의 개념을 폐기합니다. 모든 네트워크를 신뢰하지 않습니다.
- Verify Explicitly: 세션 단위의 최소 권한 부여와 지속적으로 동적 정책을 재평가해야 합니다.
추가로, 현재 보안적합성을 받는 경우에는 내부망 침투를 가정하고 검증하는 방식이 일반적이라고 합니다. 외부 경계 방어만으로 충분하지 않다는 전제는 굉장히 중요한 평가 기준이 되었습니다.
제로트러스트 보안 모델
ZTA 아키텍처

위 다이어그램은 NIST ZTA 기준 아키텍처 위에 마이크로소프트 솔루션을 매핑한 다이어그램입니다. 각 박스의 제목을 통해 전체적인 흐름을 참고하면 됩니다.
사용자와 디바이스의 신원을 중심으로 접근이 결정되며, 정책 기반으로 모든 요청이 검증되고, 그 결과가 다시 분석 및 피드백으로 이어지는 순환 구조를 갖습니다.
해당 아키텍처를 기준으로 ZTA의 핵심 구성요소를 알아봅니다.
ZTA의 핵심 구성요소
PE (Policy Engine)
Policy Engine은 접근 요청에 대한 허용 여부를 최종적으로 판단하는 핵심 구성요소입니다. 사용자 신원, 디바이스 상태, 위치, 위험도 등 다양한 정보를 종합하여 보안 정책에 따라 접근 가능 여부를 결정합니다.
- 접근 요청에 대한 최종 의사결정 수행
- 정책 및 신뢰도 평가
- 허용 또는 차단 결정
PA (Policy Administrator)
Policy Administrator는 Policy Engine의 결정 결과를 실제 실행 가능한 형태로 변환하는 역할을 수행합니다. 또한 인증,인가 서비스와 연계하여 세션을 생성하고 토큰이나 크리덴셜을 관리합니다.
- PE의 결정을 실제 정책으로 실행
- 인증 및 인가 서비스 연계
- 세션 생성 및 토큰 관리
PEP (Policy Enforcement Point)
Policy Enforcement Point는 사용자와 보호 대상 리소스 사이에서 실제 접근을 통제하는 게이트웨이 역할을 수행합니다. PE와 PA의 결정에 따라 접근을 허용하거나 차단하며, 연결 상태를 지속적으로 관리합니다.
- 사용자와 리소스 간 접근 통제
- 접근 허용 및 차단 수행
- 연결 생성, 모니터링 및 종료
PIP (Policy Information Point)
Policy Information Point는 정책 판단에 필요한 다양한 정보를 수집하여 제공하는 구성요소입니다. 사용자 속성, 디바이스 상태, 자산 정보, 위협 인텔리전스 등 다양한 데이터를 제공하여 PE가 보다 정확한 결정을 내릴 수 있도록 지원합니다.
- 사용자 및 디바이스 정보 제공
- 자산 상태 및 위협 정보 수집
- 정책 판단을 위한 근거 데이터 제공
ZTA 성숙도 모델

Zero Trust 성숙도 모델(Zero Trust Maturity Model)은 조직의 현재 보안 수준을 평가하고, Zero Trust Architecture를 단계적으로 도입하기 위한 기준을 제공합니다. 단순히 보안 솔루션을 추가하는 것이 아니라, 신원 기반 접근 통제와 지속적 검증 체계를 얼마나 구현하고 있는지를 기준으로 성숙도를 판단합니다.
Traditional
기존의 경계 기반(Perimeter-Based) 보안 모델 단계입니다. 내부망은 신뢰하고 외부는 차단하는 구조를 기반으로 하며, 대부분 방화벽(Firewall)과 VPN을 중심으로 보안이 구성됩니다.
- 내부망 신뢰, 외부 차단 구조
- 방화벽 및 VPN 중심 보안 운영
- ID/PW 기반의 정적 인증 방식 사용
- 수동 대응 위주의 보안 운영
- 자산 및 사용자 활동에 대한 가시성 부족
Initial
Zero Trust 도입이 시작되는 단계입니다. 신원 관리와 인증 체계를 강화하기 위해 MFA를 도입하고, 사용자와 디바이스에 대한 기본적인 관리 체계를 구축하기 시작합니다.
