과거의 전통적인 보안 모델은 명확한 경계와 중앙화된 데이터를 전제로 했지만, 오늘날의 환경은 훨씬 더 복잡합니다. 이제 데이터와 AI 워크로드는 클라우드, 온프레미스, 엣지 환경 전반에서 실행되며, 사이버 보안 위협이 노릴 수 있는 새로운 공격 표면을 만들어내고 있습니다.
제로 트러스트 *는 오랫동안 사이버 보안의 기본 접근 방식으로 자리 잡아 왔으며, 미래 변화에 대응할 수 있는 탄력적인 보안 태세를 갖추기 위해 그 중요성은 더욱 커지고 있습니다. 그렇다면 조직은 차세대 엔터프라이즈 기술 환경에서 제로 트러스트를 어떻게 계속 구현할 수 있을까요?
AI 시대의 제로 트러스트란?
제로 트러스트는 네트워크 내부에 있는 사용자나 디바이스라도 자동으로 신뢰하지 않는다는 전제에 기반한 검증된 보안 접근 방식입니다. 경계 기반 보안은 사용자와 디바이스가 네트워크 안으로 들어오면 안전하다고 가정하지만, 제로 트러스트에서는 모든 액세스 요청을 잠재적 위험으로 간주하고 지속적으로 검증합니다. 실제로 이는 사용자가 회사 Wi-Fi에 연결되어 있더라도 각 액세스 요청마다 다단계 인증을 거쳐야 하며, 인증 후에도 필요한 특정 시스템에만 액세스할 수 있음을 의미합니다.
제로 트러스트 아키텍처를 설명할 때 가장 자주 쓰이는 표현은 ‘절대 신뢰하지 말고 항상 검증하라(never trust, always verify)’ *입니다. 이 원칙은 AI 시대에도 여전히 유효하지만, 검증 대상은 사용자, 디바이스, 네트워크를 넘어 모델, 파이프라인, 환경까지 확대되었습니다. 이제 제로 트러스트는 데이터와 모델에 대한 액세스와 사용부터 추론 흐름, 여러 환경에서 실행되는 워크로드까지 AI 수명 주기 전반으로 확장되어야 합니다.
데이터 및 AI 플랫폼에 제로 트러스트 적용하기
모든 데이터 액세스 검증 및 AI 수명 주기 전반의 거버넌스 적용
기업은 모든 데이터에 대해 ID 기반의 컨텍스트 인식 액세스 제어를 구현해야 합니다. 데이터에 액세스할 때마다 요청을 적절히 인증하고 권한을 부여하며 감사 가능하도록 기록해야 데이터의 보안성과 신뢰성을 확보할 수 있습니다.
AI 시스템이 정확하고 신뢰할 수 있는 결과를 생성하려면 기업 전반의 데이터를 폭넓게 활용해야 하기 때문에 이러한 검증과 관리 체계는 더욱 중요해지고 있습니다. 일관된 거버넌스가 없으면 액세스 제어의 빈틈으로 인해 편향된 모델, 데이터 유출 또는 규제 리스크가 발생할 수 있습니다. 핵심은 이러한 제어를 하이브리드 및 멀티클라우드 환경 전반에 일관되게 적용하는 것입니다.
제로 트러스트는 보안 체계를 강화하는 데도 핵심적인 역할을 합니다. 적절한 거버넌스와 함께 구현할 경우 제로 트러스트는 조직 전반에서 효과적인 데이터 공유를 가능하게 합니다. 이 접근 방식은 데이터 보안을 유지하는 동시에 필요한 사용자가 필요한 데이터에 액세스할 수 있도록 하여 보안과 활용성을 모두 충족합니다. 조직에는 데이터의 위치에 관계없이 모든 데이터에 대해 일관된 클라우드형 보안 및 거버넌스 방식을 제공하는 플랫폼이 필요합니다.
핵심 자산으로서 모델과 추론 보호
모델도 민감 정보로 다루어야 합니다. 직원이 입력하는 프롬프트에는 기업 고유의 비즈니스 컨텍스트가 포함되는 경우가 많고, 모델이 생성하는 출력값은 기밀 인사이트나 의사결정 내용을 드러낼 수 있습니다. 결국 모델은 민감 데이터를 사용하는 주체이자 새롭게 생성하는 주체가 됩니다.
따라서 제로 트러스트 원칙은 데이터를 넘어 모델, 프롬프트, 추론 엔드포인트까지 확장되어야 합니다. AI 자산을 신뢰할 수 있는 기업 내부 경계 안에 두는 것이 중요합니다. 이를 위해서는 세분화된 액세스 제어를 적용해 권한을 부여받은 사용자와 시스템만 특정 모델이나 데이터 세트와 상호작용할 수 있도록 해야 합니다. 또한 버전 관리와 데이터 계보가 필요합니다. 이를 통해 조직은 모델이 어떻게 학습되었는지, 어떤 데이터가 사용되었는지, 출력값이 어떻게 생성되었는지를 추적할 수 있으며, 이는 감사 가능성과 규정 준수를 위해 필수적입니다.
하이브리드 및 멀티클라우드 환경 전반에서 일관된 운영
기업 환경의 어느 부분에서든 파편화 *가 생기면 리스크가 커지며, 제로 트러스트 전략도 예외가 아닙니다. 에이전트와 모델이 새로운 공격 표면을 만들어내는 만큼 조직은 보안 및 거버넌스 정책이 일관되게 적용되지 않아 생기는 사각지대에 더욱 주의해야 합니다. 이러한 사각지대는 악용될 수 있으며 운영상의 문제로 이어질 수 있습니다. 보안 수준은 가장 취약한 지점에 의해 결정됩니다.
제로 트러스트가 효과를 발휘하려면 일관성과 이동성을 갖추어야 합니다. 액세스 제어, 거버넌스 정책, 모니터링 기준은 데이터, 모델, 워크로드를 따라 적용되어야 합니다. 이를 통해 퍼블릭 클라우드 환경부터 데이터 센터 내부 깊숙한 곳까지 모든 상호작용을 일관되게 관리할 수 있습니다.
조직에는 정책 공백을 없애고 데이터가 어디에 있든 일관된 클라우드형 경험을 제공하는 통합 접근 방식이 필요합니다. 보안과 거버넌스가 모든 환경에서 동일한 방식으로 적용되면 팀은 복잡성을 줄이고 더 확신을 가지고 빠르게 움직일 수 있습니다. 그 결과 파편화가 줄어들고, 통제권이나 신뢰를 저해하지 않으면서도 엔터프라이즈 전반으로 AI를 확장할 수 있는 더 견고한 기반이 마련됩니다.
제로 트러스트의 미래
통합 플랫폼 접근 방식은 데이터, 분석, AI를 처음부터 하나로 연결하는 플랫폼을 구축할 수 있도록 합니다. 단일하고 일관된 프레임워크 아래에서 조직은 단절과 분산을 해소하고 리스크를 줄이며 클라우드, 온프레미스, 하이브리드 환경 전반에 제로 트러스트 원칙을 균일하게 적용할 수 있습니다. 적절한 플랫폼을 갖추면 조직은 데이터가 어디에 있든 안심하고 AI를 데이터에 적용할 수 있습니다. 이를 통해 가치를 창출하는 동시에 현대 기업에 필요한 규정 준수와 신뢰성에 대한 통제권을 유지할 수 있습니다.
이 링크를 통해 Cloudera의 보안 및 규정 준수 접근 방식에 대해 자세히 알아보세요.
