2010년 Forrester Research의 애널리스트 존 킨더바그(John Kindervag)는 ‘제로 트러스트’라는 이름의 솔루션을 제안했습니다.
‘신뢰하되 검증’하는 방식에서 ‘신뢰하지 않고 항상 검증’하는 전략으로 전환한 것입니다. 제로 트러스트 모델은 ID 및 권한을 검증하기 전까지 어떤 사용자나 디바이스도 신뢰하지 않습니다. 일반적으로 이 프로세스는 원격으로 근무하며 기업 컴퓨터를 사용하는 직원이나 전 세계 컨퍼런스에 참여하며 자신의 모바일 디바이스를 사용하는 직원처럼 프라이빗 네트워크를 사용하는 사람들에게 적용됩니다. 또한 해당 네트워크 외부의 모든 사람과 디바이스에 적용됩니다. 과거에 이 네트워크에 접속한 적이 있어도, 자주 접속하는 네트워크여도 상관없습니다. 제로 트러스트 보안 모델은 사용자를 신뢰하는 대신 사용자 ID를 계속해서 검증합니다. 모든 머신, 사용자, 서버는 그 신뢰성이 입증되기 전까지 신뢰해서는 안 됩니다.
과거 성과 해자(Moat-and-Castle) 방식의 보안 체계는 잘 작동하는 것처럼 보였습니다. 네트워크 경계의 바깥, 즉 ‘해자’에 있는 사람들은 ‘위험’하고 네트워크 안에 있는 사람들은 ‘안전’하다는 개념이 당연하게 받아들여지던 때가 있었습니다. 하지만 성과 해자가 과거의 유물이듯이, 이 개념을 보안에 적용하는 것도 구시대적입니다. 오늘날의 재택 근무 환경을 생각해 보겠습니다. 현재 근무 인력과 장소는 달라졌습니다. 일하는 시간, 방식, 위치가 사무실 벽 바깥으로 이동했습니다. 클라우드의 부상으로 네트워크 경계는 과거의 모습대로 존재하지 않습니다. 사용자 및 애플리케이션은 해자 내부에도 존재하고 외부에도 존재합니다. 따라서 공격자들이 악용할 수 있는 취약점들이 경계 내부에도 존재합니다. 공격자들은 일단 해자 내부에 들어오면 자유롭게 돌아다니며 고객 데이터와 같은 리소스 및 고가치 자산에 접속하고, 심지어는 랜섬웨어 공격을 시작합니다.