2021.10.19

제로 트러스트에 대한 6가지 미신과 오해

Neal Weinberg | CSO
최근 제로 트러스트에 대한 관심이 급증하고 있다. IDG가 발표한 2020 보안 우선순위 연구 보고서에 따르면, 제로 트러스트 기술 연구에 활발하게 참여하고 있다고 답한 응답자가 2019년에는 겨우 11%에 불과했지만, 현재는 40%로 증가했다. 또한, 기업의 18%가 이미 제로 트러스트 솔루션을 보유하고 있다고 밝혔으며, 이는 8%였던 2018년에 비해 2배 이상 높은 수치다. 23%의 응답자는 향후 12개월 내에 제로 트러스트를 구축할 계획이라고 답했다.
 
ⓒ Getty Images Bank

하지만 포레스터 애널리스트 스티브 터너는 최근 기업 고객과의 인터뷰에서 “과장된 마케팅과 광고가 이어지고 있는 탓에 기업의 50~70%가 제로 트러스트의 기본 개념과 원칙을 완전히 잘못 이해하고 있다”라고 지적했다. 또 “현실적으로 제로 트러스트를 둘러싼 5단계의 아픔이 존재한다. 제로 트러스트는 기존에 생각했던 것과는 다르다는 사실을 깨닫게 될 것이다”라고 덧붙였다.

제로 트러스트와 관련된 근거 없는 6가지 이야기와 오해를 소개한다.
 

1. 제로 트러스트가 기술 문제를 해결한다

제로 트러스트는 기술 문제가 아닌, 비즈니스 문제를 해결한다. 터너는 “가장 먼저 해야 할 일은 앉아서 해결할 비즈니스 문제를 이해하는 것이다”라고 말했다.

제로 트러스트 모델을 만든 전 포레스터 애널리스트 존 킨더버그는 비즈니스 성과에도 집중해야 한다고 강조하며, CISO가 직접 비즈니스에 관여해야 한다고 조언했다. 킨더버그는 “CISO가 자신의 비즈니스 요구사항을 모르면 실패할 것이다”라고 경고했다.
 

2. 제로 트러스트는 하나의 제품 또는 제품 모음이다

제로 트러스트에 관한 흔한 오해 중 하나는 신원 관리와 액세스 제어, 네트워크 세분화를 하면 제로 트러스트를 성공적으로 구축할 수 있다는 것이다. 현재 매니지드 보안 서비스 업체 온투아이티(On2IT) 사이버보안 전략 수석 부사장을 맡고 있는 킨더버그는 제로 트러스트가 제품 모음이나 일련의 전략이 아닌, 데이터 침해 방지를 위한 전략적 계획이라고 설명했다.

컨설팅 업체 액센츄어(Accenture) CISO 크리스 버크하트는 제로 트러스트를 안전한 기술 환경을 구축하는 데 사용되는 ‘원칙 집합’으로 묘사했다. 버크하트는 “그 누구도 제로 트러스트 솔루션을 판매할 수 없다. 제로 트러스트를 구현하는 제품을 찾고 있다면, 이는 잘못된 것이다”라고 밝혔다.

터너는 이른바 ‘제로 트러스트 제품’을 구입했다는 여러 기업과 인터뷰를 진행한 결과, 그 중 아무도 모든 것에 대한 접근법을 바꾸지 않았다는 사실을 알게 됐다. 데이터를 분류하지 않았고, 여전히 과도한 특권을 가진 직원과 협력업체, 하청업체를 보유하고 있었다. 중요한 자산을 식별하거나 네트워크 흐름도 변경하지 않았다.
 

3. 제로 트러스트는 직원을 신뢰하지 않는다는 것을 의미한다

제로 트러스트 접근법은 시스템을 신뢰할 수 있게 구축하는 것이 목적이 아니라, IT 시스템에서 ‘신뢰’라는 개념을 제거하는 것이다. 킨더버그는 “신뢰는 데이터 침해에 악용되는 취약점이다. 신뢰할 수 있는 시스템을 만들고자 하는 것이 결코 아니다”라고 강조했다.

제로 트러스트는 간혹 회사가 갑자기 직원을 신뢰하지 않는다는 의미로 잘못 해석되기도 하는데, 이에 CISO는 개인적 차원의 문제가 아니라는 것을 설명할 수 있어야 한다. 마치 건물에 들어가기 위해 출입증이 필요한 경우와 같다. 결국 사내 모든 직원에 영향을 미칠 수 있는 데이터 침해를 방지하는 것이 궁극적인 목표다.
 