- MFA(다중요소인증) 적용
- 사용자 및 디바이스 식별 체계 구축
- 기본적인 클라우드 보안 기능 적용
- 로그 수집 및 모니터링 자동화 시작
- 보안 정책 표준화 추진
Advanced
Zero Trust의 핵심 개념이 실제 운영 환경에 적용되는 단계입니다. 사용자 신원뿐 아니라 디바이스 상태와 접근 환경을 함께 고려하여 접근을 제어하며, 최소 권한 원칙이 본격적으로 적용됩니다.
- 신원 기반 접근 제어 체계 정착
- 디바이스 상태 기반 접근 통제
- 최소 권한(Least Privilege) 정책 적용
- 세션 단위 접근 제어 수행
- 통합 로그 분석 및 모니터링 체계 구축
- 보안 이벤트에 대한 자동 대응 기능 적용
Optimal
Zero Trust가 조직 전반에 완전히 정착된 단계입니다. 접근 요청은 지속적으로 검증되며, 위험 수준에 따라 정책이 실시간으로 변경됩니다. 또한 데이터 중심 보안과 자동화된 운영 체계가 구축되어 있습니다.
- 지속적 검증(Continuous Verification)
- 위험 기반 동적 접근 제어(Risk-Based Access)
- 정책 자동화 및 오케스트레이션
- 데이터 중심 보안 체계 운영
- 전사적 통합 모니터링 및 대응
- AI 및 분석 기반 보안 운영 고도화
제로트러스트 책임 모델

클라우드 환경에서의 보안은 서비스 제공자와 사용자 간 역할이 명확히 구분되는 책임 공유 모델을 기반으로 구성됩니다. 인프라 자체는 CSP가 보호하지만, 그 위에서 동작하는 모든 접근과 설정, 데이터는 고객이 직접 통제해야 하기 때문에 책임 경계를 정확히 이해하는 것이 필수입니다.
추가자료)
금융권 제로 트러스트 N2SF 연계 아키텍처

CSP 책임 영역
CSP는 클라우드 기반 인프라에 대한 보안을 책임집니다.
사용자가 직접 제어할 수 없는 영역으로, 물리적 데이터센터부터 글로벌 인프라까지 포함됩니다.
- 물리적 보안
- 데이터센터 출입 통제 및 물리적 시설 보호를 수행합니다.
- 서버, 스토리지, 네트워크 장비 등 하드웨어 자산을 보호합니다.
- 인프라 및 가상화 계층
- 하이퍼바이저 및 가상화 계층의 보안을 담당합니다.
- 물리 네트워크 및 스토리지 인프라를 안정적으로 운영합니다.
- 관리형 서비스 보안
- PaaS/SaaS 서비스의 플랫폼 보안과 가용성을 제공합니다.
- DDoS 방어, 기본 보안 통제 기능을 제공합니다.
고객 책임 영역
고객은 클라우드 위에서 사용하는 모든 자산과 설정, 그리고 접근 제어에 대한 보안을 책임집니다. 제로트러스트 관점에서는 특히 신원, 정책, 데이터 보호가 핵심 영역입니다.
- 데이터 및 아이덴티티
- 데이터 암호화 및 보호(Data Protection)를 수행합니다.
- 사용자, 서비스, 디바이스에 대한 접근 제어(Identity & Access)를 구성합니다.
- 애플리케이션 보안과 로그 관리까지 포함하여 운영합니다.
- 워크로드 및 디바이스 보안
- 워크로드 구성 및 배포를 관리합니다.
- 위협 모니터링 및 사고 대응을 수행합니다.
- 엔드포인트와 디바이스 상태를 지속적으로 관리합니다.
- 네트워크 보안 (P7 반영)
- 네트워크 트래픽을 암호화하고 전송 구간을 보호합니다.
