제로 트러스트 원칙(절대 신뢰 없음, 항상 확인)은 오늘날의 복잡하고 다양한 클라우드 네트워크를 보호하는 데 필수적인 관행이 되었습니다. 얼마 전까지만 해도 회사의 정문을 잠그고 모든 중요한 정보가 그 벽 안에서 안전하다고 확신할 수 있었습니다. 그런 다음 노트북과 디스크와 메모리 스틱이 함께 나왔고, 종종 어딘가에 기차에 상태 비밀을 남긴 사람에 대한 이야기를 듣곤 했습니다. 현재 회사의 데이터는 연결성이 있는 곳 어디에서나 사용할 수 있습니다. 그리고 원격 및 분산 인력의 전례 없는 증가로 "어디서나"는 말 그대로 "전 세계 어디에나"가 될 수 있습니다.

오늘날 최고의 소프트웨어 솔루션은 전 세계 산업용 IoT 네트워크에서 수백만 개의 연결된 장치와 자산을 언급하지 않고 클라우드에서 실행됩니다. 클라우드 애플리케이션은 일반적으로 온프레미스 애플리케이션보다 안전하지 않지만, 사실 반대로 오늘날의 연결된 세상에는 새로운 위험이 있습니다. 디지털 및 클라우드 기술은 보안 전문가들이 모든 조직의 공격 지표라고 부르는 범위를 넓혔습니다.

기존의 사이버 보안 프로토콜은 사용자가 회사의 가상 프런트 도어에서 보안을 통과한 후 내부에 들어가면 그 장소를 실행한다는 아이디어에 따라 모델링되었습니다. 즉, 이들은 클라우드 이전 세계에서 개발되었다. 그러나 이제는 직원의 개인 전화나 IoT 프린터가 잠재적인 포털인 액세스 지점이 더 많아지고 있으며, 기업은 보안 전략을 해결해야 했습니다. 사이버 공격이 매우 높은 상황에서 네트워크 보안은 To-Do 목록의 최우선 순위에 있어야 합니다. 제로 트러스트 구현에는 전체 비즈니스에 대한 노력과 협업이 필요합니다.

제로 트러스트: 정의 및 전략

John Kindervag는 2010년 Forrester Research에서 클라우드 애플리케이션과 IoT 기기가 빠르게 상승하기 시작한 시점에 애널리스트로 근무하고 있었습니다. Kindervag는 Forrester 시스템 내에서 보유하고 있는 데이터와 지적 재산의 엄청난 민감성과 가치를 올바르게 인식했습니다. 이렇게 증가하는 위험에 대응하여 제로 트러스트(zero trust)라는 용어를 만들었고 많은 핵심 원칙들의 발전을 이끌었다.

제로 트러스트는 모든 사용자와 잠재적으로 연결된 장치가 회사 내 또는 외부의 신원을 엄격하게 검증해야 하는 IT 보안 모델로 정의할 수 있습니다. 제로 트러스트 아키텍처(ZTA, Zero Trust Architecture)는 일련의 프로세스와 프로토콜뿐만 아니라 성공을 달성하기 위한 전용 디지털 솔루션과 툴에 의존합니다.

제로 트러스트 네트워크 액세스(Zero Trust Network Access, ZTNA)는 Gartner가 "애플리케이션 또는 애플리케이션 세트에 대한 ID 및 컨텍스트 기반 논리적 액세스 경계"를 생성하는 것으로 정의한 제로 트러스트 아키텍처의 애플리케이션입니다. 이렇게 하면 공용 뷰에서 이러한 어플리케이션이 제거되고 검증된 사용자와 사전 지정된 액세스 정책을 준수하는 사용자만 허용됩니다.

하지만 실제로는 제로 트러스트는 조직 내의 문화적 혁신으로 시작됩니다. 의도적으로 피해를 주기 위해 노력하는 나쁜 행위자의 관점에서 사이버 보안을 생각하는 경향이 있지만 안타깝게도 위험과 손실로 이어지는 악의보다 무관심한 경우가 많습니다. 실제로 최근 리포트에 2022년 상반기에만 48%의 이메일 공격이 증가했으며, 이 보고서에서 피싱으로 인해 직원들이 사기 또는 세부 정보로 유출되었습니다. 이는 교육 및 문화적 신뢰가 제로 트러스트 구현의 중요한 요소인 이유를 보여줍니다.

