"클라우드 보안은 제로트러스트로 다시 짜야" — NetSec-KR 2026 발표 정리

• NetSec-KR 2026(KISA 주최)에서 부산대 **최윤호 교수가 '제로트러스트'를 주제로 발표
  • 핵심 메시지: "클라우드 시대에 내부망 기반 경계 보안은 이미 무너졌고, 접속할 때마다 다시 검증하는 구조로 다시 짜야 한다**"
  • 대상 청중은 AI 전환기에 늘어나는 클라우드 공격 표면을 어떻게 방어할지 고민 중인 기업 보안 담당자들

제로트러스트가 뭘 바꾸는가

• 한 번 로그인했다고 계속 신뢰하지 않음 — 접속 순간마다 재검증, 필요 범위까지만 접근
• 제로트러스트의 4대 요소
  • 지속 검증(Continuous verification) — 인증 후에도 계속 확인
  • 최소 권한(Least privilege) — 필요한 만큼만 허용
  • 침해 전제(Assume breach) — 뚫렸다고 가정하고 설계
  • 자산·권한 세분화 관리 — 조각낸 단위로 통제
• 많은 조직이 "로그인만 강화하면 안전"이라 오해하지만 실제 공격의 상당수는 인증 이후에 벌어짐
  • 계정 탈취 → 과도한 권한 악용 → 세션 악용 → 내부 자원 이동(측면 이동) 패턴
  • 다중인증(MFA)만으로는 부족, 기기 상태 + 행위 이상 + 자산 중요도까지 같이 봐야 함

클라우드 사고는 '고수 해킹'보다 '기본 관리 실패'에서 시작

• 최 교수가 꼽은 단골 문제 유형
  • 잘못된 설정 (misconfiguration)
  • 과도한 권한 부여
  • 외부에 노출된 서비스
  • 취약한 계정 관리
  • 안전하지 않은 인터페이스·API
• 복잡한 신규 공격 기법보다 운영 미숙·관리 부실이 사고의 진짜 출발점
  • 공개 저장소나 관리 콘솔이 외부 노출 → 공격자가 빠르게 내부 자원으로 확장
  • 관리자 계정에 필요 이상 권한 부여되는 경우도 흔함
  • 멀티클라우드에서는 서비스가 빠르게 늘지만 전체 자산 파악이 안 돼 쉐도우 IT·미관리 자원이 새 취약점이 됨

대응: 하나의 솔루션으로 못 막는다

• "클라우드 보안은 한두 개 솔루션으로 해결 불가능" — 최 교수
  • 인프라 보안 + 사용자 인증 + 접근통제 + 네트워크 보호 + 로그 수집 + 모니터링 + 데이터 보호 + 키 관리가 전체 구조로 맞물려야 함
• 인증·권한의 세분화
  • ID/비밀번호 중심 한계 → 다중인증 + IAM + PAM + RBAC + ABAC 조합
  • 사용자가 누구인지만 보지 말고 어떤 조건에서 어떤 자원에 어느 범위까지 접근 가능한지 세밀 관리
  • 관리자 권한은 반드시 분리하고 기록을 남겨야 함
• VPN → ZTNA(Zero Trust Network Access)
  • VPN은 접속 허용 이후 내부망에 넓은 접근 여지를 남김
  • ZTNA는 필요한 자원에만 제한적으로 접근하게 해 피해 확산을 구조적으로 줄임
• 통합 모니터링
  • 접속 기록·권한 변경·시스템 이벤트·네트워크 흐름을 한데 모아 이상 징후 포착
  • 제로트러스트는 '막는 보안'이 아니라 '계속 들여다보고 의심하고 대응하는 운영 모델'

관리형 보안 서비스가 뜨는 이유

• SASE·SSE 기반 구조, 리스크 관리 프레임워크, 클라우드 네이티브 보안 플랫폼, 침해 대응 연계를 묶어야 실제 현장에서 보안 수준이 올라감
  • 보안 인력이 충분하지 않은 조직일수록 통합형 운영 체계가 더 중요해짐
• 최 교수 마무리 — "AI 전환이 빨라질수록 클라우드 의존도와 공격 표면이 커진다. 경계형 보안만으론 한계가 분명하다. 제로트러스트는 이제 선택이 아니라 기본 보안 원칙"

---

기술 맥락

제로트러스트(Zero Trust)는 2010년 포레스터 리서치의 존 킨더바그가 처음 제안한 개념이에요. 원칙은 "Never trust, always verify"인데, 기존 성곽 모델(방화벽 한 겹 두르고 안쪽은 신뢰)이 클라우드·원격근무 시대에 통하지 않기 때문에 등장했어요. 2021년 바이든 행정명령 이후 미국 연방정부가 의무화하면서 산업계 표준으로 자리잡았고, 한국도 KISA 주도로 도입이 가속되고 있어요.

IAM/PAM/RBAC/ABAC가 왜 같이 나오냐 하면, 이들이 접근통제의 서로 다른 레이어를 담당하거든요. IAM(Identity and Access Management)은 계정 전체 생명주기, PAM(Privileged Access Management)은 관리자·루트 같은 특권 계정, RBAC(Role-Based)는 역할 단위, ABAC(Attribute-Based)는 속성(시간·위치·기기) 단위 통제예요. 세밀한 제어를 하려면 이 네 개를 겹쳐서 써야 한다는 거죠.

ZTNA(Zero Trust Network Access)가 VPN을 대체하는 흐름도 주목할 만해요. VPN은 한번 연결되면 '내부망에 있는 상태'가 되어 접근 범위가 넓은 반면, ZTNA는 사용자-애플리케이션 단위로 마이크로 터널을 만들어서 필요한 자원에만 접근시켜요. 랜섬웨어 측면 이동(lateral movement) 방어에 결정적인 차이를 만들거든요.

SASE(Secure Access Service Edge)와 SSE(Security Service Edge)는 네트워크 보안 기능을 클라우드 엣지에서 제공하는 아키텍처예요. SASE는 네트워킹+보안 통합, SSE는 그중 보안 부분만 떼어낸 개념이고, 둘 다 "지점마다 보안 장비 두지 말고 클라우드에서 일괄 적용하자"는 방향이에요.