폐쇄망에서 Zero Trust 가 *의미하는 것* — 모순처럼 보이는 답
Zero Trust 는 *경계 없음* 을 가정하고, 폐쇄망은 *경계 있음* 을 전제. 둘이 충돌하는 게 아니라 *경계 안에서도 zero trust* 가 답이다.
고객사 보안팀과의 미팅에서 자주 받는 질문 — "Zero Trust 와 폐쇄망은 모순 아닌가요?"
표면적으로 맞다. Zero Trust 의 슬로건이 "never trust, always verify" — 즉 네트워크 경계를 신뢰하지 않는다. 폐쇄망의 전제는 경계로 분리. 충돌처럼 보임.
이 글은 그 오해의 분해. 답은 둘이 보완적 이고, 폐쇄망 안에서 zero trust 를 적용하는 것이 더 중요 하다는 것.
오해 — Zero Trust = 네트워크 경계 없음
Zero Trust 는 경계가 없어야 한다 가 아님. 경계가 있어도 그것을 단독 신뢰의 근거로 삼지 않는다 가 정확.
Zero Trust 가 *부정* 하는 것:
"내부 네트워크에 들어왔으니 신뢰한다"
Zero Trust 가 *권장* 하는 것:
"모든 요청에 대해 사용자·디바이스·컨텍스트 검증"폐쇄망은 외부 신뢰 안 함 — 그 위에 내부도 신뢰 안 함 을 쌓는 게 zero trust 폐쇄망.
폐쇄망 안에서 zero trust 가 왜 더 중요한가
직관과 반대인데, 폐쇄망일수록 zero trust 가 더 중요하다.
이유:
- 외부 공격자가 들어왔을 때 외부 차단으로 막혀 있다 가정. 그러나 내부자 위협 / 공급망 침해 / 손상된 자격 은 경계와 무관
- 폐쇄망의 외부 차단이 강할수록 내부의 수평 이동 (lateral movement) 으로 전체 네트워크가 위험
- 내부 사용자 수가 적어 익명성 ↑ — 사고 시 추적 어려움
경계가 강할수록 내부 검증의 중요도는 더 높다. Zero trust 의 진짜 용도가 폐쇄망 안 에 있다.
폐쇄망 zero trust 의 4 영역
영역 1 — Identity 우선 (네트워크 IP 기반 X)
내부 네트워크의 IP 만으로 권한을 주는 패턴 폐기. 사용자 / 서비스 계정 의 명시적 인증.
폐쇄망 특성 — 외부 IdP (Auth0, Okta) 사용 X. 내부 IdP 가 결정적. Keycloak / FreeIPA / 자체 IdP.
영역 2 — Workload identity (서비스 간)
서비스 간 호출도 서비스 계정 인증. mTLS 또는 SPIFFE/SPIRE.
폐쇄망 특성 — 인증서 발급 / 회전 / 폐기 가 오프라인 절차. 자체 PKI + 자동 회전 인프라.
영역 3 — Per-request 권한 검증
매 요청마다 권한 검증. 단순 RBAC 이 아니라 컨텍스트 (시간, 위치, 디바이스 상태) 까지.
영역 4 — Audit 모든 행동
zero trust 의 기본 — 모든 행동이 기록된다는 가정으로 사용자가 행동. 감사 추적 완전 해야.
폐쇄망 특성 — 외부 SIEM 사용 X. 내부 SIEM (ELK / Splunk on-prem / 자체) 운영.
그래서 폐쇄망 + zero trust 의 결과
위 4 영역을 모두 적용한 폐쇄망:
- 외부 — 폐쇄망 자체로 차단
- 내부 사용자 익명성 — Identity 우선으로 차단
- 서비스 간 신뢰 — workload identity 로 차단
- 과한 권한 — per-request 검증으로 차단
- 사고 시 인과 추적 — 완전 audit 로 가능
이게 zero trust 폐쇄망. 외부 보호 + 내부 zero trust = 겹친 보호.
일반 zero trust 가이드 와의 차이
일반 가이드 (클라우드 시점) | 폐쇄망 적용
─────────────────────────────────┼──────────────────────────
BeyondCorp (Google) 사용 사례 | 내부 IdP 자체 운영
SaaS IdP (Auth0, Okta) | 자체 IdP (Keycloak / FreeIPA)
SPIFFE/SPIRE w/ SaaS controlplane | 자체 SPIRE controlplane
SaaS SIEM | 자체 SIEM원리는 같지만 모든 구성요소가 self-hosted. 그래서 운영 비용 이 클라우드 zero trust 의 1.5~2배. 그러나 폐쇄망 환경의 정의상 다른 선택지가 없음.
누가 이 글을 읽으면 좋은가
폐쇄망을 운영하는 보안 책임자. "우리는 폐쇄망이라 zero trust 와 무관" 가정을 재검토 하기 바람. 폐쇄망일수록 zero trust 가 결정적. 4 영역 중 어느 것도 적용 안 한 폐쇄망은 외부 차단만 강한 상태 — 내부 사고 발생 시 전체가 위험.
비슷한 글
작은 팀의 ISO 27001 — 인증 프로젝트가 *조직 변형 프로젝트* 인 이유
ISO 27001 인증을 *문서 작업* 으로 보고 시작하면 6개월 후 좌절. 인증은 *조직 운영 자체* 를 바꾼다. 작은 팀의 *현실적* 도입 가이드.
백재민
어떤 온프레 환경이든 들어가기 — CollabOps 가 보는 5가지 환경 분류
고객이 *k8s 가 없어도, 인프라 전문성이 없어도*, *기존 시스템이 무엇이든* 들어갈 수 있어야 한다. 17개 PoC 에서 본 온프레 환경 5분류와 각각의 도입 경로.
백재민
FIPS 140-3 컴플라이언스의 *엔지니어링* 비용 — 한 고객을 위해 6개월
한 미국 연방 고객을 위해 *FIPS 140-3 검증된 암호화* 만 쓰도록 시스템 전체를 다시 짠 6개월. 그 작업의 시간·돈·정치 비용.
백재민