4. 제로 트러스트는 구현하기 어렵다

킨더버그는 제로 트러스트를 구현하기 어렵다는 입장에 발끈하며 “이런 입장은 제로 트러스트가 심층 방어 모델을 훼손한다는 이유로 제로 트러스트를 반대하는 사람들이 지어낸 미신일 뿐이다”라고 주장했다. 더 나아가 “제로 트러스트는 복잡하지 않고 기업이 이미 사용 중인 보안 모델보다 비싸지도 않으며, 데이터 침해 비용조차 유발하지 않는다”라고 설명했다.

터너도 최근 도구가 자체적으로 개선됐고, 여러 업체가 제품 개발에 협업하고 있어 제로 트러스트 구현이 훨씬 더 쉽다는 데 동의했다. 또한, 요즘에는 과도한 투자 없이도 매우 수월하게 작업을 완성할 수 있다고도 덧붙였다.
 

5. 제로 트러스트로 전환하는 올바른 방법은 한 가지뿐이다

터너에 따르면 시간이 지나면서 제로 트러스트 도입에 두 가지 접근법이 등장했다. 바로 보안과 신원 관리 측면이다. 일부 기업은 ID 중심으로 접근하기 시작해 신속하게 다단계 인증으로 전환하고 있는데, 이는 ‘가장 쉽고 빠른 성공’을 가져다 준다.

이 외에 다른 기업은 마이크로세그먼테이션에 반대해 네트워크 중심적인 접근법을 채택하는데, 이는 조금 더 어려울 수 있다.
 

6. SASE를 배포하는 것은 제로 트러스트 보안을 실현한다는 의미다

SASE는 클라우드에 보안 제어 기능을 제공하는 서비스로, 최근 제로 트러스트를 수용하는 방법으로 인기가 좋다. 하지만 터너는 많은 기업이 재택근무자가 당면한 문제를 해결하기 급급해 혼란스러운 팬데믹 초기에 벌써부터 SASE를 도입했다고 지적했다.

SASE는 경계에서 제로 트러스트를 다루지만, 최근 기업이 사무실 근무로 다시 전환하면서 여전히 전통적인 경계 보안 개념으로 운영되고 있다는 사실을 실감하고 있다. 터너는 “SASE 솔루션은 하이브리드 모델로 구축되지 않는다. 이제 기업은 원점으로 돌아가 제로 트러스트를 전사적 전략으로 적용해야 한다”라고 조언했다. editor@itworld.co.kr


2021.10.19

제로 트러스트에 대한 6가지 미신과 오해

Neal Weinberg | CSO
최근 제로 트러스트에 대한 관심이 급증하고 있다. IDG가 발표한 2020 보안 우선순위 연구 보고서에 따르면, 제로 트러스트 기술 연구에 활발하게 참여하고 있다고 답한 응답자가 2019년에는 겨우 11%에 불과했지만, 현재는 40%로 증가했다. 또한, 기업의 18%가 이미 제로 트러스트 솔루션을 보유하고 있다고 밝혔으며, 이는 8%였던 2018년에 비해 2배 이상 높은 수치다. 23%의 응답자는 향후 12개월 내에 제로 트러스트를 구축할 계획이라고 답했다.
 
ⓒ Getty Images Bank

하지만 포레스터 애널리스트 스티브 터너는 최근 기업 고객과의 인터뷰에서 “과장된 마케팅과 광고가 이어지고 있는 탓에 기업의 50~70%가 제로 트러스트의 기본 개념과 원칙을 완전히 잘못 이해하고 있다”라고 지적했다. 또 “현실적으로 제로 트러스트를 둘러싼 5단계의 아픔이 존재한다. 제로 트러스트는 기존에 생각했던 것과는 다르다는 사실을 깨닫게 될 것이다”라고 덧붙였다.

제로 트러스트와 관련된 근거 없는 6가지 이야기와 오해를 소개한다.
 

1. 제로 트러스트가 기술 문제를 해결한다

제로 트러스트는 기술 문제가 아닌, 비즈니스 문제를 해결한다. 터너는 “가장 먼저 해야 할 일은 앉아서 해결할 비즈니스 문제를 이해하는 것이다”라고 말했다.

제로 트러스트 모델을 만든 전 포레스터 애널리스트 존 킨더버그는 비즈니스 성과에도 집중해야 한다고 강조하며, CISO가 직접 비즈니스에 관여해야 한다고 조언했다. 킨더버그는 “CISO가 자신의 비즈니스 요구사항을 모르면 실패할 것이다”라고 경고했다.
 

