제로 트러스트는 보안 산업 전반에서 액세스 관리의 선구자 역할을 하고 있다. 제로 트러스트는 “기업의 네트워크 내외부에서 어떤 사람이나 컴퓨팅 엔티티도 신뢰해서는 안 된다”라는 철학에 기반을 두고 있지만, 모든 기업이 그 여정을 완료한 것은 아니다.

가트너의 2024년 설문조사에 따르면, 전 세계 기업의 약 3분의 2(63%)가 어느 정도 제로 트러스트 전략을 구현했다. 그러나 그 중 상당수(58%)는 제로 트러스트를 도입한 지 얼마 되지 않았으며, 제로 트러스트가 적용된 환경은 50% 미만에 불과한다.

가트너의 부사장 존 와츠는 많은 보안 리더가 장애물을 극복하기 위해 노력하는 과정에서 지원 기술을 시범 운영하고 필요한 아키텍처를 구축하는 단계에 머물러 있다고 지적했다.

보안 과제의 구성 요소, 복잡성, 도전 과제를 더 잘 이해하기 위해 보안 책임자가 제로 트러스트로 향하는 과정에서 얻은 경험을 공유한다.

비즈니스가 변화를 수용하도록 유도하기

메리 카마이클에게 제로 트러스트 여정은 기업의 보안 인프라를 진화시키는 것만큼이나 문화 변화를 이끌어내는 과정이다.

2년 전 캐나다 규제 기관에 컨설턴트로 채용된 카마이클은 규제 기관이 보안 태세를 개선해야 할 필요성을 즉시 인식했다. 이 기관에는 민감한 데이터를 취급하는 원격 근무자가 많았고, 그 데이터의 대부분은 규제 대상 기관에서 제공한 것이었다.

카마이클은 다른 많은 기업과 마찬가지로 기관도 기술 환경에 속한 사람, 기기, 애플리케이션 등 대부분의 주체를 신뢰하는 보안 인프라를 갖추고 있었다고 말했다.

카마이클은 “제로 트러스트는 전체 과정에서 모든 것을 검증하는 것이다. 이는 큰 변화이다”라고 말했다. 카마이클은 모멘텀 테크놀로지의 전략, 위험, 준수 자문 담당 디렉터이자 전문 거버넌스 협회 ISACA의 신흥 트렌드 작업 그룹 멤버이다.

이 기관은 기본 수준의 ID 및 액세스 관리(IAM) 기능을 갖추고 있었지만, 제로 트러스트 아키텍처에 필요한 두 가지 핵심 기술인 멀티팩터 인증(MFA)과 특권 액세스 관리(PAM)는 구현하지 않았다. 또한 환경 내에서 엔티티의 이동을 추적할 수 있는 도구가 없었기 때문에 엔티티가 사용하려고 하는 모든 시스템에 대한 액세스를 차단할 방법이 없었다.

또한 해당 기관은 한때 신원을 생성하고 적절한 액세스 수준과 연결했지만, 카마이클은 “거버넌스가 없고 액세스 권한이 점차 확대되는 ‘액세스 크립’ 현상이 발생했으며, 기업을 떠난 직원들의 신원을 신원 관리 시스템에서 제거하는 데 지연이 발생했다”고 설명했다.

기관의 보안 태세를 개선하기 위해 카마이클은 먼저 이해관계자들에게 제로 트러스트의 공통된 정의와 필요한 작업에 투자할 설득력 있는 이유를 제공해야 했다. 그 후에야 네트워크 세분화, PAM, MFA와 같은 제로 트러스트를 구현하기 위한 기술적 요소와 기본적인 프로세스 변경 사항을 기관에 교육할 수 있었다.

컨설팅 업체 프로티비티(Protiviti)의 사이버 전략 담당 매니징 이사 닉 푸에츠는 카마이클의 여정이 대부분의 기업과 유사하다고 말했다. 많은 기업은 제로 트러스트 접근 방식을 공식적으로 채택하기 전에 다양한 제로 트러스트 요소를 이미 도입했지만, 이들이 서로 유기적으로 작동하지 않는 경우가 많다. 제로 트러스트 프레임워크를 사용하면 이런 문제를 해결할 수 있다.

