개인정보보호 컴플라이언스 고도화를 위한 제로 트러스트 기반 접근통제 체계 전환 및 상황 인지형 보안 아키텍처 전략 보고서

개인정보보호 컴플라이언스 고도화를 위한 제로 트러스트 기반 접근통제 체계 전환 및 상황 인지형 보안 아키텍처 전략 보고서

디지털 전환 환경에서의 보안 거버넌스 재정립

현대 비즈니스 환경은 클라우드 컴퓨팅의 가속화, 원격 근무의 보편화, 그리고 모바일 중심의 워크플로우로 인해 전통적인 네트워크 경계가 완전히 소멸되는 시점에 도달하였다.1 과거의 보안 모델은 신뢰할 수 있는 내부망과 신뢰할 수 없는 외부망을 물리적·논리적 방화벽으로 구분하는 이른바 성벽 모델에 의존해 왔으나, 공격자가 이미 내부 네트워크에 진입해 있거나 내부자의 고의 또는 실수에 의한 데이터 침해가 빈번해짐에 따라 이러한 경계 기반 보안은 한계에 직면하였다.2 특히 대한민국 개인정보보호법상 명시된 최소 권한 원칙과 ISMS-P 인증 제도에서 요구하는 엄격한 접근통제 기준을 충족하기 위해서는 기존의 정적이고 수동적인 계정 관리 방식에서 벗어나, 지속적인 검증과 자동화된 거버넌스를 핵심으로 하는 제로 트러스트(Zero Trust) 아키텍처로의 전환이 필수적이다.4

제로 트러스트는 '절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)'는 철학을 바탕으로, 모든 접속 요청을 위협으로 간주하고 세션 단위로 신뢰도를 평가하는 동적 보안 모델이다.3 본 보고서는 개인정보보호법 및 ISMS-P의 규제 준거성을 확보하기 위해 수명주기 자동화(ILM) 및 행동 분석(UEBA)이 왜 논리적인 귀결인지를 심층 분석하고, 국내 권한 관리 솔루션(PSM/IM)이 상황 인지형 보안 엔진으로 진화하기 위한 구체적인 데이터 수집 아키텍처와 전략적 방향성을 제시하고자 한다.

개인정보보호법상 '최소 권한 원칙'의 규제적 가치와 기술적 한계

최소 권한 원칙(PoLP)의 법적 근거와 목적

개인정보보호법 제29조(안전조치의무)와 하위 고시인 개인정보의 안전성 확보조치 기준은 개인정보처리자가 개인정보에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여할 것을 요구한다.6 이는 특정 직무 수행자가 자신의 보안 허가 수준과 유관한 정보에만 액세스할 수 있도록 제한함으로써, 계정 탈취나 오남용 발생 시 피해의 확산 범위를 최소화(Blast Radius Reduction)하는 데 목적이 있다.6 예를 들어, 인사팀 직원은 급여 정보에는 접근할 수 있어야 하나 소스 코드 저장소에 접근해서는 안 되며, 외부 유지보수 업체 직원은 특정 장비의 로그만 확인할 수 있어야 한다.6

정적 계정 관리 방식의 구조적 취약성

전통적인 방식의 계정 관리는 인사 정보에 기반하여 수동으로 역할을 할당하고, 정기적인 권한 점검을 통해 불필요한 권한을 회수하는 정적인 프로세스에 의존한다.9 그러나 이러한 방식은 다음과 같은 치명적인 보안 사각지대를 발생시킨다.