왜 지금 제로 트러스트 원칙이 필요한가?

사이버 공격이 증가하고 있다는 것은 의심의 여지가 거의 없습니다. 2022년에는 14개 부문과 16개 국가에서 1,200개의 대규모 조직이 참여하는 주요 설문 조사가 수행되었습니다. 사이버 보안의 우선순위를 지정했음에도 불구하고 많은 응답자가 보안이 부적합하다고 응답했습니다. 실제로 이 조사 결과는 2020년과 2021년 사이 몇 개월 동안 자재 침해 건수가 20.5% 증가한 것으로 나타났습니다.

오늘날의 비즈니스는 다음과 같은 보안 문제에 직면해 있습니다.

• 기존 방화벽 많은 기업이 클라우드 연결이 확산되기 전에 방화벽에 지나치게 의존하고 있습니다. VPN은 방화벽을 보강하기 위한 실행 가능한 밴드 지원이지만, 제한된 범위와 비즈니스 앱 성능을 저하시키는 경향으로 인해 효과적인 장기 솔루션이 아니며, 이로 인해 직원 생산성에 영향을 미칩니다.
• 검증이 복잡합니다. 장치 중립적 소프트웨어는 사용자에게 매우 유용하지만 보안 프로토콜에 복잡한 계층을 추가합니다. 사용자가 회사 전화기와 노트북을 가지고 있을 때도 이들을 보호하기 위해 마련된 검증과 보안 프로토콜만큼이나 안전할 수밖에 없다.
• 서드 파티 장치 팬데믹으로 인해 전체 인력이 거의 하룻밤 사이에 재택근무를 위해 파견되었습니다. 많은 기업이 직원들이 자신의 컴퓨터와 장치를 사용할 수 있도록 할 수밖에 없었습니다. 많은 경우 비즈니스를 계속 운영하고 조명을 유지하기 위해 보안 해결 방법이 확립되었습니다. 그러나 많은 기업에서는 아직 이러한 임시 조치를 풀고 원격 근무자를 위한 더 많은 격투기 제로 신뢰 조치를 시행하지 못하고 있다.
• 승인되지 않은 어플리케이션입니다. SaaS 비즈니스 앱의 사용은 꾸준히 증가하고 있습니다. 안타깝게도 많은 IT 팀이 얇게 늘어 사용자가 IT 팀에 알리지 않고 자신의 앱을 구매하고 회사 네트워크 내에서 사용하는 경우가 많습니다. 이러한 앱에는 엄격한 제로 트러스트 관행이 적용되지 않을 뿐만 아니라 보안 조치를 모두 우회했을 수 있습니다.

• IoT 연결. 산업용 IoT 장치는 팬이나 용접 기계만큼 간단할 수 있습니다. 이러한 장치는 어떤 종류의 "컴퓨터"로 간주되지 않기 때문에 사용자는 회사 네트워크에 대한 잠재적인 액세스 지점임을 쉽게 잊을 수 있습니다. 제로 트러스트 아키텍처는 모든 엔드포인트, 기계 및 IoT 자산에 대한 보안을 보장하는 자동화와 프로세스를 제공합니다.
• 옴니채널 포털. 직원이 비즈니스 클라우드에서 유일한 것은 아닙니다. 점포의 스마트 선반, “어디서나 지불” 모바일 앱과 같은 연결된 기기가 점점 늘어나고 있습니다. 이러한 모든 옴니채널 포털은 리스크를 나타냅니다. 제로 트러스트는 고객에게 과도한 불편이나 지연 없이 위험을 보호하는 데 도움이 됩니다.
• ERP 보안 당면과제. 과거에는 ERP 시스템이 특정 계획 및 재무 태스크로 제한되었으며 비즈니스 내 사용자 집합이 제한적이었습니다. 그러나 오늘날의 최고의 클라우드 ERP 시스템은 AI, 고급 분석 및 강력하고 확장 가능한 데이터베이스를 기반으로 합니다. 비즈니스 전반에서 서로 다른 애플리케이션 및 시스템과 통합할 수 있는 능력을 갖추고 있으며, 모든 운영 영역을 최적화하고 간소화하는 데 점점 더 많이 활용되고 있습니다. 최신 ERP 시스템에는 고급 보안 시스템이 내장되어 있지만 다른 시스템과 마찬가지로 취약점이 더 넓고 접근성만 복잡합니다. 강력한 클라우드 ERP 보안에 적용할 때 제로 트러스트 원칙은 모든 단계에서 비즈니스를 보호하도록 지원합니다.

