최근 발생한 정보 보안 사고의 대부분은 기업 내부의 IT 인프라 시스템에 접근 권한이 있는 내부인의 부주의 때문에 발생했습니다. 전통적인 IT 보안 모델은 “외부인”에 대해서는 철저히 경계하는 시스템을 구축하고 있지만, 내부인에게는 비교적 큰 신뢰감을 가지는 관행을 보여왔습니다. 이러한 허점을 악용한 외부인은 내부인의 계정을 탈취하여 기업의 귀중한 정보를 유출시키고 기업들을 위협하고 있습니다.
이 때문에 제로 트러스트 보안 모델이 큰 주목 받고 있습니다.
제로 트러스트 보안이란 “0(zero) 신뢰하다(trust)”가 합쳐진 말로, 어떤 사람도 그리고 아무것도 신뢰하지 않는다는 개념입니다. 그러나 제로 트러스트는 단순한 개념 이상입니다. 지금부터는 기업이 제로 트러스트 모델 도입시 중점을 두어야 할 일곱가지 핵심원칙에 대해 살펴보아야 합니다.
(1) 제로 트러스트 네트워크
제로 트러스트 보안 구현시 네트워크를 분할하여 통제하는 것이 중요합니다. 중요한 자산을 식별하고 이를 아주 작은 부분으로 나누면 악의적인 내부망 이동을 막을 수 있는 여러 개의 검사지점이 생겨납니다. 이는 위협을 쉽게 배제하고 격리 할 수 있게 합니다.
(2) 제로 트러스트 워크로드
언제 어디서나 기업 내부 네트워크망에서 작업할 수 있는 클라우드 자산은 악의적인 행위자에게 취약하고 매력적인 대상이 됩니다. 그러므로 특히 퍼블릭 클라우드에서 실행되는 워크로드를 보호하는 것은 매우중요합니다.
(3) 제로 트러스트 데이터
제로 트러스트는 모바일기기, 애플리케이션 서버, 데이터베이스, 애플리케이션 간에 공유되는 모든 데이터를 보호합니다.
(4) 제로 트러스트 피플
이제 더 이상 사용자의 신원을 증명하는 것은 유효한 수단이 아님이 명백해진 상황에서 기업의 중요한 자산에 대한 접근 제어가 강화되어야 합니다.
(5) 제로 트러스트 디바이스
디바이스 손상이 정보기술 유출에 큰 비중을 차지 하는 만큼 모바일, IoT(사물인터넷), 워크스테이션(사무용 또는 기술용 단말기로 쓸 수 있는 다기능 컴퓨터를 통틀어 말함) 등 네트워크에 연결되는 모든 디바이스를 위협 매개체로 간주해야 합니다. 네트워크에 연결된 모든 디바이스를 안전하게 보호하고 손상된 경우 이를 격리 해낼 수 있어야 합니다.
(6) 가시성 및 분석
제로 트러스트 보안 모델은 기업의 내부 네트워크 내의 모든 활동을 지속적으로 모니터링 하고 기록하며 상관관계를 분석할 필요가 있습니다.
(7) 자동화 및 오케스트레이션
제로 트러스트 모델은 기업의 광범위한 IT환경에 자동으로 통합되어 향상된 사고 대응, 정책의 정확성, 업무 위임을 가능하게 합니다.
비대면 환경이 계속 확산되어 가는 가운데 보안위협은 더욱 더 교묘하고 지능적인 형태로 기업의 네트워크를 공격하고 있다. 이 시점에서 시스템의 내부와 외부를 나누지 않고 모든 사용자와 기기를 신뢰하지 않는 제로 트러스트 보안 전력으로 우리는 발빠르게 대응해나가야 할 것이다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 사회복지교육은 미래복지의 나침반이 되어야](/news/data/2026/01/16/p1065596364370517_157_h.png)