- VCN/VPC 구성, 마이크로 세그멘테이션을 통해 네트워크를 분리합니다.
- 보안 그룹(NSG), 방화벽 설정을 통해 접근을 제어합니다.
- Zero Trust 기반 게이트웨이를 통해 트래픽을 통제합니다.
마무리하며 ..
N2SF와 제로트러스트를 어떻게 접목할 수 있을까?
N2SF와 제로트러스트는 함께 활용할 수 있는 지점이 많다고 생각했습니다. N2SF가 보안 통제 항목과 관리 기준을 제시하는 역할이라면, 제로트러스트는 그 통제 기준을 접근 제어 구조로 구현하는 방식에 가깝습니다.
즉, N2SF의 보안 요구사항을 ZTA의 구성요소인 PE, PA, PEP와 연결하여 정책 판단과 접근 통제 구조로 구체화할 수 있습니다. 예를 들어 사용자 인증, 디바이스 상태 점검, 네트워크 접근 제어, 데이터 보호와 같은 항목은 각각 신원 기반 검증, 세션 단위 접근 제어, 마이크로 세그멘테이션, 데이터 중심 보안 정책으로 확장될 수 있습니다.
특히 금융권이나 클라우드 환경처럼 규제와 보안 요구사항이 높은 영역에서는 단순히 보안 솔루션을 도입하는 것보다, 기존 통제 체계를 기준으로 현재 환경을 점검하고 어떤 부분을 제로트러스트 방식으로 전환할 수 있는지 단계적으로 판단하는 것이 중요하다고 느꼈습니다.
N2SF는 무엇을 통제해야 하는가에 대한 기준을 제공하고, 제로트러스트는 그 통제를 어떤 구조로 지속적으로 검증하고 실행할 것인가에 대한 방향을 제시한다고 볼 수 있습니다. 따라서 제로트러스트를 도입할 때에는 N2SF와 같은 기존 보안 프레임워크를 함께 참고하여, 조직의 현재 수준과 필요한 통제 항목을 기준으로 점진적으로 고도화하는 방식이 현실적인 접근이라고 생각합니다.
이번 정리를 통해 제로트러스트는 단순히 내부망을 신뢰하지 않는다는 개념에 그치지 않고, 신원, 디바이스, 네트워크, 애플리케이션, 데이터 전반을 지속적으로 검증하는 보안 운영 모델이라는 점을 확인할 수 있었습니다. 또한 N2SF와 같은 보안 기준과 연계하면 제로트러스트를 보다 체계적으로 도입하고 설명할 수 있다는 점에서, 향후 클라우드 보안 아키텍처를 설계할 때 중요한 기준으로 활용할 수 있을 것 같습니다.
출처
- https://cloud.google.com/learn/what-is-zero-trust?hl=ko
- https://www.microsoft.com/en-us/security/blog/2024/08/06/how-microsoft-and-nist-are-collaborating-to-advance-the-zero-trust-implementation/
- https://www.linkedin.com/pulse/cybersecurity-implementation-nist-nccoe-zero-trust-mapping-bakirov-ocxre/
- https://www.kisa.or.kr/2060204/form?postSeq=18&page=1#fnPostAttachDownload
- https://blog.securesky.com/zero-trust-maturity-model-ztmm-2.0-a-transition-to-zta
- http://www.itdaily.kr/news/articleView.html?idxno=208543
- https://aws.amazon.com/ko/compliance/shared-responsibility-model/
- https://www.youtube.com/watch?v=uZtY4_9Swpo&t=523s
'클라우드 > 클라우드 보안' 카테고리의 다른 글
| 국내 CSP 현황과 해외 CSP 현황 비교 분석 (0) | 2026.06.16 |
|---|---|
| 클라우드 보안사고 트렌드 (0) | 2026.06.16 |
| CSAP 인증제도와 사이버 보안 실태평가 지표 (0) | 2026.06.16 |
| 국가 망 보안체계(N2SF) (3) | 2026.04.29 |