네트워크 / 보안

글로벌 칼럼 | 제로 트러스트, 핵심 시스템 변경 전에 아키텍처 계획이 우선

John Burke | Network World 2022.02.24
제로 트러스트(Zero Trust)는 ID, 애플리케이션, 네트워크, 데이터, 디바이스까지 모든 것과 관련되어 있다. 최상의 접근법은 모든 것을 한꺼번에 바꾸지 않는 것이다. 그보다는 좀 더 큰 그림으로 시작하는 것이 좋다. 네머티스(Nemertes)의 조사에 따르면, 제로 트러스트 구현에 성공한 조직 대부분은 첫 단계에 아키텍처를 만드는 데 전념한 것으로 나타났다. 성급하게 솔루션 도입에 나서지 않은 것이다.
 
ⓒ Getty Images Bank

성급하게 뛰어든 조직은 제로 트러스트에 대한 기반 작업과 한 가지 이상의 연쇄 작업을 수행했다. 네트워크와 보안, 데이터 관리를 재설계하고 툴을 구매하고 구현팀을 구성해 작업에 착수할 수 있도록 한 것이다. 물론, 이 모든 일은 어차피 해야 하지만, 제로 트러스트와 관련해서는 실질적인 변화를 단행하기 전에 이 모든 조각이 어떻게 맞아떨어질지 아키텍처 수준이나 툴 세트 관점에서 좀 더 신중하게 생각해야 한다.

성공적인 보안이란 심각한 사이버 보안 사고의 비율이 매우 낮다는 것을 의미한다. 좀 더 성공적인 조직이라면, 100건의 사이버 보안 사고 중 심각한 사고는 2건에 불과한 정도이다. 심각한 사고란 직원이나 비즈니스에 영향을 미치거나 외부에 보고해야 할 정도의 사고를 말한다. 그리고 대부분 경우, 성공적인 조직은 이 비율이 2% 이하이다. 

제로 트러스트는 분명 네트워크나 보안, 데이터 액세스와 관련해 아키텍처 수준의 변화가 필요하다. 만약 제로 트러스트 개념을 현실화하고자 한다면, 위치나 기존의 신뢰 관계와 상관없이 절대적인 믿음이란 있을 수 없다.

제로 트러스트는 운영의 모든 측면, 시스템의 모든 수준을 건드릴 수밖에 없다. 게다가 네트워크의 일정 부분을 조금 더 신뢰하고, 일부 사용자를 조직 내에 있다는 이유로 조금 더 신뢰하고, 한 번 접근 권한을 얻은 개체를 계속 신뢰하는 방식의 기존 패러다임은 급격한 변화를 피할 수 없다. 하지만 핵심 시스템에 대한 변화는 제로 트러스트 환경에 대한 큰 그림이 잘 정의된 이후에 고려해야만 한다.

예를 들어, 아키텍트는 애플리케이션 수준의 접근 권한보다 네트워크 수준의 보안 강화가 더 좋다고 판단할 수 있다. 네트워크 수준의 강화는 A 사용자가 B 서비스에 대한 권한이 없다면, B 서비스를 볼 수도 없고 패킷을 보낼 수도 없는 환경을 만든다. 이 경우, 정책을 강제할 수 있도록 네트워크 자체를 재설계해야 할지도 모른다.

아니면, 정책 강화를 엔드포인트 수준의 시스템에서 처리할 수도 있다. 이들 엔드포인트는 SDP(Software Defined Perimeter) 클라이언트를 실행할 수 있는 디바이스이며, 네트워크는 센서처럼 이런 클라이언트를 실행할 수 없는 디바이스만 처리하면 된다. 어떤 경우라도 의사결정은 각각의 기술 영역에서 재설계가 시작되기 전에 이루어져야 한다. 

일단 상위 아키텍처와 다양한 영역의 아키텍처를 결정하고 나면, IT는 실질적인 구현에 필요한 질문을 준비해야 한다. 언제 그렇듯이, 인력과 프로세스, 정책, 기술이 관련되어 있다.

대부분 조직이 초기 단계에서 여러 기능을 갖춘 구현팀을 꾸린다. 이런 팀은 비전을 현실로, 아키텍처를 포트폴리오와 프로세스로 번역하는 초기 작업을 맡는다. 제로 트러스트는 보안과 액세스에 관한 근본적인 변화이기 때문에 장기적으로 운영할 제로 트러스트팀은 없다. 길게 보면, 모두가 제로 트러스트팀이기 때문이다.

단기적으로는 네트워크 엔지니어링과 데이터 관리, 애플리케이션 엔지니어링의 핵심 인력이 제로 트러스트를 구현하는 데 집중해야 하며, 가능한 한 일상적인 유지보수와 관리에서는 손을 뗄 수 있어야 한다. 이들이 제로 트러스트 아키텍처 목표와 기존 환경 간의 격차를 해소하려면 어떤 툴이 필요하고 어떤 시스템은 유지하고 어떤 시스템은 좀 더 기능이 많은 것으로 교체해야 하는지 제시하거나 툴 간의 정책 실행을 위한 오케스트레이션 툴을 제공할 것이다. SDP가 해법이 될 수도 있다. 그렇다면, 어떤 솔루션과 어떤 기능을 갖춰야 하는가? 사용자의 애플리케이션 액세스에 USG(Universal Service Gateway)를 사용한다면? 어떤 솔루션이 필요하며, SDP와는 어떤 방식을 정책을 공유할 것인가?

제로 트러스트팀은 또한 보안과 액세스 정책(시스템에 대한 액세스 중 어떤 것은 모든 직원에게 기본적으로 허용하고, 어떤 액세스는 특정 직책에만 허용할 것인가), 프로세스(침해 방지를 위해 권한을 어떻게 얼마나 자주 검토할 것인가)에 대한 변경을 처음으로 시도할 것이다.

정리하자면, 제로 트러스트 환경으로의 전환은 제로 트러스트 아키텍처에서 시작한다. 나머지 모든 요소는 아키텍처를 따른다. 요구되는 아키텍처는 여러 단계가 있으며, 새로운 패러다임을 구현하기 위해 툴과 솔루션을 다시 준비해야 할 수도 있다. 하지만 모든 것은 잘 정의된 큰 그림에서 시작해야만 한다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.