첫째, 권한의 잔류와 증식(Privilege Creep) 문제이다. 사용자가 직무를 변경하거나 프로젝트를 이동할 때, 기존에 부여된 권한이 적시에 회수되지 않고 누적되면서 당초 부여된 범위를 훨씬 초과하는 과도한 권한을 보유하게 된다.10 둘째, 유령 계정(Ghost Accounts)의 방치이다. 퇴사자나 계약 종료자의 계정이 관리상의 허점으로 인해 즉시 삭제되지 않고 남아 있을 경우, 공격자는 이를 통해 아무런 제지 없이 내부망에 침투할 수 있다.10 셋째, 상황적 맥락의 부재이다. 정적 관리 체계에서는 한 번 부여된 권한이 '누가, 언제, 어디서, 어떤 기기로' 접근하는지와 관계없이 동일하게 작동한다. 이는 정당한 자격 증명을 탈취한 공격자가 비정상적인 위치나 시간에 접근하더라도 시스템이 이를 인지하지 못하게 만든다.13

 

관리 항목	정적 계정 관리 방식 (Legacy)	제로 트러스트 기반 방식 (Modern)
신뢰 가정	내부망 사용자는 기본적으로 신뢰 1	모든 사용자, 기기, 트래픽을 불신 5
권한 부여	역할 기반(RBAC)의 영구적 권한 10	직무/상황 기반의 적시(JIT) 권한 17
검증 시점	로그인 시 1회성 인증 3	세션 전반에 걸친 지속적 검증 3
관리 주체	관리자의 수동 개입 및 워크플로우 9	정책 기반의 자동화된 수명주기 관리 11

ISMS-P 접근통제 인증 기준의 현대적 해석과 고도화 필요성

ISMS-P 주요 통제 항목 분석

ISMS-P 인증 기준 중 '2.2 사용자 계정 및 권한 관리'와 '2.4 접근통제'는 개인정보 보호를 위한 기술적 방어선의 핵심이다.4 2.2.1(주요 직무자 지정 및 관리) 항목은 주요 시스템에 접근하는 인원을 최소화하고 목록을 최신화할 것을 요구하며, 2.4.2(사용자 식별) 및 2.4.3(인증 및 권한 부여) 항목은 유일한 식별자 할당과 강화된 인증 절차 적용을 명시하고 있다.21 특히 인증 심사 과정에서 빈번하게 발생하는 결함 사례는 "정기 점검 주기(예: 분기 1회) 사이에 발생하는 보안 공백"과 "수동 관리에 따른 증적 누락"에 집중되어 있다.23

사후 검토에서 상시 감시 체계로의 전환

기존 ISMS-P 대응 방식은 분기별로 권한 대조표를 출력하여 인사 정보와 대조하는 사후 검토 방식이었다.23 그러나 제로 트러스트 모델에서는 이러한 프로세스가 '실시간 자동화'되어야 한다. 2.4.2(출입통제) 항목에서 요구하는 출입 이력의 주기적 검토는 UEBA를 통한 실시간 행위 분석과 대응으로 대체될 수 있으며, 이를 통해 장기 미출입자나 비정상 출입 시도를 즉각적으로 차단할 수 있다.7 즉, 컴플라이언스 준거성 확보의 수단이 '문서적 증빙'에서 '시스템적 강제 통제'로 진화해야 한다는 논리다.26

아이덴티티 수명주기 자동화(ILM)의 논리적 당위성

Joiner-Mover-Leaver (JML) 프로세스의 보안 자동화

ILM은 디지털 아이덴티티의 생성부터 소멸까지 전 과정을 자동화함으로써 인사 시스템(HR)과 보안 시스템(IAM/PAM) 간의 동기화 불일치를 해소한다.11

1. Joiner (입사): 신규 사용자의 직무에 맞는 최소 권한을 업무 시작과 동시에 자동 프로비저닝하여 생산성을 제고하고 수동 설정 오류를 방지한다.9
2. Mover (인사 이동): 부서 이동이나 승진 시, 이전 직무에서 가졌던 권한을 즉시 회수하고 새로운 직무에 필요한 권한만을 재할당하여 권한 오남용 및 증식을 원천 차단한다.10
3. Leaver (퇴사): 인사 시스템에서 퇴사 처리가 완료되는 즉시 모든 시스템의 접근 권한을 자동 폐쇄(Deprovisioning)하여 잔여 권한에 의한 보안 사고를 방지한다.10

