기업의 보안 접근 방식으로 자리 잡은 제로 트러스트 개념은 등장한 지 15년이 넘었지만, 실제 도입 과정은 여전히 더딘 상황이다. 부진의 배경에는 분절된 보안 도구와 레거시 인프라가 복합적으로 작용하고 있다.

액센츄어는 9월 발간한 보고서에서 제로 트러스트 기술 구축에 어려움을 겪는 사례가 광범위하게 나타나고 있다고 밝혔다. 필자가 여러 보안 전문가와 실무자에게 확인한 현장의 목소리와도 일치하는 결과다.

제로 트러스트 네트워크는 기본적으로 어떤 사용자나 기기도 신뢰하지 않는 보안 모델이다. 이 접근법에서는 요청이 조직 내부에서 발생했는지 여부와 관계없이 모든 접근 시도에 대해 사용자 식별과 디바이스 준수 여부를 검증하는 절차가 뒤따른다. 이는 기업 내부 네트워크에 연결된 디바이스를 기본적으로 신뢰했던 기존의 ‘성벽과 해자(castle and moat)’ 보안 모델과 대조된다.

여전히 더딘 이유

제로 트러스트 전환이 더디게 진행되는 이유는 기술적 변경에 그치지 않고 보안 인식과 조직 문화의 근본적 전환이 필요하기 때문이다. 주요 장애 요인으로는 다음이 꼽힌다.

• 제로 트러스트 원칙을 고려하지 않고 설계된 레거시 시스템
• 통합 정책 적용을 어렵게 만드는 분절된 ID 및 접근 제어 도구
• 기존 신뢰 모델을 유지하려는 조직적·문화적 저항

사이버보안 업체 알고섹(AlgoSec)의 필드 CTO 카일 위커트는 제로 트러스트가 사이버보안 분야에서 가장 오해받는 변화라고 말했다.

위커트는 “많은 기업이 제로 트러스트를 경직된 아키텍처, 운영 복잡성, 높은 구축 비용과 연결짓는 경향이 있다. 이 같은 인식은 IP 재할당, 라우팅 재설계, VLAN 재구성, 네트워크 재배선과 같은 레거시 환경에서의 정책 적용 방식에 뿌리를 둔다”라고 설명했다.

소프트웨어 정의 및 클라우드 기반 데이터센터로의 전환이 기존의 레거시 장애물을 상당 부분 해소했지만, 동시에 정책·애플리케이션 복잡성 증가라는 새로운 문제를 야기하고 있다. 제로 트러스트를 대규모로 구현하는 과정에서 경험하는 가장 큰 장애물은 더 이상 인프라가 아니다. 문제의 핵심은 온프레미스 방화벽, 클라우드 네이티브 제어, SDN, SD-WAN, SASE 기술 등으로 구성된 하이브리드 네트워크 전반에서 일관되게 적용할 수 있는 정책을 정의·관리·유지하는 일이다.

위커트는 “정책을 다양한 환경에서 적응형으로 유지하는 것이 현재 가장 큰 도전 과제다. 이 문제를 해결하는 가장 효과적인 방법은 세그먼테이션의 초점을 디바이스와 서브넷이 아니라 애플리케이션과 그 커넥티비티로 전환하는 것”이라고 말했다.

보안 업체 쿼럼사이버(Quorum Cyber)의 필드 CISO 리처드 홀랜드는 제로 트러스트가 특정 제품이나 서비스 묶음이 아니라, 조직의 보안 수준을 성숙시키기 위한 접근 방식이라며 “제로 트러스트를 구현하는 데 필요한 기술은 이미 오래전부터 존재해왔으며, 많은 CISO와 CIO는 스스로 인지하지 못한 채 제로 트러스트 로드맵에 서 있었을 가능성이 크다. 보안 건강도를 개선하는 여정으로 받아들이고, 이를 작은 단위로 나눠 점진적으로 실행하면 비교적 짧은 시간 안에 연속적인 개선을 이룰 수 있다”라고 전했다.

많은 사이버보안 전문가가 제로 트러스트 전환이 단순한 보안 강화 작업이 아니라, 더 큰 범주의 IT 전환 프로젝트를 추진할 수 있는 기회가 될 수 있다고 강조한다.

사이더리즈(Cyderes)의 CISO 인 레지던스 스티븐 프리다키스는 제로 트러스트 구현 과정에 내재된 네트워크 기반 규칙에서 ID 기반 규칙으로의 이동이 기업에 더 “안전하고 단순하며 지속 가능한” 아키텍처로 나아갈 수 있는 로드맵을 제공한다고 분석했다.

프리다키스는 “IP 대역, VLAN, 물리적 위치는 특히 M&A나 클라우드 도입이 반복되는 환경에서 점점 더 취약해지고 수명이 짧아진다. ID 기반 접근 제어는 네트워크가 아니라 사용자와 디바이스를 따라간다. 이 방식은 방화벽 난립을 해소하고 엔지니어링 부담을 줄이며, 인프라 구조가 아니라 정책 인텐트(intent)를 기준으로 접근 제어를 적용하도록 만든다”라고 설명했다.

기술보다 어려운 문제

텍사스대학교의 CISO 조지 피니는 지금까지 수백 명의 보안 책임자와 제로 트러스트에 대해 논의했다. 그 과정에서 그는 제로 트러스트 프로젝트가 실패하는 공통 요인을 여러 차례 확인했다고 말했다.

