SK쉴더스 Headline

선언이 아닌 실행 가능한 제로트러스트_SASE를 중심으로 다시 설계하는 현실적 보안

기업의 업무 환경은 더 이상 하나의 내부망 안에 머물지 않는다. 핵심 업무 시스템은 On-Premise에서 Cloud와 SaaS로 이동했고, 사용자는 사무실뿐 아니라 재택, 외부 현장, 이동 중 환경에서도 기업 자원에 접근한다. NIST는 이러한 변화를 배경으로 제로트러스트를 정적 네트워크 경계 중심 보안에서 사용자·자산·리소스 중심 보호로 이동하는 사이버보안 패러다임으로 정의한다. 특히 제로트러스트는 원격 사용자, 개인 단말(BYOD), 기업 경계 밖에 존재하는 Cloud 기반 자산을 전제로 등장한 접근 방식이라는 점에서, 오늘의 업무 환경과 직접적으로 맞닿아 있다.

문제는 많은 조직이 제로트러스트의 필요성을 공감하지만, 실제 구현 단계에서는 개념적 선언에 머무는 경우가 많다는 점이다. 그 이유는 제로트러스트가 단일 솔루션 도입으로 완성되는 프로젝트가 아니라, 네트워크, 사용자, 디바이스, 애플리케이션, 데이터, 운영 체계 전반을 다시 설계하는 구조적 전환이기 때문이다. CISA는 이를 반영해 제로트러스트를 로드맵과 성숙도 모델로 설명하며, 조직마다 서로 다른 출발점을 가진다. 다시 말해, 제로트러스트의 핵심은 ’무엇을 도입할 것인가’보다 ‘어떤 순서와 구조로 실행할 것인가’에 있다.

이런 맥락에서 SASE는 제로트러스트를 현실로 옮기는 현실적인 출발점 중 하나로 주목된다. Microsoft Security는 SASE를 네트워킹과 보안을 단일 Cloud 기반 서비스로 통합하는 아키텍처로 설명하며, 대표 요소로 SD-WAN, SWG, CASB, ZTNA, FWaaS를 제시한다. 이 구조는 분산된 사용자, Cloud 애플리케이션, 지사, 파트너, 데이터 흐름을 하나의 정책 프레임에서 다루게 해주며, 제로트러스트 원칙을 실제 네트워크에 구현하는 데 유용한 기반이 될 수 있다. 다만 SASE는 제로트러스트 그 자체가 아니라, 제로트러스트 원칙을 네트워크에 구현하기 위한 구조적 기반으로 이해하는 것이 적절하다.

본 보고서는 제로트러스트를 이상적 구호가 아니라 실행 가능한 보안 모델로 해석하는 데 목적이 있다. 이를 위해 먼저 제로트러스트의 핵심 원칙과 흔한 오해를 정리한 뒤, SASE가 어떻게 제로트러스트 구현의 현실적 기반이 될 수 있는지 설명한다. 이후 SASE 중심의 4단계 구현 모델을 제시하고, 네트워크 접근 통제, 사용자·디바이스 중심 접근 제어, SaaS 및 Cloud 애플리케이션 통제, 데이터 흐름과 사용자 행위 기반 보안으로 이어지는 실행 흐름을 단계적으로 살펴본다. 마지막으로 제로트러스트를 운영 가능한 체계로 만들기 위해 왜 SASE가 중요한지를 정리하고, 이제는 선언이 아닌 실행 가능한 제로트러스트가 필요한 이유를 결론으로 제시하고자 한다.

제로트러스트는 흔히 “아무도 믿지 말고 항상 검증하라”는 문장으로 요약된다. 그러나 NIST는 제로트러스트를 단순한 슬로건이 아니라, 네트워크 위치나 자산 소유만으로 암묵적 신뢰를 부여하지 않는 구조로 설명한다. 인증과 인가는 기업 자원에 대한 세션이 수립되기 전에 수행되어야 하며, 보호의 초점은 네트워크 구간이 아니라 리소스 자체에 맞춰져야 한다. 이처럼 제로트러스트의 본질은 불신이 아니라, 신뢰를 더 작고 더 자주 검증 가능한 단위로 재구성하는 것에 가깝다.

