5 분 소요

Summary

지난 글에서 금융권 망분리가 풀리는 흐름을 봤어요. 그러면 “끊어서 지킨다”가 빠진 자리를 무엇으로 메우느냐가 다음 질문이 됩니다. 답은 제로트러스트였죠.

그런데 제로트러스트는 사다가 깔면 끝나는 제품이 아니에요. “망 안에 있으니 믿는다” 는 가정을 걷어내고, 모든 접근을 매번 검증하도록 시스템을 다시 설계하는 일입니다. 이번 글에서는 그걸 원칙 → 구성요소 → 구현 기술 → 설계 단계 순으로, 손에 잡히게 뜯어볼게요.

💡 이 글에서 다루는 것

  • 제로트러스트의 4가지 설계 원칙
  • 논리 구성요소 — PE · PA(=PDP)와 PEP, 그리고 접근 판단 흐름
  • 한국형 가이드라인의 6대 핵심요소 + 2가지 교차기능과 성숙도 모델
  • 구현 기술 — 강한 인증·ZTNA·마이크로세그멘테이션·SDP
  • 금융권에 얹는 설계 5단계와, 빠지기 쉬운 함정



1. 무엇을 바꾸는 설계인가

망분리는 “경계 안쪽은 믿는다” 는 전제 위에 서 있었어요. 그런데 SaaS·클라우드·생성형 AI가 업무망에 들어오는 순간, “안쪽”이라는 경계 자체가 흐려집니다. 내부망인지 외부망인지 선을 긋기 어려워지는 거죠.

제로트러스트는 그 전제를 통째로 뒤집어요.

🚨 핵심 전환“네트워크는 이미 침해됐다고 가정한다(assume breach).” 그러니 망 위치로는 아무것도 믿지 않고, 접근이 일어날 때마다 신원·단말·맥락을 매번 확인한다.

설계 원칙으로 풀면 네 가지예요.

원칙 의미
명시적 검증 위치가 아니라 신원·단말상태·맥락으로 매 요청을 검증
최소 권한 필요한 자원에, 필요한 동안만, 최소 범위로 허용
침해 가정 이미 뚫렸다고 보고 폭발 반경(blast radius)을 줄임
지속 검증 한 번 통과로 끝이 아니라 세션 내내 다시 평가

망분리가 “담을 높이 쌓아 한 번 막는” 방식이었다면, 제로트러스트는 “검문소를 곳곳에 두고 매번 신분을 확인하는” 방식이에요. 담을 허무는 대신 검문을 촘촘하게.



2. 구성요소 — PE · PA · PEP

제로트러스트의 표준 설계도는 미국 NIST SP 800-207 이 잡아놨어요. 추상적으로 들리는 “검증”을 누가·어디서 하는지 세 개의 논리 부품으로 나눕니다.

구성요소 역할 비유
PE (Policy Engine) 접근을 허용/거부/취소할지 최종 판단 판단하는 머리
PA (Policy Administrator) 판단을 실행 — 세션 토큰·자격증명 발급 명령을 내리는 손
PEP (Policy Enforcement Point) 자원 앞을 지키며 결정을 집행 검문소

PE 와 PA 를 묶어 정책결정점(PDP) 이라 부르고, 이게 머리에 해당해요. PEP 는 자원 바로 앞에 서 있는 검문소고요. 한 번의 접근이 이 부품들을 어떻게 통과하는지 보면 구조가 한눈에 들어옵니다.

[사용자·단말]
     │  ① 자원 접근 요청
     ▼
   [PEP]  ── ② 요청 가로채서 판단 의뢰 ──▶ [PE]
     ▲                                      │ ③ 트러스트 알고리즘으로 판단
     │                                      │   (IAM·단말상태·위협 인텔·정책)
     │  ⑤ 토큰 받아 집행                    ▼
     └──────────── ④ 세션 토큰 발급 ◀──── [PA]
     │
     ▼
[보호 자원] ── ⑥ 세션 내내 재평가, 위험 바뀌면 차단

여기서 PE 의 판단은 한 가지 값으로 결정되지 않아요. 트러스트 알고리즘 이 여러 신호를 종합합니다.

