글로벌 팬데믹으로 인해 새로운 네트워크 보안 모델에 대한 수요가 예상 외로 급증했습니다. Zero Trust 보안은 전혀 새롭지는 않지만 주목을 받게 되었으며, 보안 리더들은 이 모델로 보안이 개선되고 분산된 팀과 하이브리드 네트워크의 경우에 보안 프로세스가 단순화되리라는 점에 동의합니다.
하지만 해당 모델을 선보이는 것은 조직에 성공과 장애를 동시에 안겨주며 복잡한 것으로 드러났습니다.
원격 근무 확산에 따라 원격 근무자 보호를 강화할 필요성이 커지면서 Zero Trust 보안에 대한 투자가 촉진되었 습니다. 기업 네트워크 내부이든 외부이든 관계없이 모든 트래픽을 인증하고 모니터링하는 능력을 키우면서 여러 보안 위험을 줄이거나 제거하는 능력이 강화되었습니다.
하지만 많은 조직의 경우 Zero Trust 보안 접근법을 구현하는 것이 복잡하다고 느낍니다. 그 핵심 이유는 Zero Trust 채택이 기술적으로 어려울 뿐만 아니라 물류 문제도 따르기 때문입니다. 보안 현대화는 보통 복잡하고 장기 프로젝트인 사용자 ID 통합과 클라우드 변환의 진행에 달려 있는 경우가 많습니다.
그렇다면 Zero Trust 채택의 현재 상태는 어떨까요? 조직이 채택 과정에서 겪는 문제로는 무엇이 있을까요?
이러한 질문에 답하기 위해 2020년 팬데믹 기간 중 Forrester Consulting에서는 Cloudflare를 대신하여 연구를 진행했습니다. 글로벌 보안 리더 300여 명에게 설문 조사를 전달했으며 이러한 변화에 따른 조직의 성공 사례와 문제점에 대하여 응답한 이들을 대상으로 여론 조사를 실시했습니다. 연구 결과는 다음과 같습니다.
Zero Trust 채택을 주도하는 상위 비즈니스 및 기술 동향
Zero Trust 보안을 위한 가장 인기 있는, 계획된 사용 사례
Zero Trust 채택 과정의 일반적인 장애
원격 근무로의 급격한 전환으로 어떤 사업체도 대비하지 못했던 변화가 생겼습니다. 설문 조사에 응한 보안 리더 중 52%는 자체 IT 보안 프로그램에 영향을 주었던 상위 요소로 원격 근무를 꼽았습니다.
팬데믹이 진행되는 중에, 설문 조사에서는 또한 기업 네트워크 및 기밀 데이터와 관련된 보안 사고가 급증한 것으로 파악되었습니다. 보안 리더의 55%가 자사 조직에서 이번 해에 더 많은 피싱 공격을 받았다고 답했습니다. 또한 보안 리더의 58%는 자사 조직에서 어떠한 종류로든 데이터 유출을 경험했다고 응답했습니다.
단순히 연결된 상태를 유지하는 것조차 문제가 되었습니다. 많은 보안 팀은 오래된 VPN 플랫폼이 원격 근무자의 모든 트래픽을 처리할 수 없음을 알게 되었습니다. 응답자의 46%는 늘어난 VPN 사용량으로 인해 대기 시간 문제가 발생했다고 답했습니다.
Zero Trust 보안 프레임워크는 다음과 같은 목적을 달성하므로, 이처럼 커지는 위험에 대한 자연스러운 대응 방법이었습니다.
추가적인 ID 확인 방법을 모든 응용 프로그램에서 전면적으로 적용하여 피싱 공격을 막습니다.
하나의 응용 프로그램이나 서비스에 액세스할 수 있는 공격자가 전체적인 내부 네트워크에 대한 전면적인 액세스 권한을 획득하는 것을 방지합니다.
개별 응용 프로그램에 액세스하기 위해 ID 확인이 필요하므로, VPN에 대한 필요가 제거됩니다.
Zero Trust는 네트워크 보안을 넘어서는 이점을 제공합니다. 또한 액세스 프로세스를 단순화하고 직원이 다양한 장소와 장치에서 근무할 수 있도록 합니다. 두 가지 요소 모두 생산성을 향상하고 직원 경험을 개선합니다.
설문 조사 결과에는 이러한 다양성이 반영되어 있습니다. 보안 리더들에게 Zero Trust 우선순위 사용 사례에 대해 물어본 결과 다양한 사용 사례가 1위에 올랐습니다. 응답자 중 87%가 클라우드 워크로드에 대한 가시성 확보를 선택했습니다. 그 이유를 상상하기는 어렵지 않습니다. 직원의 클라우드 사용 방법을 이해하면 조직이 더 스마트하게 클라우드에 투자하는 데 도움이 되며, 모든 장소에 있는 데이터를 모니터링하고 보호할 수 있습니다.
가장 인기 있는 다음 3가지 Zero Trust 사용 사례는 비슷하게 다면적입니다.
안전하고 빠른 개발자 액세스 보장(응답자의 83%가 중요하다고 선택함). 더 강력한 보안과 더불어 이 사용 사례는 또한 개발자가 도구와 환경에 더 신뢰할 수 있는 방식으로 액세스하는 데 도움이 됩니다. 이는 생산성을 크게 개선합니다.