제로트러스트의 핵심 원칙은 세 가지로 요약할 수 있다. 1) ‘암묵적 신뢰의 제거’, 2) ‘최소권한(least privilege)과 요청 단위(per-request) 접근 통제’, 3) ‘동적 정책과 지속적 재평가’다. CISA는 제로트러스트를 ‘각 요청마다 최소권한 원칙에 따라 정교하게 접근 여부를 판단하는 방식’으로 설명한다. 여기서 중요한 것은 한 번의 인증으로 신뢰를 부여하는 것이 아니라, 세션 단위로 접근을 통제하고 정책에 따라 지속적으로 재평가하는 점이다. 다시 말해, ‘내부망 안에 있으니 안전하다’는 기존 가정을 버리고, 누가 어떤 상황에서 어떤 리소스에 접근하는지를 계속 확인해야 한다는 뜻이다.

현장에서 자주 발생하는 오해도 있다. 제로트러스트를 MFA, ZTNA, 또는 특정 보안 제품 하나와 동일시하는 것이다. 그러나 CISA는 제로트러스트를 Identity, Devices, Networks, Applications and Workloads, Data의 다섯 축과 가시성 및 분석, 자동화 및 오케스트레이션, 거버넌스의 세 가지 교차 기능으로 설명한다. 따라서 제로트러스트는 특정 제품명이 아니라, 신뢰를 부여하는 방식 전체를 다시 설계하는 운영 원칙으로 이해해야 한다.

또 다른 오해는 제로트러스트를 ‘한 번에 완성해야 하는 목표 상태’로 보는 관점이다. 그러나 CISA의 성숙도 모델은 Traditional, Initial, Advanced, Optimal의 단계적 구조를 제시하며, 특히 Initial 단계를 통해 조직마다 출발점이 다르다는 현실을 반영한다. 즉, 제로트러스트는 완성형 도면을 한 번에 구현하는 접근이 아니라, 현재 환경을 기준으로 조금씩 성숙도를 높여 가는 여정에 가깝다.

제로트러스트가 ‘무엇을 신뢰하지 않을 것인가’를 설명하는 보안 원칙이라면, SASE는 그 원칙을 분산된 업무 환경 위에 ‘어떻게 구현할 것인가’를 설명하는 아키텍처 모델이다. Microsoft Security는 SASE를 네트워킹과 보안을 단일 Cloud 기반 서비스로 통합하는 구조로 설명하며, 하이브리드 업무와 분산 인프라에서 사용자·기기·위치 전반에 일관된 보호를 적용하는 방식으로 정의한다.

중요한 점은 제로트러스트와 SASE가 동일 개념이 아니라는 점이다. 제로트러스트가 정체성·맥락·정책 중심으로 신뢰를 재구성하는 보안 원칙이라면, SASE는 WAN과 네트워크 보안 기능을 Cloud에서 통합 제공하는 구현 프레임워크다. Microsoft Learn은 이에 대해 제로트러스트 전략을 결합하면, 기본적으로 어떤 사용자나 기기도 신뢰하지 않는 원칙을 네트워크 엣지에서 일관되게 집행할 수 있다고 설명한다. 즉, 제로트러스트가 ‘왜’의 문제라면, SASE는 네트워크·접속·트래픽 보호 차원에서 ‘어떻게’의 문제를 풀어주는 구조다.

Cato Networks는 이러한 SASE 가치를 설명하는 구현 사례 가운데 하나다. Cato Networks는 자사 플랫폼을 단일 정책 및 콘솔, 단일 패스 검사, 단일 데이터레이크, 글로벌 백본, 운영 간편성을 갖춘 구조로 설명한다. 이는 네트워크, 보안, 접근, 데이터 보호를 별개의 시스템으로 붙이는 방식이 아니라, 정책과 가시성을 하나의 운영 프레임으로 수렴하는 방식이라는 점에서 제로트러스트 구현 요구와 비교적 잘 맞물린다.

이러한 관점에서 SASE 기반 제로트러스트 아키텍처는 네 가지 특징으로 정리할 수 있다. 1) ‘네트워크와 보안의 Cloud 기반 통합’, 2) ‘정체성과 맥락 중심의 접근 통제’, 3) ‘세분화와 침해 영향 최소화를 위한 구조적 기반’, 4) ‘정책과 가시성의 통합 운영’이다. 이 네 가지는 모두 제로트러스트가 요구하는 ‘기본 신뢰 제거’를 네트워크 및 접속 환경에서 실현하는 방향과 맞닿아 있다. 따라서 SASE는 단순한 네트워크 고도화 수단이 아니라, 제로트러스트를 실제 운영 가능한 아키텍처로 전환하는 중심축이 될 수 있다.