  • 내부 신호 — IAM 정책, 접근 정책, 단말 보안상태, SIEM 이벤트
  • 외부 신호 — 위협 인텔리전스, 취약점 경보, 위험 점수

✅ 그래서 같은 사용자라도 “평소 쓰던 단말 + 사내 시간대 + 정상 행위” 면 통과하고, “낯선 기기 + 새벽 + 대량 다운로드” 면 같은 계정이어도 막힐 수 있어요. 맥락이 권한을 바꾸는 게 핵심이에요.



3. 어디에 적용하나 — 6대 핵심요소

원칙과 부품을 어디에 깔아야 하는지는, 국내 기준으로 「제로트러스트 가이드라인 2.0」(과기정통부·KISA) 이 정리해놨어요. 보안을 망이 아니라 자원의 종류별로 나눠서 봅니다.

6대 핵심요소

  • 식별자·신원 — 사람·서비스의 정체. IAM, 다중인증(MFA)
  • 기기·엔드포인트 — 접속하는 단말의 상태. EDR, 단말 무결성·posture
  • 네트워크 — 흐름의 분할. 마이크로세그멘테이션
  • 시스템 — 서버·인프라 자원의 통제
  • 앱·워크로드 — 애플리케이션 단위 접근 제어
  • 데이터 — 등급 분류·암호화·유출 통제 (보안의 최종 목적지)

2가지 교차기능 — 위 여섯을 가로지릅니다.

  • 가시성·분석 — 다 보이지 않으면 검증도 못 함. 로그·탐지
  • 자동화·오케스트레이션 — 사람 손으로는 매 요청을 못 막음. 정책 자동 집행

이걸 한 번에 다 깔 수는 없으니, 가이드라인은 성숙도 4단계 로 단계적 전환을 권해요. 예전엔 3단계였는데 시작점을 낮추는 ‘초기’ 가 추가됐습니다.

기존(Traditional) → 초기(Initial) → 향상(Advanced) → 최적화(Optimal)
   경계 중심 잔존        부분 도입        맥락·자동화 확대     전면 자동·지속검증

💡 핵심은 “우리 조직이 지금 몇 단계인가” 를 요소별로 진단하고, 약한 요소부터 한 칸씩 올리는 거예요. 신원은 향상인데 가시성은 기존이면, 다음 투자는 가시성에.



4. 무엇으로 구현하나

원칙·요소를 실제 제품·기술로 내리면 이런 조합이 자주 나와요.

구현 기술 무엇을 하나 어떤 요소를 채우나
강한 인증
(IAM·MFA)		 신원을 매번 확실히 식별자·신원
ZTNA 신원·맥락 확인 후
앱 단위로만 연결		 네트워크·앱
마이크로
세그멘테이션		 내부를 잘게 쪼개
횡적 이동 차단		 네트워크
SDP
(소프트웨어 정의경계)		 인가 전엔 자원을
‘보이지도 않게’		 네트워크·시스템
EDR · 단말 posture 단말 상태를 신뢰 판단에 기기·엔드포인트
SIEM · 로그분석 전 구간을 관측·탐지 가시성·분석

특히 ZTNA 는 망분리·VPN 을 직접 대체하는 자리에 들어와요. VPN 이 “일단 사내망에 넣어주고 그 안은 자유롭게” 였다면, ZTNA 는 “신원·맥락을 확인하고 허용된 그 앱 하나에만 연결” 입니다. 망에 넣는 게 아니라 자원에 점선으로 잇는 거죠.

그리고 마이크로세그멘테이션 이 침해 가정 원칙을 실현해요. 내부를 한 덩어리로 두지 않고 잘게 나누면, 한 곳이 뚫려도 옆으로 못 번집니다. 망분리가 내부망-외부망 두 칸으로 나눴다면, 마이크로세그멘테이션은 내부를 수십 칸으로 나누는 셈이에요.



