한번에 뚝딱은 없다...제로 트러스트 도입 초기 신경써야 할 것들

제로 트러스트는 다양한 조직들에서 네트워크 보안의 미래로 대접 받고 있지만 하루 아침에 뚝딱 하고 쓸 수 있는 성격의 것이 아니다.

제로 트러스트에  여정(Journey)이라는 말이 많이 따라 다니는 것도 이와 무관치 않다. 제로 트러스트는 제품이나 기술을 넘어 보안에 접근하는 철학에 가까운 만큼, 조직들이 내부에서 소화하기까지 나름의 시간과 시행착오를 필요로 한다는 것이 대다수 전문가들 설명이다.

 제로 트러스트는 조직 내 구성원들 앵글로 보면 회사에서 하는 거의 모든 인터넷 및 애플리케이션 접속 활동이 상시 모니터링되고 있다는 것을 의미하는 만큼, 보기에 따라 직원들에게는 불편하게 비춰질 수도 있다. 얼마 전 필자는 모 기업에서 어떤 직원이 회사 파일을 다운로드하는 상황을 모니터링한 결과를 보고, 이직 가능성이 있다 해석했다는 얘기를 들었는데,  그냥  웃고 넘어갈 수 만은 없는 장면이다.

제로 트러스트는  내부 구성원들과 충분한 커뮤니케이션,  내부 자산 현황 파악 절차를 거치지 않고 그저 '빨리 빨리' 스타일로 접근할 경우 생산성과 충돌할 가능성도 있다. 제로 트러스트 환경에선 사용자들을 상대로 수시로 체크하고 확인하는 일들이 많은데, 정교하게 운영되지 않으면 사용성이 훼손될 수 있다는 지적이다.

초기 단계인 만큼, 제로 트러스트 보안을 어디에서부터 어떻게 적용해야 하는지에 대한 정답은 없다. 하지만 기업들이 참고할 만한 큰틀의 지침들은 나와 있다. 확실한 것은 제로 트러스트는 한번에 다하기는 어렵고 기업  별로 우선순위를 정해 실행하는 것이 현실적인 접근 방법이라는 것이다.

최근 포브스 인터넷판에서 포브스 테크놀로지 카운슬에 참여하는 전문가들을 인용해 제로 트러스트 초기 단계에서 염두에 둘만한 16가지 메시지를 공유했는데, 주요 내용들을 요약해 본다.

[사진: pixabay]


문화의 기술의 융합이 중요하다

조직들이 제로 트러스트 보안 구현에 앞서 신경써야 할 것들 중 하나는 내부에서 어떤 데이터를 갖고 있고 이들 데이터가 어디에 있는지 파악하는 것이다. 이게 안돼 있으면 데이터를 효과적으로 보호하기 어렵다.

투명성도 중요한 키워드다. 제로 트러스트는 내부에서 쓰는 사람들의 약속과 헌신이 없다면 무의미할 수 있다. 제로 트러스트가 효과를 내려면 회사 성공과 보안을 직원들 성공과 보안에 일치시킬 필요가 있다. 여기에서 중요한 것은 기업들이 투명성, 신뢰, 오픈 커뮤니케이션 문화 촉진에 우선순위를 둬야 한다는 것이다.  지속적인 교육과 적절한 기술이 버무려져야 제로 트러스트가 조직에 화학적으로 녹아들 수 있다.

현재 보안 상황을 파악하고 최소 접근 권한(Least-Privileged Access) 체제로 전환하는 것도 제로 트러스트 구현 단계에서 중요한 요소다. 

제로 트러스트는 사용자들에게 특정 작업을 수행하는데 꼭 필요한 권한만 부여하는데 초점이 맞춰져 있다. 

그런 만큼, 기존에 내부 사용자들에게 부여된 것들을 포함해 회사 내 허가(permissions)들을 측정하는 것도 제로 트러스트 도입 초기 중요한 실행파일 될 수 있다. 내부 허가 현황에 대해 알고 회사 목표에 맞게 세분화해 접근 관리 정책을 구현하는 것이 중요하다는 뜻이다.

아이덴티티, 위치, 디바이스 상태, 서비스 또는 워크로드를 분명하게 검증하고 침해를 당했다고 가정하는 제로 트러스트 보안에 필요한 모든 것들을 제공하는 보안 업체를 찾는 것은 현실적으로 어렵다. 선택하고 집중하는 접근이 현실적으로 필요하다.  이와 관련해 포브스는 시작은 아이덴티티, 멀티 팩터 인증, 최소 권한 접근부터라고  전했다. 조직내 어느 자산을 제로 트러스트에 이용할 수 있고 없는지 확인하고 접근 방식을 세분화하고 이를 지원하는 인증 메커니즘 구축에 나서야 한다고 덧붙였다.


사용자 퍼스트를 고려하라

앞서 언급했듯 보안과 사용자 경험 및 생산성은 충돌할 소지가 있다.  충돌을 최소화하려면 프로세스, 정책, 요구사항들을 구현하기 전에 사용자 여정과 경험을 고려하는 것이 중요하다. 

새로운 모델을 내놓고 내부에서 커뮤니케이션을 할 때도 보안 상 이점에 초점을 맞추는 대신 해당 경험, 예를 들면 비밀번호 없는 싱글사이온(SSO)이 어떤 혜택을 제공하는지를 부각하는 것에 무게를 둘 필요가 있다.

제로 트러스트를 위해 만든 조치들이 직원들 생산성을 파괴한다면 이들은 우회로를 찾을 가능성이 높다. 이같은 상황은 조직 차원에서 리스크로 이어질 수 있다.  

사람 뿐만 아니라 사람들이 쓰는 디바이스들도 중요한 요소다.

제로 트러스트 환경을 구축할 때, 가장 큰 도전 중 하나는 네트워크에 있는 모든 기기들을 확인하는 것이다. 네트워크에 연결하는 개인들은 조직 입장에서 보면 가장 큰 보안 리스크들 중 하나로 꼽힌다.  개인들은 피싱이나 소셜 엔지니어링 기법을 활용한 공격에 타깃이 되는 경우가 많다.  기기 하나만 제로 트러스트 보안 밖에 있어도 침해로 이어지는 취약점이 될 수 있다.

여러 번 반복하지만 제로 트러스트는 한번에 뚝딱 도입할 수 있는 것이 아니라 끊임 없는 여정에 가까운 개념이다. 또 보안 아키텍처에 전반에 걸쳐 변화를 요구한다. 제로 트러스트 도입한다고 해서 과거 방식과 완전히 결별할 수는 없다. 레거시 시스템과 제로 트러스트 환경이 공존할 수 밖에 없고 원만한 공존까지는 어느 정도 시간이 걸리게 마련이다. 그런 만큼,  제로 트러스트 구현에 있어 신중한 계획 수립, 초기 보호할 주요 자산과 인프라 정의, 장기적으로 투자를 보다 잘 보호할 수 있는 기술과 솔루션에 대해 이해하는 것이 중요하다고 포브스는 전하고 있다.

#제로트러스트 #싱글사이온 #보안 #제로트러스트가이드  #디바이스인증 #제로트러스트UX


2 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.