[시사금융용어] 제로 트러스트(Zero Trust)



◆ 제로 트러스트(Zero Trust)는 '아무것도 신뢰하지 않는다'는 의미를 담은 사이버 보안 모델이다.

기존에는 시스템상 보안 시스템을 통과한 내부 사용자에 대해서는 신뢰하되, 외부로부터의 공격을 경계하는 개념의 보안 방식이 운영돼 왔다. 그러나 제로 트러스트는 내부에 접속한 사용자라고 하더라도 신뢰하지 않고 검증하는 것을 기본으로 한다.

전체 시스템을 바라볼 때 안전한 영역이나 사용자가 전혀 없다는 것을 기본 시각으로 하고, 내부 자원에 접속하는 모든 것을 철저하게 검증하는 것이다.

금융보안원 보고서에 따르면 최근 원격근무와 클라우드 등 금융회사의 디지털 연결이 복잡해지고, 보안 경계가 모호해짐에 따라 보안 위협은 금융회사 내부에서도 발생하고 있다.

특히 최근에는 재택·원격근무에 사용되는 시스템의 취약점을 이용해 내부 직원 계정을 탈취하고 랜섬웨어를 유포하는 등 공격방식도 다변화되는 모습이다.

이에 기업 내부에서 접속한 사용자를 포함해 모든 사용자를 기본적으로 신뢰하지 않고 검증하는 것을 기본으로 하는 제로 트러스트 전략이 확산되고 있다.

제로 트러스트를 구현하기 위한 차세대 보안 솔루션에는 신원 기반으로 자원 접근을 제어하는 '소프트웨어 정의 경계(SDP)'와 사용자 중심의 강화된 인증을 적용해 안전한 접속을 제공하는 '제로 트러스트 네트워크 액세스(ZTNA)' 등이 있다.

금융위원회도 최근 오픈뱅킹과 관련한 보안성 강화를 위해 제로 트러스트의 개념을 도입하고, 참여기관을 대상으로 한 보안점검을 체계화하겠다고 밝힌 바 있다. (정책금융부 김예원 기자)

(서울=연합인포맥스)