그림 2. 사용자·지사·Cloud·SaaS를 하나의 정책으로 연결하는 SASE 기반 제로트러스트 구조

■ 단계적 접근 모델 개요: SASE를 중심으로 한 4단계 제로트러스트 구현

제로트러스트는 한 번에 완성되는 아키텍처가 아니다. CISA는 제로트러스트를 성숙도 모델로 설명하며, 조직이 모두 같은 수준에서 시작하지 않는다는 현실을 반영해 점진적 고도화를 전제로 한다. 즉, 제로트러스트는 ‘완성 상태’를 선언하는 것이 아니라, 현재 상태에서 어디부터 시작해 어떤 순서로 넓혀갈 것인가를 구조화하는 과정이다.

이런 방향을 SASE 중심으로 해석하면, 제로트러스트 구현은 크게 네 단계로 정리할 수 있다. 첫째는 ‘네트워크 접근 통제의 재정의’, 둘째는 ‘사용자·디바이스 중심 접근 제어’, 셋째는 ‘SaaS 및 Cloud 애플리케이션 통제’, 넷째는 ‘데이터 흐름과 사용자 행위 기반 보안’이다. 이 4단계는 별도의 개별 과제가 아니라, 네트워크에서 사용자로, 사용자에서 애플리케이션으로, 애플리케이션에서 데이터로 보안의 중심을 이동시키는 흐름이다.

이 단계 모델의 장점은 추상적인 제로트러스트를 실행 가능한 구조로 나누어 준다는 데 있다. 네트워크 구조를 먼저 바꾸고, 그 위에서 사용자와 단말의 정합성을 검증하며, 최종적으로 실제 업무가 이루어지는 SaaS 공간과 데이터 자체를 중심으로 통제를 고도화하는 방식은, 기술과 운영을 함께 고려한 현실적 전환 경로가 된다. 이때 SASE는 각 단계가 분리되지 않고, 동일한 정책·가시성·운영 구조 안에서 확장되도록 연결해 주는 역할을 한다.

■ 1단계 – 네트워크 접근 통제: 경계 없는 네트워크의 재정의

제로트러스트의 첫 단계는 내부망을 더 강하게 만드는 것이 아니라, 내부망이라는 이유만으로 신뢰를 부여하던 구조를 폐기하는 것이다. NIST는 네트워크 위치가 더 이상 자원의 보안 상태를 판단하는 핵심 요소가 아니라고 설명한다. 이는 곧 ‘사내망이 상대적으로 안전하다’는 전통적 가정이 더 이상 유효하지 않다는 뜻이다.

Microsoft Learn은 제로트러스트 네트워크 구현에서 네트워크 세분화, SASE 및 ZTNA, 강력한 암호화, 네트워크 가시성 및 위협 탐지, 정책 기반 접근 제어를 우선 요소로 제시한다. 이는 모든 사용자를 넓은 네트워크에 먼저 연결한 뒤 통제하는 방식에서 벗어나, 초기 접속부터 정책 기반 경로를 제공하는 구조로 이동해야 한다는 의미다.

Cato Networks는 자사 플랫폼이 단일 정책 및 콘솔, 단일 패스 검사, 글로벌 백본 위에서 정책을 집행한다고 설명한다. 이 구조는 네트워크 접근 통제가 더 이상 단순한 연결 허용의 문제가 아니라, 정책이 적용되는 전달 구조를 먼저 확보하는 문제임을 보여준다. 첫 단계의 핵심은 네트워크를 신뢰의 경계로 두는 것이 아니라, 정책 기반 접근의 기반으로 재정의하는 것이다.

그림 4. 기존 중앙집중형 VPN 구조와 SASE 기반 정책 중심 접속 구조의 비교

제로트러스트의 두 번째 단계는 접속 구조 위에서 누가, 어떤 상태의 단말로, 어떤 조건에서 접근할 수 있는가를 정의하는 단계다. NIST는 세션 전에 사용자와 디바이스 모두에 대한 인증과 인가가 수행되어야 한다고 설명한다. 즉, 계정 검증만으로는 충분하지 않으며, 사용자 정체성과 단말 상태를 함께 보는 것이 핵심이다.

Microsoft Learn은 Identities를 제로트러스트 통제 평면으로, Endpoints를 데이터가 실제로 흐르는 공격면으로 설명한다. 사용자는 강력한 인증과 최소권한 원칙, 비정상 행위 평가를 통해 검증되어야 하고, 디바이스는 상태와 준수 여부를 지속적으로 모니터링해야 한다. 이는 사용자와 디바이스가 서로 다른 보안 과제가 아니라, 동일한 접근 결정의 두 축이라는 의미다.