수명주기 자동화의 기대 효과

ILM 도입 시 조직은 관리 비용 절감과 보안성 강화라는 두 가지 목표를 동시에 달성할 수 있다. 수동 워크플로우에서 발생하는 인적 오류를 제거함으로써 컴플라이언스 실패에 따른 과징금 리스크를 낮추고, 하이브리드 워크 환경에서 다양해진 사용자(정규직, 계약직, 파트너사, 봇 등)의 아이덴티티를 중앙 집중적으로 거버넌스할 수 있게 된다.9 또한, 머진러닝과 연계된 ILM은 사용자의 실제 사용 패턴을 분석하여 '부여되었으나 사용되지 않는 권한'을 자동으로 식별하고 회수하는 권한 최적화(Right-sizing) 기능을 수행한다.20

행동 분석(UEBA)을 활용한 동적 신뢰 평가 체계

왜 UEBA인가? 내부자 위협 및 계정 탈취 대응

정상적인 권한을 가진 사용자의 행위가 악의적으로 변하거나, 적법한 자격 증명을 탈취한 외부자가 내부망에서 활동할 경우 기존의 정적 통제(ACL, RBAC)로는 탐지가 불가능하다.2 UEBA는 머신러닝 알고리즘을 사용하여 개별 사용자와 엔티티(기기, 애플리케이션 등)의 정상적인 행동 기준선(Baseline)을 설정하고, 이로부터 이탈하는 변칙 행위를 실시간으로 포착한다.26

UEBA 엔진은 다음과 같은 세 가지 핵심 기술을 결합하여 가동된다.

• 머신러닝: 지도 학습을 통한 알려진 위협 탐지와 비지도 학습을 통한 미지의 위협(Zero-day Behavior) 탐지를 병행한다.26
• 통계 분석: 개별 사용자의 과거 이력 및 유사 직무 그룹(Peer Group)과의 행위 비교를 통해 위험 수준을 정량화한다.25
• 위험 점수화(Risk Scoring): 여러 변칙 행위를 시간 순서대로 엮어 공격 시나리오를 구성하고, 임계값을 초과하는 위험 점수가 발생할 경우 자동 대응 워크플로우를 트리거한다.25

UEBA 기반 동적 접근통제의 논리 구조

제로 트러스트의 핵심은 '상황적 위험 평가'에 기반한 접근 허용 여부 결정이다. 이를 위해 UEBA는 다음과 같은 위험도 산출 함수를 활용하여 정책 결정 지점(PDP)에 판단 근거를 제공한다.

각 요소는 실시간으로 수집되는 신호(Signals)에 의해 가중치가 부여된다. 예를 들어, 야간 시간대에 익숙하지 않은 지리적 위치에서 민감한 데이터베이스에 접근을 시도하며 대량의 쿼리를 수행할 경우, UEBA는 즉각적으로 위험 점수를 상향 조정하고 다중 요소 인증(MFA)을 추가 요구하거나 세션을 즉시 차단한다.14

상황 인지형 보안 엔진으로의 솔루션 진화 아키텍처

국내 PSM/IM 솔루션의 진화적 배경

국내 시장의 특권 권한 관리(PSM) 및 통합 계정 관리(IM) 솔루션은 그간 주로 게이트웨이 방식의 세션 중개와 정적 워크플로우 처리에 집중해 왔다.32 그러나 제로 트러스트 성숙도 모델의 최고 단계인 '최적화(Optimal)' 수준에 도달하기 위해서는 모든 보안 요소가 상호 연동되어 상황 정보를 주고받는 '상황 인지형 보안 엔진'으로 거듭나야 한다.34

상황 인지형 데이터 수집 및 처리 아키텍처 예시

상황 인지형 보안 엔진의 핵심은 분산된 보안 장비로부터 원시 데이터를 수집하여 의미 있는 컨텍스트로 변환하고, 이를 정책 결정에 반영하는 통합 파이프라인 구축에 있다.27

1단계: 멀티 레이어 데이터 수집 (Ingestion Layer)

보안 엔진은 전사적 인프라 전반에서 다음과 같은 텔레메트리 데이터를 실시간으로 흡수해야 한다.

