5min. read

제로 트러스트라는 용어를 잘못 사용하거나 잘못 이해하고 있는 경우도 많지만, 이는 실제로 사이버 리스크를 줄이고 회복력을 개선하는 데 도움이 되는 접근 방식입니다.

클라우드로 이동하면 제로 트러스트 아키텍처에 새로운 가능성이 열릴 수 있습니다.

진짜 제로 트러스트와 가짜 제로 트러스트

일부 공급업체에서는 제로 트러스트에서 ID와 액세스 관리가 가장 중요하다고 합니다. 즉, 비즈니스가 승인받은 사용자에게 리소스에 액세스하도록 지원하는 방법이 관건입니다. 이것이 제로 트러스트의 기본 요소인 것은 맞지만, 이는 ID, 인프라, 제품, 프로세스와 공급망 전반에 걸쳐 비즈니스를 운영하는 모든 리스크 표면을 고려하는 더 큰 규모의 전략 중 일부분으로 여겨야 하는 한 가지 구성 요소일 뿐입니다.

모든 보안 전문가는 기술 아키텍처와 네트워크에서의 신뢰에 대해 항상 부정적으로 이야기합니다. 데이터센터 네트워크에 연결된 '신뢰할 수 있는 네트워크'가 침해될 수 있고, 엔드포인트도 해킹될 수 있으며 기업이라는 왕국의 문을 여는 열쇠를 지닌 신뢰할 수 있는 사용자가 내부자로 변질될 수 있고, 신뢰할 수 있는 운영 체제 프로세스가 트로이 목마에 당하거나 신뢰할 수 있는 파일이 악성 파일이 될 수도 있습니다.

따라서 제로 트러스트는 여러 기술 엔터티 사이에 존재하는 각종 암묵적인 신뢰를 모두 배제하는 전략적 접근 방식을 제공합니다. 간단히 말해, 제로 트러스트는 클럽 입구에 경비원을 배치하는 데 그치는 것이 아니라 클럽 내부와 차고에도 경비원을 배치하고, 고객을 클럽 밖으로 에스코트하는 경호원을 고용하는 방침을 필수로 적용하는 것입니다. 잠깐, 제로 트러스트가 그렇게 간단한 개념인가요? 그저 보안을 더 강화하는 방침일 뿐인가요?

솔직히 말하면, 기업에 중요한 질문은 항상 제로 트러스트를 수용할지가 아니라, 이번에 효과가 있을 이유가 무엇이고, 거액의 비용 문제와 변화를 기꺼이 반기지 않는 상황까지 고려하면 어디서 시작해야 할지가 문제입니다.

블랙 스완을 위한 제로 트러스트

경험상, 제로 트러스트를 무사히 수용한 기업은 일단 리스크 관리를 중심으로 프로그램을 운영했습니다. 저자는 대규모 금융 서비스 기업에서 십 년 이상을 근무하다 보니 리스크 관리에는 어느 정도 일가견이 있습니다. 특히, 때로는 사소한 이벤트가 기업 전체는 물론 업계에마저 피해를 일으킬 수 있습니다.

이러한 시스템 관련 이벤트를 '블랙 스완(black swan)'이라고 하는데, 최근에 사이버 보안 메타버스 내에서도 매우 흔하게 발생하고 있습니다. 그러한 리스크 중에서도 랜섬웨어와 공급망 인시던트는 우리가 매일 뉴스에서 가장 흔히 접하는 증상일 것입니다. 제로 트러스트 프로그램을 그러한 리스크에 초점을 맞추면 좋습니다. 이러한 기술적 시스템 리스크의 근본 원인을 살펴보면 몇 가지 서로 다른 종류가 있거나, 최악의 경우 모든 종류가 합쳐진 형태입니다.

  • SPoF(Single Point of Failure).여기에는 기술 스택을 하나로 연결하는 코어 인프라 구성 요소를 포함합니다. 보안이 확보되지 않거나 아키텍처가 부적절한 Active Directory, WebSSO 또는 DNS 인프라는 순식간에 끔찍한 결과를 초래할 수 있습니다.
  • 구버전 소프트웨어 모노컬처. 도입률이 높고 정기적으로 패치를 적용하지 않는 운영 체제, 펌웨어 및 소프트웨어 등을 말합니다. 하나의 취약점이 엄청난 피해로 이어지는 랜섬웨어나 사보타주 리스크를 초래할 수 있습니다.
  • 평면 네트워크 효과. 기업에서 IT(모든 비관리형 디바이스), OT와 IoT 전반에 걸쳐 적절한 세그먼테이션이나 네트워크 제어 기능을 갖추지 않은 경우입니다. 침입자나 바이러스/랜섬웨어 입장에서는 이만큼 쉬운 표적이 없습니다.