푸에츠는 이것이 “모든 움직이는 부분을 하나로 통합하는 방법”이라고 말했다.

카마이클이 기관을 제로 트러스트 여정으로 이끌어가는 과정에서 가장 큰 장애물은 비즈니스 측의 변화 수용이었다.

제로 트러스트 환경에서 비즈니스 리더와 인사 부서는 신원 생성 및 관리, 각 신원에 대한 적절한 접근 권한 설정 등에 대한 중요한 작업을 수행해야 한다. 또한 작업을 정확히 수행하고 지속적으로 관리하는 책임도 지어야 한다.

카마이클은 이런 조건이 바로 기업 변화 관리와 고위 경영진의 지원이 제로 트러스트로의 성공적인 전환에 필수적이라고 강조했다.

또한 해커가 민감한 데이터를 접근할 경우 발생할 수 있는 상황을 강조해 변화의 시급성을 강조하는 것이 비즈니스 이해관계자들의 제로 트러스트 수용을 촉진하는 데 도움이 되었다. 교육과 훈련도 마찬가지였다.

카마이클은 “제로 트러스트로 전환하는 것은 다양한 그룹, 프로세스 변화, 사람들이 관여되는 복잡한 과정이다. 사람들은 제로 트러스트에 대해 필요한 변화의 정도를 인식하지 못하고 있는 것 같다”라고 말했다.

사용성과 보안의 균형

닐 하퍼는 유엔 프로젝트 서비스 사무소의 CISO로 재직할 당시, 전 세계에 8,000명의 사용자가 있으며, 그 중 상당수가 코펜하겐, 제네바, 뉴욕의 사무실에서 멀리 떨어진 현장에서 근무하는 기업의 보안을 보장해야 하는 어려운 과제에 직면했다.

하퍼는 3년 간의 재직 기간에 기업에 제로 트러스트를 도입하기 시작했다.

카마이클과 마찬가지로 하퍼도 기업의 네트워크, 기기, 애플리케이션, 워크로드, 데이터 및 ID를 검토해 세분화된 제어를 적용할 수 있고 적용해야 하는 부분을 파악하는 단계부터 시작했다. 또한 비즈니스 목표와 중요 자산을 바탕으로 암시적 보안에서 제로 트러스트로 전환하기 위해 필요한 기술 구성 요소와 프로세스 변경 사항을 결정해야 했다.

하퍼는 “회사의 핵심 자산부터 정의하자. 일반적으로 데이터나 자산의 2%에서 10%에 해당하는 핵심 자산을 중요, 고가치, 기밀, 엄격한 기밀로 식별하고 분류하라. 이렇게 하면 보호해야 할 대상이 무엇인지 더 명확해진다”라고 설명했다. 그 다음 단계는 정의한 목표와 가장 잘 맞는 기술 투자를 살펴보고 보호해야 할 자산을 우선순위화한 목록을 수립하는 것이다.

하퍼는 또한 사전에 시간을 들여 빠른 성과를 거둘 수 있는 부분과 제로 트러스트를 구현하기 어려운 부분(예 : 레거시 기술)을 파악했다.

하퍼는 전략을 구현하는 데 점진적인 접근 방식을 취했다. 제로 트러스트는 많은 혼란을 야기하므로 큰 변화에 적합하지 않다고 생각했기 때문이다.하퍼는 여정을 시작할 때 사용자 그룹을 조기에 소집했다고 덧붙였다.

또한 “제로 트러스트 아키텍처는 사람들의 액세스, 신원, 권한을 지속적으로 확인하기 때문에 추가적인 마찰을 야기하며, 이러한 마찰은 사용자에게 불만을 야기할 수 있다. 따라서 사용자 대표로 구성된 포커스 그룹과 여러 부서의 크로스 기능 팀을 구성해 목표를 설명하고 사용자들이 고통을 겪고 있는 부분과 우려를 공유할 수 있도록 했다. 이렇게 함으로써 제어를 구현하는 동안에도 강력한 사용자 경험을 유지할 수 있었다”라고 말했다. 사용자의 경험 품질 저하 없이 항상 사용성과 보안을 균형 있게 유지하는 것이 목표였다.