• IDP (Identity Provider): 로그인 성공/실패, MFA 인증 수단, 계정 잠금 상태.38
• EDR/UEM (Endpoint): 기기 보안 태세(백신 활성화, 패치 수준, 탈옥 여부).19
• Network (NDR/FW): 트래픽 패턴, C&C 서버 통신 여부, 마이크로 세그멘테이션 준수 여부.5
• Application/DB: API 호출 빈도, 민감 데이터 접근 이력, 쿼리 실행 패턴.29

2단계: 상황 정보 통합 및 정규화 (Context Aggregation)

수집된 이기종 데이터는 일관된 포맷으로 정규화되며, '사용자-기기-위치-시간-자산'이 하나의 맥락으로 연결된 상황 프로필(Context Profile)을 생성한다.14 이 과정에서 위협 인텔리전스(C-TAS 등) 정보가 결합되어 외부 위협 노출 여부를 판단한다.34

3단계: 정책 결정 및 시행 (PDP & PEP)

• 정책 결정 지점 (PDP): 상황 프로필과 UEBA 위험 점수를 정책 엔진에 입력하여 최종 접근 허용 여부를 결정한다. 정책은 'If Context is Risky, then Enforce Strong MFA or Deny'와 같은 선언적 방식으로 작성된다.5
• 정책 시행 지점 (PEP): 게이트웨이, 에이전트, 혹은 클라우드 프록시 형태로 존재하며, PDP의 결정에 따라 실제 트래픽을 제어하고 실시간으로 세션을 종료하거나 격리한다.3

 

아키텍처 구성 요소	주요 기능 및 데이터 수집 항목	제로 트러스트 기여도
상황 분석기 (Contextualizer)	사용자 위치, 기기 보안 상태, 접속 시간대 수집 14	암묵적 신뢰 제거 및 동적 검증 기반 마련 34
위험 평가기 (Risk Engine)	과거 패턴 대비 편차 분석, 위협 인텔리전스 연동 27	알려지지 않은 위협 및 내부자 공격 탐지 25
자동 오케스트레이터	위험 탐지 시 계정 자동 잠금, EDR 격리 명령 수행 27	사고 대응 자동화 및 피해 확산 방지 27

제로 트러스트 전환의 기대 효과 및 전략적 시사점

컴플라이언스 대응의 효율성 및 신뢰성 극대화

제로 트러스트 기반의 ILM과 UEBA를 도입한 조직은 ISMS-P 및 개인정보보호법 심사에서 압도적인 신뢰성을 확보할 수 있다. 수동 점검표 대신 시스템이 생성한 실시간 권한 변동 이력과 행동 분석 로그를 증적으로 제출함으로써 심사 대응 비용을 획기적으로 낮출 수 있으며, '과다 권한 부여'와 같은 고질적인 지적 사항을 자동화된 최적화 프로세스로 근본적으로 해결할 수 있다.12

보안 사고 비용 절감과 비즈니스 복원력 강화

통계에 따르면 제로 트러스트 아키텍처를 도입한 기업은 데이터 침해 시 평균적으로 약 100만 달러의 사고 처리 비용을 절감하는 것으로 나타났다.3 이는 공격자의 측면 이동을 제한하고 유출 가능성을 조기에 탐지하여 피해 규모를 최소화했기 때문이다. 또한, 상황 인지형 보안은 사용자에게 불필요한 인증 요구를 줄여주는 동시에(Low Risk 상황), 위험이 감지될 때만 선별적으로 통제를 강화함으로써 보안과 편의성 사이의 최적점을 찾아준다.2