제로 트러스트는 어떻게 작동합니까?

제로 트러스트는 다중 요소 인증, 엔드포인트 보안 솔루션, 클라우드 기반 툴 등의 기술 및 프로토콜 세트를 결합하여 사용자부터 엔드포인트에 이르기까지 다양한 특성과 ID를 모니터링하고 확인합니다. 제로 트러스트는 또한 보안을 보장하기 위해 데이터, 이메일 및 워크로드의 암호화를 필요로 합니다. 기본적으로 제로 트러스트 프로토콜:

• 모든 장치 또는 자산을 통해 어디서나 네트워크 액세스 제어 및 제한
• 네트워크의 모든 레벨에 액세스하거나 액세스할 수 있는 사용자나 자산을 확인합니다.
• 모든 네트워크 트래픽을 실시간으로 기록 및 검사

제로 트러스트 보안 모델은 알아야 할 정책을 사용합니다. 기본적으로 사용자는 작업을 수행하는 데 필요한 데이터와 어플리케이션에만 액세스할 수 있습니다. 그리고 다시 한번 기술은 사이버 보안 향상을 위한 경주에서 양날의 검입니다. 디지털 솔루션 및 연결성이 향상됨에 따라 더 큰 공격 표면이 형성되므로 보안 기술을 더 빠르고 효율적으로 사용해야 계속 유지할 수 있습니다. 뿐만 아니라 사용자의 불편을 최소화하고 중단을 초래합니다. 이를 위해서는 매우 민첩하고 동적인 보안 정책이 필요하며, 상황별 정보와 사용 가능한 최대 데이터 포인트 양을 실시간으로 지원합니다. 이 사람은 누구입니까? 그들은 어디에 있나요? 그들이 액세스하려는 것은 무엇입니까? 이러한 액세스가 필요한 이유는 무엇입니까? 어떤 장치 또는 엔드포인트가 에 들어오고 있습니까?

제로 트러스트 솔루션의 이점

가장 심각한 데이터 침해는 치명적일 수 있습니다. 고객의 개인 데이터는 재무, 지적 재산, 그리고 좋은 평판과 마찬가지로 중요합니다. 보험처럼, 보안 투자는 큰 비용처럼 보일 수 있습니다… 당신이 그들을 필요로 할 때까지. 그리고 그들은 당신의 비즈니스를 보호하기 위해 지불하는 작은 가격처럼 보인다.

제로 트러스트 솔루션의 다양한 이점은 다음과 같습니다.

• 하이브리드 및 원격 인력 보호. 원격 근무자와 개인 기기가 어떻게 사이버 보안 게임을 업그레이드했는지에 대해 논의했습니다. 하지만 위험에 처한 것은 여러분의 기업만이 아닙니다. 사이버 범죄자는 직원을 개인적으로 타겟팅할 수 있으므로 위험과 여러분의 위험을 줄이기 위해 엄격한 조치를 취하는 것이 중요합니다.
• 민첩성과 새로운 비즈니스 모델 지원 비즈니스 중단을 경쟁하고 관리하려면 새로운 비즈니스 모델을 전환하고 탐색할 수 있어야 합니다. 이는 새로운 어플리케이션, 소프트웨어 및 연결된 자산의 온보딩을 의미합니다. 이러한 상황에서 보안을 보장하는 것은 수동으로 처리하는 경우 어려운 작업입니다. 다행히도 최고의 제로 트러스트 소프트웨어 툴은 모든 중요한 단계를 수행하는 스마트 자동화 및 사용자 정의 가능 솔루션으로 속도를 높일 수 있습니다.
• IT 리소스 비용 절감. IT 전문가에게 수동 보안 작업에 얼마나 많은 시간을 소비하는지 물어보십시오. 대답은 아마도 "너무 많음"일 수 있습니다. 기업이 핵심 엔터프라이즈 시스템을 클라우드로 이전할 때 보안 패치 및 업데이트를 자동화하고 백그라운드에서 수행할 수 있습니다. 이는 제로 트러스트 보안 프로토콜에도 적용됩니다. 사용자부터 엔드포인트에 이르기까지 제로 트러스트와 관련된 많은 핵심 암호화 및 검증 작업을 자동화하고 예약할 수 있습니다.
• 정확한 재고 확보 제로 트러스트 원칙은 회사가 모든 자산, 사용자, 기기, 애플리케이션 및 연결된 리소스의 정확한 재고를 유지해야 합니다. 적절한 솔루션을 통해 재고 업데이트를 자동 업데이트하도록 설정하여 실시간 정확성을 보장할 수 있습니다. 침해가 시도된 경우, 이것은 귀중한 조사 도구입니다. 또한 기업은 종종 수백만 달러를 중간 자산에 묶어서 정확한 재고가 재무적 이익이기도 합니다.
• 더 나은 사용자 경험 제공 기존의 검증 프로세스는 느리고 관리하기 어려울 수 있습니다. 이로 인해 사용자는 보안 프로토콜을 회피하거나 사용하기 어려워 필수 도구 및 응용 프로그램의 사용을 피해야 했습니다. 최고의 제로 트러스트 솔루션은 무관심하고 대응력이 뛰어나며, 직원이 비밀번호를 발명하고 잊어버리는 번거로움을 덜어주고, 검증 프로세스에 대한 대응력을 늦출 수 있도록 구축되었습니다.

