제로 트러스트(Zero Trust) 보안 모델이 무엇이며, 기존 경계 기반 보안과 어떻게 다른지 설명해보세요.

제로 트러스트(Zero Trust)는 '절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)'는 원칙에 기반한 보안 모델이다. 2010년 Forrester Research의 존 킨더백(John Kindervag)이 처음 제안한 개념으로, 네트워크의 내부와 외부를 구분하지 않고 모든 사용자·기기·트래픽을 잠재적인 위협으로 간주하여 지속적으로 인증·검증·최소 권한 접근을 적용하는 보안 아키텍처이다.

기존 경계 기반 보안(Perimeter-Based Security)은 내부망과 외부망 사이에 방화벽을 배치하여 외부 위협을 차단하는 '성채(Castle) 모델'이다. 이 모델은 내부망에 접속한 사용자는 신뢰한다는 전제에 기반하므로, 내부자 위협(Insider Threat)이나 계정 탈취 후 내부망에서의 횡이동(Lateral Movement) 공격에 취약하다.

제로 트러스트의 핵심 원칙은 다음과 같다. 첫째, 명시적 검증(Verify Explicitly): 사용자 신원·기기 상태·위치·행동 패턴 등 모든 가용 데이터를 기반으로 항상 인증·권한 부여를 수행한다. 둘째, 최소 권한 접근(Least Privilege Access): 사용자에게 업무 수행에 필요한 최소한의 권한만 부여하고, JIT(Just-In-Time)·JEA(Just-Enough-Access) 방식으로 접근 범위를 제한한다. 셋째, 침해 가정(Assume Breach): 이미 침해가 발생했다고 가정하고 마이크로 세그멘테이션(Micro-Segmentation)으로 피해 범위를 최소화한다.

Microsoft는 자사 제품 생태계(Azure AD·Entra ID·Microsoft Defender)를 통해 제로 트러스트 아키텍처 구현을 지원하며, 2021년 미국 정부의 제로 트러스트 행정명령 이후 공공·기업 부문에서 도입이 급속히 확산되었다. 국내에서는 금융보안원이 금융 분야 제로 트러스트 가이드라인을 배포하였으며, KB국민은행·신한은행·하나은행 등 주요 금융기관이 제로 트러스트 기반 내부 보안 아키텍처 전환을 추진하고 있다. 국가정보원은 2023년 국가 사이버안보 기본계획에 제로 트러스트 도입을 명시하며 공공 부문 확산을 촉진하고 있다.