[Zero Trust Data] Day 4: 세션 격리와 Just-In-Time(JIT) 권한 부여 전략

서론: 상시 권한은 결국 사고로 돌아온다

대부분의 데이터 유출은 “필요 이상으로 오래 살아있는 권한”에서 시작된다. Zero Trust에서는 영구 권한을 기본값으로 두지 않는다.

핵심 전략:

• 세션을 짧고 분리된 단위로 운영하고
• 필요한 순간에만 권한을 발급하며
• 사용 후 자동 회수한다

1. 세션 격리의 기본 원칙

1. 사용자/업무 단위 세션 분리
2. 세션별 자격 증명 단명화(short-lived credentials)
3. 민감 작업은 전용 실행 경로(격리된 런타임) 사용
4. 세션 종료 시 토큰/권한 즉시 폐기

이렇게 하면 계정 탈취 시 피해 범위를 크게 줄일 수 있다.

2. JIT 권한 부여 모델

JIT는 “요청-승인-발급-만료” 수명주기를 자동화한다.

흐름:

1. 사용자가 목적/티켓과 함께 접근 요청
2. 정책 엔진 + 승인자 규칙으로 검증
3. 제한된 시간/범위 권한 발급
4. 만료 후 자동 회수 및 감사 로그 저장

3. 데이터 플랫폼 적용 사례

적합한 시나리오:

• 운영 장애 대응 시 임시 읽기/수정 권한
• 민감 데이터셋 일회성 조사
• 프로덕션 쿼리 게이트웨이 관리자 작업

부적합 시나리오는 상시 자동 배치처럼 반복적이고 예측 가능한 워크로드다. 이 경우에는 서비스 계정 최소 권한이 더 적합하다.

4. 설계 시 주의점

1. 승인 지연으로 업무 차질이 생기지 않도록 자동 승인 조건 정의
2. 권한 범위를 리소스/액션/시간으로 모두 제한
3. Break-glass 계정은 별도 강한 통제와 사후 검토
4. 세션 재사용/토큰 재플레이 방지 대책 적용

5. 운영 지표

JIT 운영 품질은 아래 지표로 본다.

• 평균 권한 발급 시간
• 만료 후 권한 잔존율
• 비정상 세션 재사용 탐지 건수
• 상시 권한 계정 비율

6. Day 4 체크리스트

1. 관리자/고권한 계정을 JIT 대상으로 전환했다.
2. 권한 요청에 티켓/업무 목적 필드를 필수화했다.
3. 만료 후 자동 회수와 실패 알림을 구현했다.
4. 세션 로그를 사용자 행동 분석 파이프라인에 연결했다.

다음 글 예고

Day 5에서는 Zero Trust 운영의 마지막 조각인 Observability 기반 실시간 위협 탐지와 대응을 다룬다.