먼저 기업 내부의 정치적 갈등이 제로 트러스트 구현을 쉽게 무너뜨릴 수 있다. 피니는 “기업에서 기술 운영과 지원 조직은 대체로 사일로 형태로 움직인다. 각 조직은 사이버보안 침해가 초래할 위험 규모를 충분히 이해하지 못한 채 변화에 저항할 수 있다”라고 말했다.

제로 트러스트 전환에 성공한 조직에서는 “모든 부서의 리더십이 보안을 조직 전체 성공의 핵심 요소라고 인식하고 있다”라고 피니는 설명했다.

교육 부족 역시 제로 트러스트 기술 도입을 가로막는 중요한 장애 요소다. 제로 트러스트 프로젝트를 시작하는 일은 네트워크 설계를 조금 바꾸거나 애플리케이션 설정을 일부 조정하는 것만으로 끝나지 않는다.

피니는 “팀에 있는 모든 구성원이 제로 트러스트가 무엇인지, 왜 이를 추진하는지, 자신은 어떤 역할을 맡게 되는지를 이해해야 한다. 모든 제로 트러스트 프로젝트는 기술 변화뿐 아니라 조직 문화 변화까지 요구하므로 반드시 교육을 기반으로 출발해야 한다”라고 강조했다.

가이드포인트시큐리티(GuidePoint Security) CISO 게리 브릭하우스는 많은 기업이 제로 트러스트 원칙을 지나치게 엄격하고 복잡하게 적용하려다가 비용과 일정만 증가시키는 실수를 범하고 있다고 지적했다.

브릭하우스는 “대부분 조직은 과도한 접근 대신 위험 기반의 단순한 접근 방식을 택하는 편이 훨씬 효과적이다. 실제로 달성 가능하면서도 위험 감소라는 목표를 충족하는 핵심 사용례부터 식별하는 것이 좋다. 조직의 보안 수준을 눈에 띄게 개선하는 초기 성과는 제로 트러스트 여정을 지속할 수 있다는 조직 전반의 신뢰를 쌓는 데 큰 도움이 된다”라고 덧붙였다.

스트라타스케일(Stratascale)의 CISO 롭 포브스는 제로 트러스트 프로젝트에 착수하기 전 명확한 전략 로드맵을 마련하라고 조언했다.

포브스는 “CISO는 먼저 현재 보안 상태와 자산을 종합적으로 평가해야 한다. 그다음에는 중요 자산과 고위험 영역을 우선순위로 하는 제로 트러스트 구현 로드맵을 수립해야 한다”라고 말했다.

이런 단계 이후에는 제로 트러스트 모델로의 전환을 지원하기 위한 교육 투자와 도구 확보가 필요하며, 이는 조직의 요구가 변화함에 따라 지속적으로 정교화할 수 있도록 유연하게 설계되어야 한다.

이어 포브스는 “새로운 위협과 기술 변화에 대응해 제로 트러스트 전략을 정기적으로 검토하고 업데이트해야 한다”라고 덧붙였다.

AI 시대, 제로 트러스트는 더 강해져야

최근 에이전틱 AI가 기업 운영 전반에 깊숙이 자리 잡으면서, 기존 제로 트러스트 원칙을 새로운 현실에 맞춰 확장할 필요가 있다는 지적도 나온다.

시장조사기관 IDC는 2027년까지 AI 에이전트의 급증으로 인해 CIO의 50%가 ID·데이터 접근 및 권한 관리 체계를 재구성하고 자동화하는 작업에 착수하게 될 것으로 전망했다. 이는 오남용과 정보 유출을 최소화하기 위한 제로 트러스트 아키텍처의 핵심 조치다.

보안 전문가들은 제로 트러스트가 사람과 디바이스를 보호하는 수준을 넘어 AI 에이전트 자체를 관리 대상에 포함하는 새로운 단계에 들어섰으며, 이제 기업은 엄격한 컨텍스트 기반 경계 설정, 신뢰 도메인 제어, AI 전용 보안 검토 절차 등을 적용해야 한다고 조언한다.

보안 업체 일루미오(Illumio)의 최고 에반젤리스트 책임자 존 킨더배그는 필자와의 인터뷰에서 “AI는 제로 트러스트 패러다임을 바꾸는 것이 아니라 오히려 강화한다. AI는 사이버보안의 기본 규칙 안에서 움직이며, 공격이 성공하려면 결국 ‘열린 문’이 있어야 하기 때문”이라고 말했다.

더 큰 위험은 AI 모델 자체다. 킨더배그는 “AI 모델은 제로 트러스트 방식으로 관리되지 않으면 조직의 위험 요소가 될 수 있다. 조직이 AI 모델을 보호 대상로 다루지 않으면 조작, 데이터 중독, 탈취 위험에 노출될 수 있다”라고 지적했다.

대부분 경우 AI는 제로 트러스트 구현을 강화하는 역할을 한다.

킨더배그는 “적절하게 설계된 AI는 고위험 통신 패턴을 식별하고 비정상적 행위를 드러내며, 라벨링이나 정책 적용 같은 절차를 빠르게 수행하도록 돕는다. AI는 제로 트러스트의 5단계 방법론 전 과정에서 도움을 줄 수 있으며, 특히 조직이 단순한 탄력성(resilience)을 넘어 안티프래질(anti-fragile)로 나아가는 데 기여한다”라고 덧붙였다.
dl-itworldkorea@foundryco.com