제로트러스트 6대 핵심구성요소 간 모호한 경계(차이점) 정리

1. 식별자·신원 vs 기기·엔드포인트

"접근 주체 vs 접근 수단"의 차이점

구분	식별자·신원	기기·엔드포인트
검증 대상	사람(계정) — "이 ID가 진짜 맞는가?"	기기(단말) — "이 기기가 신뢰할 수 있는가?"
핵심 기술	MFA, FIDO, SSO, UEBA	EDR/XDR, MDM, 취약점 스캐너
접근 결정 근거	사용자 행동 이상, 자격증명 위험도	기기 패치 수준, 보안 설정 준수 여부

※ 혼동 포인트:

- 컨텍스트 기반 인증(식별자)은 기기 상태 정보를 참조

즉, "기기 상태 정보는 식별자·신원의 입력값"이지, 식별자 요소가 기기를 관리하는 것은 아니며

기기 자체의 자산 관리·위협 보호·패치는 어디까지나 기기·엔드포인트 영역임

 

2. 네트워크 vs 시스템

"통신 경로 vs 목적지 인프라"의 차이점 (모두 인프라 영역)

구분	네트워크	시스템
관심 대상	패킷이 이동하는 경로 (스위치, 라우터, 방화벽, 세그먼트)	패킷이 도달하는 목적지 (서버, OS, 클라우드 인스턴스)
세분화 주체	네트워크 구간 자체를 나누는 것 (마이크로 세그멘테이션)	시스템의 중요도·기능별로 접근 등급을 나누는 것
암호화	전송 중 트래픽 암호화 (TLS 등)	저장 데이터 암호화는 데이터 영역, 시스템은 OS·계정 보안에 집중

※ 혼동 포인트:

마이크로 세그멘테이션은 네트워크 구성요소이지만,

실제 구현 시 시스템(서버) 간 통신 정책을 설정하게 되어 시스템 요소와 중첩되는 영역

구분 기준은 "정책을 집행하는 지점이 네트워크 레이어인가, 서버/OS 레이어인가"로 구분

 

3. 시스템 vs 애플리케이션·워크로드

"인프라 vs 그 위에서 동작하는 앱"의 차이점

구분	시스템	애플리케이션·워크로드
관심 대상	앱이 올라가는 그릇 (OS, 서버, 클라우드 인스턴스)	그릇 위에서 동작하는 앱과 서비스 자체
접근제어 관점	OS·서버에 대한 관리자 계정·SSH 접근 통제	앱에 대한 사용자 인가·API 접근 통제
패치 대상	OS, 펌웨어, 미들웨어	애플리케이션 코드, 라이브러리(SBOM)

※ 혼동 포인트:

클라우드 환경에서 컨테이너·서버리스가 등장하면서 "이게 시스템인가, 워크로드인가"가 불분명해지는 부분이 존재함

KISA 가이드라인의 취지는 보안 책임의 분리에 있음

운영 관점(OS/인프라 보안)은 시스템, 개발 관점(코드 보안·DevSecOps·SBOM)은 애플리케이션·워크로드로 구분하면 실무 적용이 수월합니다.

 

4. 애플리케이션·워크로드 vs 데이터

"접근 경로 vs 접근 대상"의 차이점

구분	애플리케이션·워크로드	데이터
관심 대상	데이터에 접근하는 통로 (앱, API)	통로를 통해 다뤄지는 데이터 자체
접근제어	앱 수준의 인가(누가 어떤 기능을 쓸 수 있나)	데이터 수준의 접근제어(누가 어떤 데이터를 볼 수 있나)
보호 기술	ZTNA, 앱 WAF, DevSecOps	DLP, 암호화, 데이터 분류, DRM

※ 혼동 포인트:

DLP(데이터 유출 방지)는 애플리케이션 레이어에서도 작동하지만 보호의 목적이 데이터 자체이므로 데이터 요소에 해당합니다.

반면 앱의 접근 인가(누가 어떤 기능을 쓸 수 있는지)는 애플리케이션·워크로드 영역임

 

5. 결론

한눈에 보는 영역 구분

구분	핵심구성요소	담당 영역 요약
누가	식별자·신원	사람/계정의 신원 검증
무엇으로	기기·엔드포인트	접근 단말의 보안 상태 검증
어떤 경로로	네트워크	통신 경로 보안 및 세분화
어디에	시스템	목적지 인프라(OS·서버) 보안
무슨 앱으로	애플리케이션·워크로드	앱 자체 및 배포 파이프라인 보안
무엇을	데이터	접근 대상 데이터 자체 보호