제로 트러스트(Zero Trust)

 제로 트러스트란 일체의 사용자와 포로세스를 신뢰하지 않는다는 원칙 하에 모든 사용자와 디바이스, 애플리케이션과 트랙잭션에 확인을 요구하는 사이버 보안 전략입니다.

 

 이 정의는 AT&T의 전 CEO와 보안 전문가 수십 명이 포함된 미국 국가안보통문위원회가 2021년에 발표한 56페이지짜리인 문서인 NSTAC 보고서에서 비롯됐습니다.

 

 이 용어를 만든 존 킨더바그 포레스트 리서치 전 분석관은 한 인터뷰에서 자신이 고안한 '제로 트러스트 사전' 상의 정의를 설명하기도 했습니다.그에 따르면, 제로 트러스트란 기존의 테크놀로지들로 구성되고 시간의 경과와 함께 개선되는 시스템을 통해 디지털 트러스트를 제거하고 데이터 침해를 방지하는 전략적 이니셔티브입니다.

 

 2010년의 보고서에서 이 용어를 소개한 킨더바그는 제로 트러스트의 기본 원칙을 세 가지로 정리했습니다.네트워크 트래픽 일체를 신뢰하지 않아야 사용자는 다음의 내용을 견지해야 합니다.

• 모든 리소스의 확인과 보안
• 액세스 제어의 제한과 엄격한 시행
• 네트워크 트래픽 일체의 검사와 기록

이 원칙을 반영해 만들어진 제로 트러스트의 모토가 바로 "아무도 믿지 말고 언제나 확인 하라" 입니다.

 

 기본 정의에서도 알 수 있듯 제로 트러스트는 단일 기법이나 제품이 아니라 현대의 보안 정책에 사용되는 원칙들의 집합입니다.

 

  미국 국립표준기술연구소는 2020년의 연례보고서에서 제로 트러스트 구현의 상세한 지침을 소개한 바 있습니다.

 위 도표는 제로 트러스트의 일반적인 접근법을 보여줍니다. 이 방식은 보안 정보와 이벤트 관리 시스템으로 데이터를 수집하고, 상시적으로 진단과 완화로 데이터를 분석한 뒤, 도출된 인사이트와 이벤트에 대응합니다.

 

 이는 제로 트러스트 환경이라는 네트워크를 구성하며 제로 트러스트 아키텍쳐라 불리는 보안 플랜의 일례이기도 합니다.

 

 그러나 제로 트러스트의 형태는 무척 다양합니다.NIST 보고서는 "기업별 활용 사례와 데이터 에셋이 고유하므로 단일한 ZTA 구축 플랜은 존재할 수 없다"고 설명합니다