5. 금융권에 얹는 설계 5단계

금융권은 망분리 완화의 보안대책으로 제로트러스트를 얹는 그림이에요. 실제로 금융보안원도 금융권 맞춤형 제로트러스트 가이드를 내놨고요. 정보계·DMZ·업무지원·AI·클라우드·가명정보처럼 “이제 인터넷과 닿는 영역” 을 제로트러스트 영역으로 묶고, 성격에 따라 세분화·인증을 거는 식입니다.

설계 순서는 대체로 다섯 걸음이에요.

  1. 보호 대상 식별 — 무엇을 지킬지(코어 데이터·고객정보·키 시스템)부터 정의. 자원을 모르면 정책도 못 짬.
  2. 트랜잭션 흐름 매핑 — 그 자원에 누가·무엇이·어떻게 접근하는지 흐름을 그림.
  3. 정책 설계 — 흐름마다 “누가, 어떤 단말·맥락에서, 어디까지” 를 규칙으로.
  4. PEP 배치 — 자원 앞마다 검문소(PEP)를 두고 정책을 집행.
  5. 모니터링·지속개선 — 가시성으로 관측하며 정책을 다듬고 성숙도를 올림.

✅ 1번을 건너뛰고 도구부터 사는 게 가장 흔한 실수예요. 지킬 것(보호면, protect surface)을 먼저 좁게 정의해야 정책이 명확해지고, 작게 시작해 넓혀갈 수 있어요.



6. 빠지기 쉬운 함정

방향이 맞아도 실행에서 자주 미끄러지는 지점들이에요.

  • 한 번에 전환하려 함 — 제로트러스트는 프로젝트가 아니라 여정이에요. 작은 보호면 하나로 시작해 넓혀야 합니다.
  • 가시성 없이 통제부터 — 흐름이 안 보이는데 정책부터 조이면 업무가 막혀요. 관측 → 정책 순서.
  • 레거시 시스템 — 오래된 코어는 토큰·세션 검증을 못 받기도 해요. 앞단에 게이트웨이(PEP)를 두는 식의 우회 설계가 필요.
  • 정책 과다·운영 부담 — 규칙이 많아질수록 사람이 못 따라가요. 자동화·오케스트레이션이 받쳐줘야 지속 가능.
  • 책임 경계 — 앞 글에서 봤듯, 자율보안으로 갈수록 “사고 시 책임” 이 명확해야 현장이 움직여요. 기술만의 문제가 아니에요.

🚨 결국 제로트러스트는 도구 구매가 아니라 운영 모델의 전환이에요. 신원·단말·네트워크·데이터·가시성을 한 줄에 꿰어, 매 접근을 검증 가능한 상태로 만드는 일. 망분리가 비웠던 자리를, 더 정교한 검문으로 메우는 거죠.



마치며

망분리가 “끊어서 못 들어오게” 였다면, 제로트러스트는 “들어와도 매번 확인받게” 예요. 경계가 흐려지는 시대에, 신뢰를 위치가 아니라 검증에 두는 전환입니다.

원칙(명시적 검증·최소권한·침해가정·지속검증)과 부품(PE·PA·PEP), 요소(6대+교차기능), 기술(ZTNA·마이크로세그멘테이션)을 한 줄로 꿰면, 추상적이던 제로트러스트가 설계할 수 있는 대상 으로 바뀌어요. 작게 시작해서, 약한 요소부터, 한 칸씩.

일단 오늘은 여기까지…..
다음 글에서는 마이크로세그멘테이션을 실제 트래픽 흐름 위에서 어떻게 그리는지 더 파볼게요.


← 이전 글: 금융권 망분리, 내부망과 외부망 — 왜 갈랐고 지금은 왜 푸는가


참고: NIST SP 800-207 Zero Trust Architecture · 제로트러스트 가이드라인 2.0 (KISA)

참고