결론 및 제언

개인정보보호법의 최소 권한 원칙과 ISMS-P의 접근통제 요구사항은 단순한 규제 준수를 넘어, 복잡해진 현대의 IT 환경에서 기업의 자산을 보호하기 위한 최소한의 가이드라인이다. 기존의 정적 계정 관리 방식으로는 지능화된 사이버 위협과 복잡한 계정 수명주기를 감당할 수 없음을 인정해야 한다.1

따라서 국내 기업 및 공공기관은 다음과 같은 단계적 전환 전략을 수립해야 한다. 첫째, HR 시스템과 연동된 ILM 도입을 통해 '아이덴티티 거버넌스'의 자동화 기틀을 마련해야 한다.10 둘째, 국내 PSM/IM 솔루션을 선정할 때 단순한 기능 비교를 넘어, 외부 데이터와 유연하게 연동될 수 있는 '상황 인지형 아키텍처'를 보유하고 있는지 검토해야 한다.27 셋째, UEBA를 통해 정적인 정책의 한계를 보완하고 데이터 기반의 동적 보안 체계로 나아가야 한다.25

제로 트러스트는 단일 제품의 도입으로 완성되는 것이 아니라, 조직의 문화와 프로세스가 기술과 조화를 이루어야 하는 지속적인 여정이다.5 본 보고서에서 제시한 수명주기 자동화와 행동 분석 기반의 상황 인지형 아키텍처는 대한민국 보안 컴플라이언스의 요구사항을 완벽히 충족하는 동시에, 미래의 고도화된 위협으로부터 조직을 보호하는 가장 강력한 전략적 자산이 될 것이다.

