제로 트러스트의 출발점은 네트워크가 아니라 신원 경계다

제로 트러스트를 VPN 교체나 네트워크 마이크로세그멘테이션 프로젝트로만 시작하면, 이미 탈취된 계정과 세션이 새 통제 안에서도 그대로 움직일 수 있다. 사용자가 내부 IP에 있다는 이유로 신뢰하거나, MFA를 한 번 통과했다는 이유로 하루 종일 모든 SaaS와 관리자 기능을 허용하면 신뢰 판단이 너무 오래 유지된다.

신원 경계는 로그인 화면 하나가 아니다. 누가, 어떤 기기에서, 어떤 세션으로, 어느 애플리케이션과 데이터에, 어떤 행동을 요청하는지를 연결하는 정책 체계다. 네트워크 위치는 그 판단에 들어가는 여러 신호 중 하나일 뿐이다.

먼저 네 종류의 신원을 분리한다

신원 유형	예시	주요 위험
사람 사용자	직원, 계약직, 고객지원	피싱, 퇴직 후 접근, 과도한 그룹 권한
관리자	클라우드·IdP·SaaS 관리자	단일 계정 탈취가 전사 영향으로 확산
워크로드	서비스 계정, CI, 함수	장기 키, 소유자 부재, 환경 간 재사용
외부 주체	협력사, 고객, 감사자	계약 종료 후 잔여 접근, 광범위한 공유

사람과 서비스 계정을 같은 그룹과 동일한 복구 절차로 관리하지 않는다. 관리자 계정은 일상 업무 계정과 분리하고, 워크로드는 사람이 사용하는 비밀번호 대신 짧은 수명 자격 증명과 명시적 서비스 ID를 사용한다.

정책 결정에 필요한 다섯 가지 신호

접근 요청마다 최소한 다음 신호를 평가한다.

1. 사용자: 고용 상태, 역할, 관리자 여부, 최근 위험 이벤트
2. 기기: 관리 등록, 암호화, OS 지원 상태, 보안 도구 정상 여부
3. 세션: 인증 강도, 생성 시각, 위치·네트워크 변화, 토큰 위험
4. 리소스: 데이터 등급, 애플리케이션 중요도, 허용 작업
5. 행동: 조회, 다운로드, 공유, 권한 변경, 대량 내보내기

예를 들어 관리되지 않는 개인 기기에서 내부 위키를 읽는 요청과, 같은 기기에서 고객 데이터를 내려받거나 관리자 역할을 활성화하는 요청은 다른 결정을 내려야 한다. BYOD 기기 신뢰 정책과 데이터 분류 체계를 조건부 접근에 연결한다.

가입·이동·퇴직을 하나의 흐름으로 관리한다

신원 침해의 많은 원인은 로그인 기술보다 계정 수명주기 공백이다.

가입

• HR 또는 계약 시스템의 승인된 이벤트에서 계정을 만든다.
• 기본 그룹을 최소화하고 업무 역할에 따라 추가한다.
• 첫 로그인 전에 MFA와 복구 수단을 등록한다.
• 관리자 권한은 별도 계정과 추가 승인으로 제공한다.

이동

• 부서·직무가 바뀌면 새 권한을 추가하기 전에 이전 권한을 회수한다.
• 그룹 중첩과 직접 부여 권한을 함께 검토한다.
• 임시 프로젝트 권한에는 자동 만료를 설정한다.
• 관리자 역할은 필요할 때만 활성화하고 세션 시간을 제한한다.

퇴직·계약 종료

• 계정 비활성화만 하지 말고 세션, 앱 비밀번호, API 토큰, SSH 키를 폐기한다.
• 개인이 소유하던 문서와 자동화 계정을 팀 소유로 이전한다.
• 모바일·노트북의 업무 데이터와 인증서를 회수한다.
• 외부 공유와 메일 전달 규칙을 확인한다.

완료 시간을 측정한다. “퇴직 처리됨”보다 인사 이벤트부터 모든 세션 폐기까지 걸린 시간이 더 유용한 지표다.

최소 권한은 역할 이름보다 실제 행동으로 정의한다

developer, admin, finance 같은 넓은 역할만 두면 시간이 지날수록 권한이 누적된다. 가능하면 다음 수준으로 좁힌다.

• 대상 리소스와 환경
• 허용 작업: 읽기, 쓰기, 승인, 삭제, 권한 변경
• 허용 시간 또는 세션 길이
• 필요한 기기 상태와 인증 강도
• 대량 다운로드·내보내기 한도
• 추가 승인 또는 두 사람 통제가 필요한 작업

관리자 역할은 상시 부여보다 JIT(Just-In-Time) 활성화를 사용하고, 활성화 이유와 티켓을 기록한다. 인증 시스템 자체가 장애일 때 사용할 계정은 관리자 비상 계정으로 분리하고 일상 업무에 쓰지 않는다.