다음 단계로, 하퍼의 팀은 사무실에서 빠른 성과를 거둘 수 있는 부분부터 먼저 제어를 구현했다. 여기에는 MFA 및 조건부 액세스를 시행하기 위한 기술 구현이 포함되었다.

그런 다음 하퍼는 자신이 기업을 떠난 후에도 계속 진행할 수 있는 더 복잡한 구현 로드맵을 마련했다.

현재 소프트웨어 업체 두들(Doodle) CISO인 하퍼는 새로운 회사에서 제로 트러스트 모델을 추진하는 데 유사한 접근 방식을 취하고 있다고 말했다.

사람, 프로세스, 시스템의 통합

2021년 해킹 사건을 겪은 OHLA USA와 CIO 스리바찬 라가반은 기존 보안 조치가 “종합적으로 결합되었음에도 불구하고 부족했다”는 교훈을 얻어 제로 트러스트로 선회했다.

라가반은 몇 년 동안 보안 사고가 전혀 없었기 때문에 올바르게 가고 있다고 생각했다고 말했다. 그러나 침해 사고는 그 확신을 흔들었고, 회사에 ‘더 나아갈 발판’을 제공했다. 라가반은 ”제로 트러스트에서는 보안 도구가 충분하지 않다는 믿음이 있다. 사람, 프로세스, 시스템이 함께 어우러지는 것이 중요하다”라고 말했다.

보안을 총괄하는 라가반의 팀은 자체 점검부터 시작했다. 일상적인 운영 방식을 재검토해야 했다. 모든 것을 테이블 위에 올려놓고 반성하는 과정이었다.

라가반은 이 과정이 제로 트러스트 보안 환경을 구축하는 기업에서 일반적으로 필요한 추가 통제 조치의 필요성을 깨달았다고 설명했다. 또한 기업 내 부서 간 벽을 허무는 것도 중요했다. 라가반은 “IT가 더 나은 IT 팀이 되고 전체 비즈니스를 더 잘 이해하기 위해서는 기업 내의 모든 사일로를 파괴해야 했다”라고 회고했다.

이를 지원하기 위해 라가반은 미국 국립 표준 기술 연구소(NIST)와 마이크로소프트의 프레임워크를 결합한 프레임워크를 만들었다. 이 맞춤형 프레임워크를 통해 제로 트러스트 여정을 진행하면서 프로젝트를 분류하고 처리할 수 있었다. 또한 이 프레임워크는 특정 영역에서 잠재적인 침입 및 사고를 식별, 보호, 탐지, 대응 및 복구하는 데 회사가 얼마나 잘하고 있는지 평가하는 데도 도움이 됐다.

프로티비티의 전무 이사인 푸에츠는 많은 기업이 비슷한 이유로 제로 트러스트의 가치를 인식하고 있다고 말했다. 또한 “제로 트러스트를 통해 CISO는 전략을 작은 단위로 나누고 사이버 보안 프로그램의 현재 위치와 앞으로의 방향성을 설명할 수 있다”라고 덧붙였다.

라가반은 제로 트러스트 프로그램의 성숙도를 높이는 데 성공했다. 예를 들어, 광역 네트워크(WAN)의 사용을 제거하고 상시 접속 VPN, 모바일 기기 관리(MDM) 솔루션, MFA 및 조건부 액세스 기능을 포함한 클라우드 기반 제어 기능으로 대체했다.

또한 서버 관리자나 네트워크 엔지니어와 같은 직책명을 폐지하고 시니어 테크놀로지스트와 주니어 테크놀로지스트로 역할을 전환해 부서 간 벽을 허물었다. 이 여정에서 공인 정보 보안 관리자(CISM) 자격을 취득한 라가반은 책임의 경계를 그리는 것을 원하지 않았고 업무의 상호 의존성을 반영하고 싶었다고 덧붙였다.

라가반은 제로 트러스트 철학이 ‘항상 안전을 생각하라’를 모토로 더 많은 자동화와 인공지능을 채택하면서 회사를 더 안전한 보안의 길로 이끌고 있다고 말했다.

마지막으로 라가반은 제로 트러스트는 보안 관리를 더 쉽게 만들고 제어 수준을 세분화하는 데 도움이 된다며 “IT를 가능한 한 세분화해 관리하는 것이 핵심”이라고 덧붙였다.
dl-itworldkorea@foundryco.com