Microsoft는 ZTNA를 Need-to-know, Least-privileged, Continuously validated 구조로 설명한다. Cato Networks의 Universal ZTNA는 여기에 더해 Identity, Device posture, Geography, Application risk를 함께 반영한다고 밝힌다. 즉, 이 단계의 목적은 넓은 네트워크 접속을 허용하는 것이 아니라, 사용자와 단말의 정합성을 기준으로 앱 단위·세션 단위 접근을 설계하는 것이다.

제로트러스트의 세 번째 단계는 보안 통제의 중심을 네트워크와 사용자 인증에서 벗어나, 실제 업무가 이루어지는 SaaS 및 Cloud 애플리케이션 자체로 확장하는 단계다. CISA는 제로트러스트 성숙도 모델에서 Applications and Workloads를 핵심 축으로 분리해, 애플리케이션 통제가 독립적인 보안 과제임을 분명히 한다.

Microsoft Learn은 애플리케이션 접근이 맥락 정보를 반영해 이루어져야 한다고 설명한다. 이는 SaaS 통제가 단순히 로그인 허용 여부가 아니라, 누가 어떤 상황에서 어떤 앱에 어떤 조건으로 접근하는가를 세분화해야 한다는 뜻이다.

이 단계의 출발점은 가시성이다. Microsoft는 CASB를 기업 사용자와 Cloud 서비스 제공자 사이의 보안 정책 집행 지점으로 정의하고, Shadow IT 가시성, 세분화된 Cloud 제어, 위협 예방, DLP를 핵심 기능으로 설명한다. Cato Networks는 자사 CASB가 Shadow IT와 Shadow AI에 대한 가시성을 제공하고, risk score와 인라인 모니터링, 테넌트 제한을 지원한다고 밝힌다. 이는 SaaS 통제가 Cloud 앱 사용을 보이게 하고, 허용 범위를 세밀하게 조정하며, 앱 안의 사용자 행위를 정책화하는 것으로 확장되어야 함을 보여준다.

제로트러스트의 마지막 단계는 네트워크, 사용자, 애플리케이션 통제를 거쳐 데이터 자체로 보안의 중심을 이동시키는 단계다. CISA와 Microsoft Learn은 데이터를 시스템, 디바이스, 네트워크, 애플리케이션, 인프라, 백업에 존재하는 모든 구조화·비구조화 데이터와 메타데이터로 설명한다. 이는 제로트러스트의 최종 질문이 ‘누가 들어왔는가’가 아니라, ‘무슨 데이터가 어디로 이동했고, 누가 어떻게 사용했는가’가 되어야 함을 의미한다.

Microsoft Learn은 데이터 인벤토리 유지, 분류 및 라벨링, 정지·전송·사용 중 데이터 보호, 그리고 데이터 유출 감지 및 차단을 데이터 축의 핵심 목표로 제시한다. NSA도 데이터를 보호하려면 어떤 데이터가 있는지, 그리고 그 데이터가 어떻게 이동하고 접근되는지 추적하는 것이 필요하다고 설명한다. 이처럼 데이터 보안은 저장 위치만 보호하는 문제가 아니라, 데이터의 이동과 사용 행위 전체를 통제하는 문제다.

이 단계에서 핵심 기능은 DLP다. Microsoft Learn의 DLP 가이드는 민감 데이터를 식별, 모니터링, 자동 보호할 수 있으며, 엔터프라이즈 앱, 장치, 인라인 웹 트래픽, 사용자 활동, 전송 방법 전반에 걸쳐 작동한다고 설명한다.

Cato Networks 역시 자사 DLP가 private applications와 SaaS applications로 가는 트래픽을 검사하고, CASB Application Control을 확장해 콘텐츠 검사, 업로드/다운로드 모니터링, 미리 정의된 데이터 유형, 암호화된 파일 감지 등을 지원한다고 밝힌다. 즉, 마지막 단계의 핵심은 데이터를 보호 객체로만 보는 것이 아니라, 데이터와 상호작용하는 행위 전체를 보호 대상으로 삼는 것이다.

제로트러스트는 기술보다 운영이 더 중요하다. CISA는 제로트러스트를 설명할 가시성 및 분석, 자동화 및 오케스트레이션, 거버넌스를 핵심 교차 기능으로 제시한다. 또한 제로트러스트가 가시성을 향상시키고 자동화를 통해 빠른 대응을 가능하게 한다고 설명한다. 이는 제로트러스트의 성패가 운영의 일관성과, 통합적인 상황 인지, 신속하고 유기적인 대응 조치 가능 여부에 달려있음을 의미한다.