참고 자료

1. 제로트러스트 - 가이드라인 1.0 - 한국정보보호산업협회, 2월 3, 2026에 액세스, https://www.kisia.or.kr/bucket/uploads/2023/07/11/230711-(%EC%A0%84%EC%B2%B4%EB%B3%B8)%20%EC%A0%9C%EB%A1%9C%ED%8A%B8%EB%9F%AC%EC%8A%A4%ED%8A%B8%EA%B0%80%EC%9D%B4%EB%93%9C%EB%9D%BC%EC%9D%B8.pdf
2. 왜 지금 제로 트러스트인가? 기업 보안의 패러다임, 2월 3, 2026에 액세스, https://www.ahnlab.com/ko/contents/content-center/35931
3. 제로 트러스트 아키텍처(ZTA)란 무엇인가? - SentinelOne, 2월 3, 2026에 액세스, https://www.sentinelone.com/ko/cybersecurity-101/identity-security/zero-trust-architecture/
4. 인증기준 - 개인정보 포털, 2월 3, 2026에 액세스, https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=59
5. 제로트러스트 - 가이드라인 1.0 - 한국정보보호산업협회, 2월 3, 2026에 액세스, https://www.kisia.or.kr/bucket/uploads/2023/07/19/230714%201350%20-%20(%EC%9A%94%EC%95%BD%EB%B3%B8)%20%EC%A0%9C%EB%A1%9C%ED%8A%B8%EB%9F%AC%EC%8A%A4%ED%8A%B8%EA%B0%80%EC%9D%B4%EB%93%9C%EB%9D%BC%EC%9D%B8.pdf
6. 관리자가 부여하는 최소 권한의 원칙(PoLP) - SailPoint, 2월 3, 2026에 액세스, https://www.sailpoint.com/ko/identity-library/principle-least-privilege
7. ISMS-P 인증기준 [2. 보호대책 요구사항] 2.4 물리 보안(2.4.2 출입통제), 2월 3, 2026에 액세스, https://beingit.tistory.com/49
8. 최소 권한 원칙이란? - Palo Alto Networks, 2월 3, 2026에 액세스, https://www.paloaltonetworks.co.kr/cyberpedia/what-is-the-principle-of-least-privilege
9. What is Identity Lifecycle Management? - Definition - CyberArk, 2월 3, 2026에 액세스, https://www.cyberark.com/what-is/identity-lifecycle-management/
10. Identity Lifecycle Management: A Complete Guide - SecurEnds, 2월 3, 2026에 액세스, https://www.securends.com/blog/identity-lifecycle-management/
11. Addressing the identity lifecycle management gap - SailPoint, 2월 3, 2026에 액세스, https://www.sailpoint.com/identity-library/addressing-the-identity-lifecycle-management-gap
12. [솔루션 리뷰] 통합 계정관리 솔루션, 넷앤드 'HIWARE' - 컴퓨터월드, 2월 3, 2026에 액세스, https://www.comworld.co.kr/news/articleView.html?idxno=51843
13. 특권 접근 관리(PAM)란 무엇인가?" - SentinelOne, 2월 3, 2026에 액세스, https://www.sentinelone.com/ko/cybersecurity-101/identity-security/what-is-privileged-access-management-pam/
14. (PDF) Context-Aware Access Control in Zero-Trust Architectures for Multi-Cloud Systems, 2월 3, 2026에 액세스, https://www.researchgate.net/publication/391670509_Context-Aware_Access_Control_in_Zero-Trust_Architectures_for_Multi-Cloud_Systems
15. 제로 트러스트 보안이란 무엇인가요? - Google Cloud, 2월 3, 2026에 액세스, https://cloud.google.com/learn/what-is-zero-trust?hl=ko
16. 최소 권한 원칙(PoLP)이란 무엇인가? - SentinelOne, 2월 3, 2026에 액세스, https://www.sentinelone.com/ko/cybersecurity-101/identity-security/what-is-the-principle-of-least-privilege-polp/
17. 최소 권한 원칙이란 무엇인가요? - 일루미오 사이버 보안 블로그 | Illumio, 2월 3, 2026에 액세스, https://www.illumio.com/ko/blog/what-is-the-principle-of-least-privilege
18. 제로 트러스트 보안: 종합 가이드 - Entrust, 2월 3, 2026에 액세스, https://www.entrust.com/ko/resources/learn/zero-trust
19. 제로 트러스트 원칙 이해 - AWS 권장 가이드, 2월 3, 2026에 액세스, https://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/strategy-zero-trust-architecture/zero-trust-principles.html
20. Current Identity and Lifecycle Management Trends in 2025 - QuickLaunch, 2월 3, 2026에 액세스, https://quicklaunch.io/current-identity-and-lifecycle-management-trends-in-2025/
