액센추어의 최근 보고서에 따르면, 보안 책임자 10명 중 9명이 제로 트러스트 도입 과정에서 심각한 어려움을 경험했다. 업계 애널리스트와 보안 전문가는 제로 트러스트 구축이 조직 전반에 복잡하게 얽혀 있는 특성, 부서 책임자의 반발, 그리고 투자 대비 효과(ROI) 가시화까지 걸리는 긴 시간이 좌절을 겪는 핵심 요인이라고 설명했다.

액센추어 보고서는 “88%의 기업에서는 기본적인 보안 프레임워크인 제로 트러스트 도입이 여전히 큰 도전 과제로 꼽힌다. 80%의 기업은 사이버-물리 제어 시스템을 효과적으로 보호하지 못해 물리적 영역까지 취약성이 확장되고 있다”라고 전했다.

제로 트러스트 도입이 어려운 대표적인 이유는 기업마다 이를 정의하는 방식이 다르기 때문이다. 제로 트러스트는 특정한 보안 사양(specification)이라기보다 전략적 접근 방식(approach)에 가깝다. 그렇다고 해서 많은 CISO가 자사 환경에서 제로 트러스트 전환을 의미 있게 진전시키는 성과를 거두지 못했다는 뜻은 아니다.

기업 환경이 제각각이라는 점도 제로 트러스트 도입을 복잡하게 만드는 요인이다. 각 조직은 규제 요건, 지역적 특성, 산업 분야, 협력 파트너의 성격 등에서 큰 차이를 보인다. 여기에 더해 온프레미스, 클라우드, 원격 사이트, IoT, 레거시 인프라까지 모두 고려해야 하므로 제로 트러스트를 위한 구체적이고 일률적인 실행 지침을 마련하기 어렵다.

타타컨설턴시서비스(Tata Consultancy Services)의 사이버보안 글로벌 총괄 프라샨트 데오는 “제로 트러스트는 전술적 배포가 아니라 전략적 전환이며, 그렇기 때문에 업계 전반에서 광범위한 어려움이 나타나는 것이다. 기업 단위에서 제로 트러스트를 구현하는 것은 험난한 과제다. 단계적 접근과 사용례 중심의 실행을 병행하는 여정이 필요하다”라고 조언했다.

또한 제로 트러스트 사고방식은 기업이 전통적으로 보안을 접근해 온 방식과 근본적으로 충돌한다. 데오에 따르면, 수십 년 동안 보안은 ‘네트워크 경계 내부는 신뢰할 수 있다’는 전제 위에 구축됐다. 제로 트러스트 모델은 이런 사고방식을 완전히 뒤집을 것을 요구한다. 데오는 “조직 전체를 ‘절대 신뢰하지 않고, 항상 검증한다(never trust, always verify)’는 문화로 전환하는 것은 크고 어려운 변화”라고 강조했다.

세일포인트(Sailpoint)의 CISO 렉스 부스는 제로 트러스트를 둘러싼 정의의 혼란이 많은 마찰의 원인이라며 “제로 트러스트는 보는 관점에 따라 해석이 제각각이다. 우리는 제로 트러스트의 의미를 독점하거나 ‘이것만이 유일한 방식’이라고 이상화된 모델을 제시하고 싶지는 않다”라고 말했다.

월드와이드테크놀로지(World Wide Technology)의 아이덴티티 아키텍트 카렌 앤더슨은 용어가 모호하다는 점에서 세일포인트의 부스와 의견을 같이했다.

앤더슨은 “많은 사람이 제로 트러스트라는 용어를 어떻게 받아들여야 할지조차 모른다. 어떤 이는 이를 제품이라고 하는 등 사람마다 이해하는 방식이 다르다. 제로 트러스트가 마케팅 유행어처럼 보일 때도 있다. 하지만 그 근간에 있는 전략적 접근 방식 자체에는 의미가 있다”라고 설명했다.

오히려 앤더슨은 제로 트러스트 도입이 어렵다고 답한 보안 임원이 88%에 불과하다는 점에 놀라며 “힘들지 않았다고 답한 12%를 직접 만나보고 싶다”라고 농담을 던졌다.

끝나지 않는 제로 트러스트 여정

앤더슨은 제로 트러스트를 전사적으로 완전히 도입하려면 10년 이상이 걸릴 수 있으며, 실제로 끝까지 완성되는 경우가 있을지도 의문이라고 말했다. 앤더슨은 “경영진에게 제로 트러스트를 설명할 때, 10년에서 12년에 걸친 로드맵으로 기반을 다져나가는 전략이라고 말한다. 제로 트러스트는 결코 끝까지 도달할 수 있는 여정이 아니라고 본다”라고 말했다.

포시즌스 호텔(The Four Seasons Hotel) 체인에서 수년간 정보보안 매니저로 근무했던 살레 함단 알-부알리 역시 제로 트러스트의 복잡성과 이를 추진할 구체적인 인센티브 부족을 우려했다.

현재 AI 관련 스텔스 스타트업(stealth startup)에서 보안 책임자로 활동 중인 알-부알리는 제로 트러스트를 유닉스의 신뢰할 수 있는 호스트(trusted host)와 정반대 개념으로 정의하며, “이를 도입할 구체적인 인센티브가 전혀 없다. 제로 트러스트는 비즈니스 운영을 늦추는 효과가 있다. 완전히 구현하지 않으면 도입 자체가 불가능하며, 그 전까지는 어떤 혜택도 얻을 수 없다”라고 설명했다.

알-부알리는 제로 트러스트가 성공하려면 이사회나 CEO에서 CISO 조직으로 이어지는 탑다운(top-down) 방식으로 추진돼야 한다고 강조하며, 최근 기업에서 추진되는 생성형 AI 확산 방식과 비슷하다고 말했다. 알-부알리는 “왜 이것을 해야 하는지에 대해 구체적인 이유를 들어 이사회와 경영진을 설득해야 한다”라고 강조했다.

무어 인사이츠 앤드 스트래티지(Moor Insights & Strategy)의 부사장이자 수석 애널리스트 윌 타운센드는 일반적인 CISO의 보상 구조가 제로 트러스트 도입 추진을 소극적으로 만들 수 있다고 지적했다.

타운센드는 “CISO의 보상 구조는 보통 제로 트러스트 목표와 일치하지 않는다. 상장기업 대부분은 분기 실적 위주로 움직인다. 기업이 가치를 두는 것은 LOB(Line of Business)의 생산성을 높이거나, 특정 서비스를 수익화할 수 있는 능력이다. 클라우드 보안에 더 우선순위를 두는 것도 같은 이유다. 보안 위생을 개선하는 일이 즉각적인 ROI로 어떻게 이어질 수 있겠는가?”라고 반문했다.

타타컨설턴시서비스의 데오는 제로 트러스트 여정에 마찰을 더하는 또 다른 요인으로 글로벌 위협 환경 전반에 대한 가시성 부족을 꼽았다.

데오는 “기업은 주체와 자원 간 데이터 흐름에 대한 가시성이 낮아 현재 접근 패턴을 파악하거나 제로 트러스트 접근의 필요성을 판단하는 데 어려움을 겪는다. 사용자와 기기의 현재 상태를 지속적으로 모니터링하고 점검하는 능력 또한 실제 제로 트러스트 채택을 어렵게 만드는 요인”이라고 설명했다.
dl-itworldkorea@foundryco.com