세션을 로그인 이후에도 다시 평가한다

MFA를 통과한 세션도 다음 상황에서는 재인증하거나 제한해야 한다.

• 새 기기 또는 새 국가·네트워크로 이동
• 기기 준수 상태가 비정상으로 변경
• 비밀번호·MFA·복구 수단 변경
• 관리자 역할 활성화
• 민감 데이터 대량 다운로드
• 불가능한 이동이나 자동화된 토큰 사용 탐지
• 계정 위험 점수 상승 또는 사고 조사 시작

세션 폐기 기능이 실제로 모든 애플리케이션에 전달되는지 시험한다. IdP에서 로그아웃해도 애플리케이션 세션이나 장기 리프레시 토큰이 살아 있는 경우가 있다.

탐지 신호

• 휴면 계정이 갑자기 로그인하거나 관리자 역할을 요청한다.
• MFA 등록 또는 복구 수단이 로그인 직전에 변경된다.
• 동일 세션이 짧은 시간에 여러 지역·기기에서 사용된다.
• 관리되지 않는 기기에서 민감 데이터 다운로드가 증가한다.
• 서비스 계정이 대화형 로그인을 하거나 평소와 다른 API를 호출한다.
• 신규 OAuth 앱이 높은 범위의 동의를 받는다.
• 역할 활성화 직후 로그 수집·보안 정책이 변경된다.
• 퇴직·계약 종료 이후 토큰 사용이 발생한다.

경보에는 사용자명만 넣지 말고 기기 ID, 인증 방법, 세션 ID, 애플리케이션, 요청 행동, 데이터 등급, 최근 권한 변경을 함께 연결한다.

실패 모드와 교정

실패	결과	교정
사내망은 자동 신뢰	내부 침해 후 횡적 이동	요청별 신원·기기·행동 평가
MFA 한 번으로 장기 세션	탈취 토큰이 오래 사용됨	위험 기반 재인증과 짧은 관리자 세션
그룹 권한만 관리	직접 권한과 중첩 그룹 누락	유효 권한 정기 검토
서비스 계정에 장기 키	키 유출과 소유자 부재	워크로드 ID와 짧은 자격 증명
퇴직 시 계정만 잠금	앱 토큰·세션이 남음	전사 세션·키·공유 회수 절차
조건부 접근 예외가 무기한	약한 인증 경로 고착	소유자·사유·만료일 자동화

단계적 전환 순서

1. IdP와 SaaS·클라우드 계정 인벤토리를 만든다.
2. 관리자와 고위험 사용자의 MFA·별도 계정을 우선 적용한다.
3. 기기 준수 신호를 읽기 전용으로 수집해 영향도를 확인한다.
4. 민감 애플리케이션부터 조건부 접근을 경고 모드로 시험한다.
5. 다운로드·권한 변경 같은 고위험 행동에 추가 인증을 요구한다.
6. 서비스 계정의 장기 키를 워크로드 ID로 전환한다.
7. 예외와 휴면 권한을 정기적으로 만료한다.
8. 계정 탈취와 IdP 장애 시나리오로 복구를 훈련한다.

운영 체크리스트

• 사람·관리자·워크로드·외부 신원이 구분돼 있다.
• 가입·이동·퇴직 이벤트가 접근 회수와 연결돼 있다.
• 관리자 계정은 일상 계정과 분리돼 있다.
• 조건부 접근이 사용자·기기·세션·리소스·행동을 평가한다.
• 민감 작업에는 강한 인증 또는 추가 승인이 필요하다.
• 서비스 계정 장기 키에 소유자와 만료 계획이 있다.
• 세션과 리프레시 토큰을 전사적으로 폐기할 수 있다.
• 예외에는 소유자와 자동 만료가 있다.
• OAuth 동의·MFA 변경·역할 활성화 이벤트를 탐지한다.
• IdP 장애와 계정 탈취 복구를 정기적으로 훈련한다.

참고 기준

• NIST SP 800-207: Zero Trust Architecture
• NIST SP 800-207A: Cloud-Native Applications in Zero Trust Architectures
• CISA Zero Trust Maturity Model Version 2.0

결론

제로 트러스트는 네트워크 경계를 없애는 구호가 아니다. 신원의 상태와 요청 맥락을 매번 확인하고, 허용된 행동을 작게 유지하며, 위험이 바뀌면 세션을 다시 판단하는 운영 모델이다. 이 모델이 먼저 있어야 네트워크 분할과 프록시, SASE 같은 기술도 일관된 정책을 집행할 수 있다.