이 점에서 SASE의 운영 가치는 분명하다. Microsoft Security는 SASE가 단일 Cloud 제공 플랫폼에서 네트워킹과 보안을 통합해 복잡성 감소, 관리 단순화, 관리 효율화를 가능하게 한다고 설명한다. Cato Networks는 여기에 더해 운영 단순화, 단일 정책 및 콘솔, 단일 패스 검사, 단일 데이터 레이크, 풀스택 가시성을 강조한다. 이는 제로트러스트 운영에서 필요한 정책 일관성, 가시성 통합, 자동화 기반 대응, 운영 부담 감소, 단계적 확장성을 하나의 구조 안에서 제공할 수 있음을 뜻한다.

또한 NIST의 SP 1800-35는 19개의 구현 예시와 모범 사례를 제공하며, 각 조직이 이를 자사 환경에 맞는 제로트러스트 구조로 재구성할 수 있도록 돕는다. 이는 곧 제로트러스트에 정답이 없으며, 누가 더 완벽한 구조를 설명하느냐가 아니라, 누가 더 현실적인 첫 단계를 밟고 그것을 끊기지 않게 확장하느냐가 중요하다는 것을 뜻한다.

오늘날 제로트러스트는 선택적 실험이 아니라, Cloud·원격근무·SaaS·BYOD가 일상화된 환경에서 조직이 반드시 받아들여야 하는 새로운 보안 운영 원칙이 되었다. 문제는 제로트러스트가 단지 추상적 선언으로 끝날 때에는 아무런 변화도 만들지 못한다는 점이다. 따라서 중요한 것은 제로트러스트의 실행 여부가 아니라, 현실적인 실행 방안이다.

본 보고서에서 제시한 SASE 중심의 단계적 접근은 그 실행 가능성에 대한 현실적 제언이다. 네트워크 접근 구조를 바꾸고, 사용자와 디바이스를 기준으로 접근을 재설계하며, SaaS와 Cloud 애플리케이션 안으로 정책을 확장하고, 마지막으로 데이터 흐름과 사용자 행위를 통제하는 흐름은 제로트러스트를 선언에서 실행으로 옮기는 구체적 경로를 제공한다. 이 과정에서 SASE, 특히 Cato Networks와 같은 통합형 SASE 플랫폼은 정책 일관성, 가시성, 자동화, 운영 단순성 측면에서 제로트러스트를 운영 가능한 구조로 바꾸는 핵심 기반이 될 수 있다. 이러한 점에서 제로트러스트의 미래는 더 강한 선언이 아니라, 더 현실적인 실행에 달려 있다고 볼 수 있다. 그리고 그 실행의 출발점으로서, SASE는 충분히 실용적이고 설득력 있는 선택지가 될 수 있다.

그림 7. 선언형 제로트러스트에서 실행형 제로트러스트 변화

[1] National Institute of Standards and Technology. (2020). Zero Trust Architecture (NIST SP 800-207).

[2] National Institute of Standards and Technology. (2025). Implementing a Zero Trust Architecture: High-Level Document (NIST SP 1800-35).

[3] Cybersecurity and Infrastructure Security Agency. (2023). Zero Trust Maturity Model Version 2.0.

[4] Cybersecurity and Infrastructure Security Agency. (2023). CISA Releases updated Zero Trust Maturity Model.

[5] Cybersecurity and Infrastructure Security Agency. Zero Trust.

[6] Microsoft Security. (2025). What Is Secure Access Service Edge (SASE)?

[7] Microsoft Learn. (2025). Secure networks with SASE, Zero Trust, and AI.

[8] Microsoft Learn. (2025). Zero Trust deployment for technology pillars overview.

[9] Microsoft Learn. (2024). CISA Zero Trust Maturity Model for the applications and workloads pillar.

[10] Microsoft Learn. (2024). CISA Zero Trust Maturity Model for the data pillar.

[11] Microsoft. (2025). What Is a Cloud Access Security Broker (CASB)?

[12] Microsoft Learn. (2024). Overview - Microsoft Defender for Cloud Apps.

[13] Microsoft Learn. (2026). Learn about data loss prevention.

[14] National Security Agency. (2024). Advancing Zero Trust Maturity Throughout the Data Pillar.

[15] National Security Agency. (2024). Advancing Zero Trust Maturity Throughout the Visibility and Analytics Pillar.

[16] Cato Networks. SASE Platform.

[17] Cato Networks. Platform Architecture.

[18] Cato Networks. World’s Leading Single-Vendor SASE Platform.

[19] Cato Networks. Universal ZTNA.

[20] Cato Networks. Cloud Access Security Broker (CASB).

[21] Cato Networks. Data Loss Prevention (DLP).

[22] Cato Networks. What is the Cato DLP Service?; Creating the Data Control Policy.