2. 제로 트러스트는 하나의 제품 또는 제품 모음이다

제로 트러스트에 관한 흔한 오해 중 하나는 신원 관리와 액세스 제어, 네트워크 세분화를 하면 제로 트러스트를 성공적으로 구축할 수 있다는 것이다. 현재 매니지드 보안 서비스 업체 온투아이티(On2IT) 사이버보안 전략 수석 부사장을 맡고 있는 킨더버그는 제로 트러스트가 제품 모음이나 일련의 전략이 아닌, 데이터 침해 방지를 위한 전략적 계획이라고 설명했다.

컨설팅 업체 액센츄어(Accenture) CISO 크리스 버크하트는 제로 트러스트를 안전한 기술 환경을 구축하는 데 사용되는 ‘원칙 집합’으로 묘사했다. 버크하트는 “그 누구도 제로 트러스트 솔루션을 판매할 수 없다. 제로 트러스트를 구현하는 제품을 찾고 있다면, 이는 잘못된 것이다”라고 밝혔다.

터너는 이른바 ‘제로 트러스트 제품’을 구입했다는 여러 기업과 인터뷰를 진행한 결과, 그 중 아무도 모든 것에 대한 접근법을 바꾸지 않았다는 사실을 알게 됐다. 데이터를 분류하지 않았고, 여전히 과도한 특권을 가진 직원과 협력업체, 하청업체를 보유하고 있었다. 중요한 자산을 식별하거나 네트워크 흐름도 변경하지 않았다.
 

3. 제로 트러스트는 직원을 신뢰하지 않는다는 것을 의미한다

제로 트러스트 접근법은 시스템을 신뢰할 수 있게 구축하는 것이 목적이 아니라, IT 시스템에서 ‘신뢰’라는 개념을 제거하는 것이다. 킨더버그는 “신뢰는 데이터 침해에 악용되는 취약점이다. 신뢰할 수 있는 시스템을 만들고자 하는 것이 결코 아니다”라고 강조했다.

제로 트러스트는 간혹 회사가 갑자기 직원을 신뢰하지 않는다는 의미로 잘못 해석되기도 하는데, 이에 CISO는 개인적 차원의 문제가 아니라는 것을 설명할 수 있어야 한다. 마치 건물에 들어가기 위해 출입증이 필요한 경우와 같다. 결국 사내 모든 직원에 영향을 미칠 수 있는 데이터 침해를 방지하는 것이 궁극적인 목표다.
 

4. 제로 트러스트는 구현하기 어렵다

킨더버그는 제로 트러스트를 구현하기 어렵다는 입장에 발끈하며 “이런 입장은 제로 트러스트가 심층 방어 모델을 훼손한다는 이유로 제로 트러스트를 반대하는 사람들이 지어낸 미신일 뿐이다”라고 주장했다. 더 나아가 “제로 트러스트는 복잡하지 않고 기업이 이미 사용 중인 보안 모델보다 비싸지도 않으며, 데이터 침해 비용조차 유발하지 않는다”라고 설명했다.

터너도 최근 도구가 자체적으로 개선됐고, 여러 업체가 제품 개발에 협업하고 있어 제로 트러스트 구현이 훨씬 더 쉽다는 데 동의했다. 또한, 요즘에는 과도한 투자 없이도 매우 수월하게 작업을 완성할 수 있다고도 덧붙였다.
 

5. 제로 트러스트로 전환하는 올바른 방법은 한 가지뿐이다

터너에 따르면 시간이 지나면서 제로 트러스트 도입에 두 가지 접근법이 등장했다. 바로 보안과 신원 관리 측면이다. 일부 기업은 ID 중심으로 접근하기 시작해 신속하게 다단계 인증으로 전환하고 있는데, 이는 ‘가장 쉽고 빠른 성공’을 가져다 준다.

이 외에 다른 기업은 마이크로세그먼테이션에 반대해 네트워크 중심적인 접근법을 채택하는데, 이는 조금 더 어려울 수 있다.
 

6. SASE를 배포하는 것은 제로 트러스트 보안을 실현한다는 의미다

SASE는 클라우드에 보안 제어 기능을 제공하는 서비스로, 최근 제로 트러스트를 수용하는 방법으로 인기가 좋다. 하지만 터너는 많은 기업이 재택근무자가 당면한 문제를 해결하기 급급해 혼란스러운 팬데믹 초기에 벌써부터 SASE를 도입했다고 지적했다.

SASE는 경계에서 제로 트러스트를 다루지만, 최근 기업이 사무실 근무로 다시 전환하면서 여전히 전통적인 경계 보안 개념으로 운영되고 있다는 사실을 실감하고 있다. 터너는 “SASE 솔루션은 하이브리드 모델로 구축되지 않는다. 이제 기업은 원점으로 돌아가 제로 트러스트를 전사적 전략으로 적용해야 한다”라고 조언했다. editor@itworld.co.kr


X