PIP(Policy Information Point, 정책 정보 지점)

제로트러스트 아키텍처는 단순히 '인증'만 하는 것이 아니라, 다양한 데이터를 종합하여 '신뢰도'를 계산하며 결정에 필요한 근거 자료를 제공하는 원천이 바로 PIP이다.

---

1. PIP(Policy Information Point)의 정의

PIP는 정책 결정에 필요한 다양한 정보를 보관하고 제공하는 시스템이며, 정책 결정 지점(PDP)이 "이 사용자의 접속을 허용할까?"라고 고민할 때, PIP는 사용자의 신원, 기기의 보안 상태, 위협 인텔리전스 등 판단의 근거가 되는 데이터를 실시간으로 전달하는 역할을 한다.

---

2. PIP가 제공하는 주요 정보 (6대 핵심 요소 중심)

KISA 가이드라인 2.0에서는 제로트러스트의 6대 핵심 요소와 연계한 PIP의 역할

• ID(신원) 정보: 사용자의 부서, 직급, 근무 시간, 근무상태(휴직, 퇴직, 부서이동 등), 다중 요소 인증(MFA) 설정 여부 등
• 기기(Device) 상태: 백신 최신화 여부, OS 버전, 탈옥/루팅 여부, 인가된 기기 여부
• 네트워크 정보: 접속 IP의 위치, VPN 사용 여부, 네트워크 트래픽 패턴
• 애플리케이션 및 리소스 정보: 해당 리소스의 중요도, 접근 권한 리스트
• 위협 인텔리전스: 외부 공격 정보, 블랙리스트 IP 주소, 최신 취약점 정보
• 데이터 정보: 접근하려는 데이터의 민감도(기밀, 공개 등) 분류

---

3. PIP의 논리적 위치와 동작 과정

PIP는 직접적으로 접근을 차단하거나 허용하지 않고, PDP의 '데이터 저장소' 혹은 '정보원' 역할을 수행

1. 접근 요청: 사용자가 리소스에 접근을 시도(PEP 경유)
2. 정보 요청: PDP는 판단을 내리기 위해 PIP에 관련 정보를 요청
3. 데이터 전달: PIP는 인사 시스템, 자산 관리 시스템(EDR), 위협 분석 서버 등에서 수집된 정보를 PDP에 전달
4. 정책 결정: PDP는 PIP로부터 받은 정보를 정책과 대조하여 최종 승인 여부를 결정

---

4. PIP의 중요성: 동적 보안의 핵심

기존 보안 모델과의 가장 큰 차이점은 '정보의 최신성'이다.

• 실시간성: PIP는 기기가 방금 바이러스에 감염되었다는 정보를 실시간으로 PDP에 전송
• 상황 인지(Context-aware): 단순 아이디/비밀번호가 맞는지 확인하는 수준을 넘어, "평소 서울에서 접속하던 직원이 1분 만에 미국 IP로 접속했다"는 상황 정보를 제공하여 부정 접속을 차단

---

5. PIP의 리소스

PIP이 역할 수행을 하기 위한 정보 리소스 

• 규제·내부 규정(Industry Compliance)
• 데이터 접근 정책(Data Access Policies)
• 보안 정보 및 이벤트(SIEM) 시스템
• 위협 인텔리전스(Threat Intelligence)
• ID 관리 시스템(ID Management System)
• 네트워크·시스템 행위 로그(Network and System Activity Logs)

---

5. 요약 및 시사점

KISA 2.0 가이드라인에서 PIP를 강조하는 이유는 제로트러스트의 '지속적 검증'이 가능하려면 데이터의 통합이 필수적이기 때문이며, 조직 내 흩어져 있는 인사 정보, 단말 보안 정보, 위협 정보를 PIP라는 논리적 체계로 묶는 것이 성공적인 제로트러스트 구축의 핵심이다.