AAA 모델과 제로 트러스트 아키텍처(Zero Trust Architecture)의 관계와 차이: 현대 보안의 핵심 구조 이해

클라우드 시대와 재택 근무의 확산으로 인해 보안의 패러다임이 빠르게 변화하고 있습니다. 그 중심에는 AAA 모델과 제로 트러스트 아키텍처(Zero Trust Architecture, ZTA)가 있습니다. 이 두 보안 프레임워크는 각각의 특징과 역할이 다르지만, ZTA가 AAA 원칙을 어떻게 확장·진화시키는지 이해하면 현대 조직의 보안 전략을 효과적으로 설계할 수 있습니다.

1. AAA 모델이란?

AAA 모델은 네트워크 및 IT 시스템에서 접근 제어의 핵심 프레임워크를 말하며, 다음 세 가지 구성요소로 이뤄집니다.

• Authentication(인증): 사용자의 신원 확인 (ID와 비밀번호, OTP, 인증서 등 활용)
• Authorization(권한 부여): 인증된 사용자가 어떤 리소스에 접근할 수 있는지 명시
• Accounting(계정 관리/로그): 사용자의 행위 기록 및 추적, 감사 로깅

즉, "누구인지 확인 → 무엇을 할 수 있는지 판별 → 무엇을 했는지 기록"의 순으로 이루어지는 기본 보안 체계입니다.

2. 제로 트러스트 아키텍처란?

• *제로 트러스트 아키텍처(Zero Trust Architecture, ZTA)**는 “아무도 기본적으로 신뢰하지 않는다(Trust No One)”는 원칙을 바탕으로

내·외부 네트워크 경계 상관없이 모든 접근 요청을 지속적으로 검증하는 최신 보안 패러다임입니다.

• 내부/외부 모두 신뢰 불가, 모든 접근 요청을 실시간 인증·검증
• ID, 기기, 위치, 시간 등 수십 가지 맥락(Context)을 검증
• 최소 권한 원칙(Least Privilege)과 지속적 모니터링 적용

3. AAA와 제로 트러스트 아키텍처의 관계

ZTA는 전통적 AAA 모델의 원칙을 내포하면서, 그 적용 범위와 심도를 크게 확장합니다.

• Authentication:매 요청(request)마다 맥락 기반 재인증을 실시합니다.
• 예) SSO, MFA, 디바이스 상태/위치까지 함께 인증.
• ZTA에서도 신원 확인은 필수입니다. 그러나 기존 ‘1회 인증 후 네트워크 전반 신뢰’가 아니라,
• Authorization:사용자의 역할·기기·위치 등 상황별로 동적 권한 부여.
• ZTA는 세분화된 권한 통제(마이크로 세그멘테이션)와 ‘최소 권한 부여(Least Privilege)’ 원칙을 엄격히 적용합니다.
• Accounting:ZTA에서는 로깅과 모니터링이 침투 탐지, 정책 자동 적용의 기반이 됩니다.
• 모든 접근 기록을 실시간으로 수집·분석해, 이상 행위 탐지 및 자동 대응(예: SIEM, UEBA 등)을 수행합니다.

결국 제로 트러스트는 AAA 모델의 기본 원칙(인증-권한-기록)을 기반으로, “항상, 모든 요청에 대해 반복·지속적으로 한다”라는 차별점을 가집니다.

4. 조직 보안 설계에서의 적용 및 예시

• 접근 정책의 변화:ZTA는 각 리소스마다 별도의 인증·권한 검증·행위 기록을 요구합니다.
• 전통 AAA는 네트워크 진입(인증) 이후 내부에서 비교적 자유로웠지만,
• 기술 적용 예:
  • AWS, Google Cloud의 ‘제로 트러스트’ 솔루션에서도 SSO, MFA, 정책기반 접근제어, 실시간 로깅 적용
  • 실시간 강제 로그아웃/재인증, 위협 탐지 후 자동 권한 제한 등 자가 방어기능
• 보안 전략 변화:AAA → ZTA: ‘1차 접근 통제’에서 ‘항상·모든 요청 검증의 연속’으로 진화
• 내부망 신뢰에서 “신뢰하지 않음, 검증 후 최소 권한 부여”로 확장

5. 정리

• AAA 모델은 접근제어의 기본 원칙(인증-권한-로깅)을 제공
• 제로 트러스트 아키텍처는 이 원칙을 ‘지속적이고 맥락 중심적으로, 자동화된 방식’으로 확장
• 현대 조직 보안에서 두 프레임워크는 상호 보완적이며, ZTA 구현의 근간은 AAA의 원칙 위에 세워짐