제로 트러스트와 제로 지식 개념은 모두 오늘날 사이버 보안 트렌드에서 중요한 구성 요소이지만, 두 개념은 동일하지 않습니다.
어느 정도 비슷하게 들리고 목적을 공유하지만 제로 지식은 끊임없이 진화하는 사이버 위협에 대응할 수 있는 보안 시스템을 구축하는 데 있어 제로 트러스트보다 한 단계 더 나아갑니다.
실제로 영지식 증명은 제로 트러스트 보안 모델의 아이디어를 현실화하는 데 사용될 수 있습니다. 하지만 계속하기 전에 이 두 가지 개념이 무엇인지 명확히 알아봅시다.
제로 트러스트란 무엇인가요?
간단히 말해 제로 트러스트 개념의 핵심은 “아무도 신뢰하지 않고 모두를 확인한다”는 것입니다. 따라서 제로 트러스트 프레임워크에서는 네트워크와 사용자, 네트워크와 하드웨어 및 소프트웨어 구성 요소, 조직과 사용자 간에 신뢰가 존재하지 않습니다.
제로 트러스트 보안은 그렇지 않다는 것이 입증되기 전까지는 모든 사람과 모든 것이 위협이라는 가정 하에 애플리케이션과 배후의 데이터에 대한 액세스를 허용하기 전에 항상 일종의 인증을 요청합니다. 제로 트러스트 프레임워크 내의 모든 사용자는 인증과 권한 부여를 받고 보안 상태 평가를 먼저 통과해야 합니다.
또한 제로 트러스트는 IT 관리자가 모든 사용자, 디바이스, 시스템에 대한 완벽한 가시성을 확보할 수 있도록 지원합니다. 이는 규정 준수를 보장할 뿐만 아니라 사용자 인증정보 유출로 인한 사이버 공격을 방지하고 데이터 유출을 완화하는 데 도움이 됩니다. 이처럼 제로 트러스트 보안 모델을 채택해야 하는 이유는 여러 가지가 있습니다.
영지식이란 무엇인가요?
영지식 개념은 민감한 정보와 같은 기밀 정보를 공개하지 않고도 누군가가 기밀 정보를 가지고 있다는 것을 증명할 수 있는 방법을 알아내려고 합니다. 영지식 암호화의 맥락에서 영지식 보안은 사용자가 서비스 제공업체와 통신하기 전에 사용자의 데이터가 암호화되도록 보장합니다. 또한 제공업체는 알 수 없고 사용자만 해당 키를 가지고 있는 고유 키로 데이터를 해독할 수 있습니다.
따라서 영지식 암호화를 사용하면 사용자 외에는 아무도 암호화되지 않은 형태의 데이터에 액세스할 수 없습니다. 이상적으로는 사용자 외에는 아무도 암호화된 형태의 데이터에 액세스할 수 없어야 하지만, 파이브 아이즈, 나인 아이즈, 14 아이즈 연합에 속한 국가들은 그렇지 않다고 말합니다.
사이버 보안에서 제로 지식은 사용자에 대한 민감한 정보를 노출하지 않고도 인증과 같은 작업을 수행할 수 있게 해주므로 제로 트러스트 모델의 구성 요소로 볼 수 있습니다.
제로 트러스트와 제로 지식: 유사점과 차이점
제로 트러스트 개념의 캐치프레이즈가 “아무도 신뢰하지 않는다”라면 제로 지식의 슬로건은 “우리는 아무것도 모른다”입니다. 이 두 가지 개념은 전반적인 데이터 보안과 사이버 보안 강화라는 목적을 공유하지만, 동일한 방식으로 작동하지는 않습니다.
사이버 보안에서 제로 지식은 사용자에 대한 민감한 정보를 노출하지 않고 인증과 같은 작업을 수행할 수 있으므로 제로 트러스트 모델의 구성 요소로 볼 수 있습니다.
영지식 모델은 서비스 제공업체가 데이터에 대해 ‘제로 지식’을 가지고 있기 때문에 데이터 프라이버시를 보호하는 데 활용할 수 있습니다. 대부분의 경우 이 데이터는 비밀번호, 로그인 자격 증명 및 기타 민감한 정보로 구성됩니다. 많은 유형의 2단계 인증(2FA) 및 다중 인증(MFA)은 영지식 모델을 활용하므로 신원 확인을 위해 비밀을 공유하거나 민감한 정보를 제공할 필요가 없습니다.
2FA와 MFA는 모두 제로 트러스트 프레임워크의 중요한 구성 요소이며 암호화 및 데이터 분리를 통해 더욱 지원됩니다. 제로 지식과 제로 트러스트 보안 프레임워크를 모두 활용하는 서비스 제공업체는 내부 및 외부 위협으로부터 시스템을 보호하고 데이터 유출 시 민감한 데이터가 손상되지 않도록 보장할 수 있습니다.
제로 트러스트 대 제로 지식: 사이버 보안에 더 중요한 것은 무엇인가요?
사이버 보안 전문가가 제로 트러스트와 영지식 보안 개념 중 하나를 선택해야 할 이유는 없습니다. 사이버 보안에서 이 두 가지가 어떻게 작동하는지 파악한 후에는 제로 트러스트 보안 모델의 핵심 구성 요소로 제로 지식을 볼 수 있습니다.
또한 제로 트러스트 개념의 구현은 이론적으로는 간단해 보일 수 있지만 실제로는 말처럼 쉽지 않다는 점에 유의해야 합니다.