21. ISMS-P인증 (보호대책) 2.2.1 주요 직무자 지정 및 관리, 2월 3, 2026에 액세스, https://011cpo.tistory.com/30
22. ISMS-P 간편인증 세부점검항목 - CELA, 2월 3, 2026에 액세스, https://www.cela.kr/4/?bmode=view&idx=66525645
23. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서, 2월 3, 2026에 액세스, https://www.isac.or.kr/upload/ISMS-P%20%EC%9D%B8%EC%A6%9D%EA%B8%B0%EC%A4%80%20%EC%95%88%EB%82%B4%EC%84%9C(2022.4.22).pdf
24. ISMS-P인증심사 (보호대책) 2.2.2 직무분리 - 개보린이의 라떼Story, 2월 3, 2026에 액세스, https://011cpo.tistory.com/31
25. 사용자 및 엔터티 행동 분석(UEBA)이란 무엇인가요? - SentinelOne, 2월 3, 2026에 액세스, https://www.sentinelone.com/ko/cybersecurity-101/cybersecurity/what-is-ueba/
26. UEBA(사용자 및 엔터티 동작 분석)란?| Microsoft Security, 2월 3, 2026에 액세스, https://www.microsoft.com/ko-kr/security/business/security-101/what-is-user-entity-behavior-analytics-ueba
27. AI SOC정의, 구성 요소 및 아키텍처 - Stellar Cyber, 2월 3, 2026에 액세스, https://stellarcyber.ai/ko/learn/what-is-ai-soc/
28. The Evolution of Microsoft's User Lifecycle Solutions | Quisitive, 2월 3, 2026에 액세스, https://quisitive.com/the-evolution-of-microsofts-user-lifecycle-solutions/
29. 사용자 및 엔티티 행동 분석(UEBA)이란 무엇인가요? - IBM, 2월 3, 2026에 액세스, https://www.ibm.com/kr-ko/think/topics/ueba
30. 사용자 엔티티 및 행동 분석이란 무엇인가 (UEBA)? - Stellar Cyber, 2월 3, 2026에 액세스, https://stellarcyber.ai/ko/learn/what-is-ueba/
31. UEBA란? 정의, 이점 및 작동 방식 | 퓨어스토리지 - Pure Storage, 2월 3, 2026에 액세스, https://www.purestorage.com/kr/knowledge/what-is-ueba.html
32. HIWARE - 넷앤드, 2월 3, 2026에 액세스, https://www.netand.co.kr/home/HIWARE.php
33. [2024 제로트러스트-시스템 보안 리포트] 시스템 노리는 사이버 위협의 해결사, 2월 3, 2026에 액세스, http://www.boannews.com/media/view.asp?idx=128230
34. 제로트러스트 가이드라인 (Zero Trust Guideline) - 도리의 디지털라이프, 2월 3, 2026에 액세스, https://blog.skby.net/%EC%A0%9C%EB%A1%9C%ED%8A%B8%EB%9F%AC%EC%8A%A4%ED%8A%B8-%EA%B0%80%EC%9D%B4%EB%93%9C%EB%9D%BC%EC%9D%B8-zero-trust-guideline/
35. 제로 트러스트 성숙도 모델 개요 및 활용 방안, 2월 3, 2026에 액세스, https://www.nia.or.kr/common/board/Download.do?bcIdx=25817&cbIdx=99863&fileNo=1
36. 제로트러스트 - 넷앤드, 2월 3, 2026에 액세스, https://www.netand.co.kr/home/solution_zerotrust.php
37. 상황 인식이란 무엇인가? - SentinelOne, 2월 3, 2026에 액세스, https://www.sentinelone.com/ko/cybersecurity-101/data-and-ai/what-is-situational-awareness/
38. IAM & Zero Trust Architecture - AS13.AI, 2월 3, 2026에 액세스, https://as13.ai/IAM-Zero-Trust-Architecture/
39. Maximizing Security: A Complete Guide to IAM Zero Trust Principles - Device Authority, 2월 3, 2026에 액세스, https://deviceauthority.com/maximising-security-a-complete-guide-to-iam-zero-trust-principles/
40. 금융사 최초의 Zero Trust 아키텍처 도입기, 2월 3, 2026에 액세스, https://toss.tech/article/slash23-security
41. 제로트러스트 시대, IAM을 넘어 ICAM으로, 계정 보안의 새로운 기준 - 드림시큐리티, 2월 3, 2026에 액세스, https://www.dreamsecurity.com/pr/secure/2016
42. What Is Zero Trust Architecture? Key Elements and Use Cases - Palo Alto Networks, 2월 3, 2026에 액세스, https://www.paloaltonetworks.com/cyberpedia/what-is-a-zero-trust-architecture
43. 제로 트러스트 아키텍처란 무엇인가요? 전체 가이드 - 일루미오 사이버 보안 블로그 | Illumio, 2월 3, 2026에 액세스, https://www.illumio.com/ko/blog/what-is-a-zero-trust-architecture
44. 2025년을 위한 10가지 제로 트러스트 솔루션 - SentinelOne, 2월 3, 2026에 액세스, https://www.sentinelone.com/ko/cybersecurity-101/identity-security/zero-trust-solutions/