개인 소유 장치 활용(BYOD) 프로그램 시작 및 확장(응답자의 81%가 선택함). 이 사용 사례는 또한 비용을 절약할 수 있도록 하며 IT 팀이 기업 장치를 관리하고 업데이트하지 않아도 되도록 합니다.
과부하된 VPN 대체 (응답자의 71%가 선택함). Zero Trust는 VPN보다 안전할 뿐만 아니라 이를 통해 직원이 응용 프로그램에 더 신뢰할 수 있는 방식으로 액세스할 수 있도록 하며 IT 팀이 VPN 클라이언트를 추적하지 않아도 되도록 합니다.
이러한 모든 외부 압력과 사용 사례 때문에 Zero Trust 보안에 관한 관심이 더욱 커졌습니다. 이 설문 조사에 따르면 보안 리더 중 80%가 자사 조직에서 Zero Trust 채택에 전념하고 있다고 답했습니다. 또한 전체 조직의 절반에서는 조직이 강조하는 Zero Trust 중요성과 사이버 위험 축소를 위해 최근 조직의 정보 보안 책임자에게 임원 수준의 가시성을 제공했다고 응답했습니다.
하지만 이러한 관심은 아직 구체적인 채택으로 이어지지 않았습니다. 설문 조사에 응한 조직의 39%만 이번 해에 하나 이상의 Zero Trust 파일럿을 진행했다고 답했습니다.
전반적으로 이렇게 진행이 느린 이유는 무엇일까요?
그 요인 중 하나는 전반적인 클라우드 전환에 대한 문제일 수 있습니다. 조직 중 80%가 클라우드 채택 계획을 2020년에 가속화했지만, 준비가 미흡했습니다. 많은 양의 데이터를 격리된 데이터 센터에서 클라우드로 아직 이전하지 않았다면 단일 보안 도구를 사용하여 보호하는 것이 더 어려워질 수 있습니다.
또 하나의 장애물이 Zero Trust 채택에 있어서 동일한 수준의 문제인 것으로 드러났습니다. 바로 ID 및 액세스 관리(IAM)의 복잡성입니다. 설문 조사에 응답한 보안 리더의 76%가 자사 조직 내에서 사용자 액세스 필요의 복잡성으로 인해 Zero Trust 접근법으로 전환하는 것이 어렵다고 답했습니다. Zero Trust는 ID 관리를 위해 단일 진실 공급원에 의존하지만, 특히 큰 규모의 조직에서는 수년 간 호환되지 않는 여러 ID 공급자를 사용하는 경우가 많았습니다. 이들 조직에서는 또한 엄청난 수의 애플리케이션에 걸친 액세스 패턴을 이해해야 합니다. 대부분의 애플리케이션은 새로운 ID 플랫폼으로 마이그레이션하기 위한 경우라도 잠시도 중단시킬 수 없습니다.
보안 리더가 이러한 문제를 극복할 수 있는 방법은 무엇일까요? 간단히 말해서, 고려해야 할 3가지 접근법은 다음과 같습니다.
셀프 서비스 기능이 포함된Zero Trust 플랫폼을 선택하세요. 클 라우드 환과 마찬가지로 사용자 액세스 패턴 관리는 결코 간단하지 않습니다. 이 중요한 작업을 수행할 시간을 내기 위해 보안 리더는 다른 액세스 관리 작업(예: 애플리케이션 통합 또는 역할 및 역할 기반 권한 생성)을 최대한 쉽레 만들고 스스로 방향을 정하는 Zero Trust 도구를 구해야 합니다.
개발자 앱부터 시작하여 VPN에 대한 의존도를 서서히 줄이세요. 보안 리더들은 VPN이 과부하 상태이고 원격 작업 환경에 비효율적이라는 것에 동의합니다. Zero Trust 네트워크 액세스 플랫폼은 VPN 트래픽을 이동할 때 발생하는 대기 시간을 각 응용 프로그램별로 ID 기반 보호로 대체합니다. Jira, Jenkins, Grafana 등의 개발자 앱은 이 여정을 시작하기에 훌륭하고 일반적인 시작점입니다.
여러분의 채택 여정과 함께 성장하는 통합 플랫폼을 고려하세요. Zero Trust 구현을 위해 다수의 포인트 솔루션을 사용하면 관리가 더 어려워집니다. 각 솔루션은 추가적인 오류 지점이므로 추가적인 위험이 존재합니다.
이러한 결과는 Forrester에서 Cloudflare의 의뢰를 받아 진행한 연구에서 나온 것입니다. 이 연구 결과는 20여 종의 업계에 걸친 글로벌 보안 리더 317명의 설문 응답을 집계한 것입니다. 응답자는 다양한 규모의 회사 소속입니다. 32%는 직원이 5,000명이 넘는 조직에서 근무하며 17%는 직원이 500명 이하인 조직에서 근무합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 글을 읽고 나면 다음을 이해할 수 있습니다.
기업 IT에 영향을 미치는 동향
글로벌 보안 리더 300여 명에 대한 설문조사 결과
가장 보편적인 Zero Trust 사용 사례
Zero Trust 채택에 있어서 주요 장애물을 극복하는 방법