제로 트러스트 선진사례: 시작하기

제로 트러스트 변환이 시작되면 몇 가지 작업을 수행해야 합니다. 여기에는 자산 카탈로그 작성, 조직 내 세그먼트 정의, 원활한 전환을 위한 데이터 분류가 포함됩니다.

제로 트러스트는 약속에서 시작하며 다음 단계를 수행하면 도움이 될 수 있습니다.

• 위임. IT 팀이 이미 너무 바쁩니다. 리스크를 완화하고, 개선 기회를 포착하고, 실행 가능한 로드맵을 구축하는 데 도움이 될 수 있는 사이버 보안 변경 관리 전담 전문가를 영입하거나 임명하는 것을 고려해 보세요.
• 커뮤니케이션. 이제 더 엄격한 보안 조치에 대해 직원들이 즉시 감동을 받지 않을 것입니다. 더 나은 보안에 투자할 때 이 혁신에 관한 더욱 매력적인 메시징과 커뮤니케이션에도 투자해야 합니다. 사이버 범죄의 위험에 대한 실제 사례가 많습니다. 팀이 단순히 데이터 침해에 맞닥뜨리는 최고 책임자만이 아니라 작업에 비용을 들이고 개인에게 영향을 미치며 회사의 생존을 위협한다는 것을 이해하도록 지원하세요.
• 감사. 보안 전문가와 협력하여 보안 위험의 체크리스트를 작성하고 비즈니스의 각 영역을 감사합니다. 팀 전체의 사일로(silo)를 없애고 주제 전문가와 소통하세요. 특히 공급망과 물류와 같은 복잡한 글로벌 운영에서 취약점과 취약점이 해당 영역에 있는 사람보다 더 잘 알고 있습니다.
• 우선순위 지정 모든 비즈니스 운영 및 태스크의 상대적 중요성과 긴급성을 확인하고 등급을 지정합니다. 사물에 대한 액세스가 비판적으로 필요한 사람과 그렇지 않은 사람에 대한 역할 기반 평가를 결정합니다. 이러한 초기 우선 순위 지정은 제로 트러스트의 기본 구성요소인 마이크로 세그멘테이션에 대비하여 수평적 이동과 데이터 침해에 수반되는 노출을 방지하는 데 도움이 됩니다.

오늘날의 euphemisms와 신중한 언어에서 제로 트러스트는 직원들에게 다소 냉소적인 용어처럼 보일 수 있습니다. 따라서 팀에 제로 트러스트를 도입할 때 그 앞에 나서십시오. 처음에 이런 말은 여러분이 그들을 신뢰하지 않는다는 것을 의미하지 않는다고 말합니다. 아무도 신뢰하지 않아야 하는 사이버 범죄자입니다. 그렇지 않은 것처럼 보일 수 있기 때문입니다. 그들은 가장 작은 틈을 헤매고 안에 들어가면 누구에게 피해를 주는지 신경쓰지 않는다.