현재 디지털화는 금융, 의료, 제조, 교통 등 모든 산업을 망라하여 그 어느 때보다 중요합니다. 게다가 비즈니스 니즈와 관련한 기술을 통합하려면 숙련된 IT 전문가, 시스템, 프로세스로 이루어진 생태계가 필요합니다. 비즈니스가 다각화되면서 IT 니즈 역시 점점 더 복잡해지고 있으며, 그만큼 다양한 기술, 전문 지식, 맞춤 솔루션이 필요해지고 있습니다. IT 생태계는 이러한 니즈를 충족하는 데 그치지 않고 가장 중요한 문제인 보안까지 해결해야 합니다.
전 세계 업계에 하이브리드 근무 문화가 주류로 자리 잡으면서 IT의 역할이 그 어느 때보다 중요해졌습니다. 현재의 비즈니스 환경에서는 모바일 사용자, 하이브리드 근무 직원, 협력사 직원 모두 협업 네트워크와 공유 데이터에 액세스할 수 있어야 합니다. 하지만 이로 인해 조직은 디지털 시스템과 IT 환경을 노리는 사이버 공격, 데이터 도난, 랜섬웨어, 기타 정교한 위협에 더 취약해지고 있습니다.
물리적인 시스템 외에 이러한 보안 위협은 직원과 업무 능력에도 영향을 미칩니다. IT 시스템이 취약하면 협업 중인 직원과 팀, 중요한 관련 데이터를 손상시킬 수 있습니다. 결국 조직 직원의 자신감과 신뢰성에도 영향을 주므로 더 큰 문제가 생길 수 있습니다. 클라이언트와 협력사가 파트너와 벤더의 신뢰를 잃게 되면 최종 사용자 경험과 비즈니스에도 영향이 갈 수밖에 없습니다.
전통적인 네트워크 아키텍처는 누군가가 네트워크에 접속하면 암묵적으로 신뢰 수준이 주어지는 경계 네트워크라는 개념에 따라 구축되었습니다. 클라우드 호스팅, 원격 근무, 기타 최신화로 전환하면서 기존의 경계 네트워크 아키텍처에 어려움이 생겼습니다. 이러한 어려움은 Zero Trust 보안 접근법을 구현하여 해결할 수 있습니다. Zero Trust 아키텍처에서는 비즈니스를 오고 가는 모든 트래픽을 검증하고 승인합니다. 직원의 생산성과 연결 상태를 방해하지 않고도 Zero Trust 아키텍처를 구현할 수 있습니다.
Zero Trust 보안 프레임워크는 애플리케이션, 네트워크 프로세스, ID 기반 액세스 키, 기기 등 IT 운영의 핵심 요소들을 포괄하기 때문에 IT 팀이 오늘날의 위협 문제들을 해결할 수 있도록 돕습니다. Zero Trust 보안 프레임워크는 사용자의 역할과 책임에 따라 최소한의 권한만 부여하고, 비정상적인 활동을 감지하면 자동으로 경고를 생성함으로써 IT 생태계에 대한 액세스를 제한합니다. 이렇게 액세스 권한을 엄중하게 제한함으로써 네트워크 내에는 인증과 허가를 받은 네트워크, 애플리케이션, 사용자 및 기기만 존재하게 됩니다.
ID 인증은 새로운 보안 장벽이며 내부 애플리케이션, 데이터, 인프라 액세스를 자격 증명, 컨텍스트, 기기에 따라 제어합니다. 디지털 변환 및 클라우드 도입이 가속화되면서 조직은 하이브리드 근무 환경으로 옮겨가고 있습니다. 규모와 범위가 발전하고 있는 사이버 공격과 보안 위협에 맞서기 위해서는 보안 제어 역시 철저해야 합니다.
Zero Trust를 통해 조직은 다양한 환경과 위치에 인력과 데이터가 분산된 상황에서도 안전하게 기능하고 생산성을 유지할 수 있습니다. 이 프레임워크를 도입할 수 있는 만능 솔루션이 있는 것은 아니지만, 대부분의 기업은 다음과 같은 세 가지 주요 단계를 통해 도입 프로세스를 시작할 수 있습니다.
예측: Zero Trust 프레임워크를 구현하려면 먼저 모든 요소와 상호 연관성을 시각화해야 합니다. 조직의 리소스, 액세스 방식, 사용 방식과 관련 된 위험을 상세하게 분석하는 작업도 수반됩니다. 예를 들어 법무팀은 기밀 고객 데이터가 저장되어 있는 데이터베이스에 액세스할 수 있을 텐데, 그 연결망에 구멍이 뚫리면 엄청난 위협이 될 수 있습니다. 그러므로 회사의 성장과 맞물려 데이터베이스에 액세스할 수 있는 리소스와 액세스 필요성을 평가하는 프로세스도 계속 늘어날 수밖에 없습니다. 마찬가지로, 관련된 영향과 위험 역시 증가합니다. 따라서 Zero Trust 프레임워크를 구현하려는 기업은 가장 중요하면서도 가장 취약할 것으로 예측되는 영역을 프레임워크 도입의 시작점으로 삼아야 합니다.
완화: 비즈니스는 이전 단계를 통해 잠재적인 취약점, 예상 위협, 공격 루트를 모두 파악할 수 있습니다. 이 단계에서는 문제의 우선순위를 정한 다음, 하나씩 해결하는 데 집중합니다. 그 다음에는 새롭게 떠오르는 취약점을 자동으로 감지하는 프로세스와 도구를 개발해야 합니다. 한 발 더 나아가 자동으로 공격을 예방하거나 영향을 최소화하는 방법을 마련할 수도 있습니다(예: 노출될 수 있는 데이터 제어).
실행: 이 단계에서는 IT의 모든 영역을 포괄하도록 정책과 표준을 확장해야 합니다. 프레임워크가 확장되었을 때에도 효과와 유용성이 이어질지 평가하는 일은 아주 중요합니다. Zero Trust 같은 보안 프레임워크를 구현할 때 조직에서는 사용자 경험을 우선해야 합니다. 사용자 경험에 문제가 생기면 규정 미 준수 및 생산성 저하로 이어지기 때문입니다.
Zero Trust 프레임워크에서는 모든 단계에 자격 증명 인증이 추가되므로 중요한 비즈니스 데이터와 개인 데이터를 보호할 수 있습니다. 모든 업계의 조직들이 디지털 변환을 포용하고 클라우드로 운영을 전환하는 상황에서, Zero Trust를 구현하는 조직은 안정적이고 안전한 네트워크 인프라를 구축할 수 있습니다. 하지만 문제는, 네트워크와 보안 관련 책임이 다양한 팀에 분산되어 있으며 이러한 팀에서 업무를 처리할 때 서로 다른 벤더에 의존하는 조직이 많다는 것입니다. Zero Trust를 구현할 때는 보안 팀과 네트워크 팀 사이의 사일로를 허물고, 원하는 비즈니스 결과를 도출하는 데 적합한 도구, 제품 및 벤더를 선정하는 것이 결정적으로 중요합니다. 지금은 조직이 IT 생태계와 협업하여 Zero Trust 도입을 성공적으로 이끄는 것이 그 어느 때보다 더 중요해졌습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
본래 CXO Today를 위해 작성된 기사입니다
John Engates — @jengates
Cloudflare 필드 CTO
이 글을 읽고 나면 다음을 이해할 수 있습니다.
Zero Trust 보안 프레임워크가 IT에 힘을 보태 오늘날의 위협 문제를 해결하는 방법
Zero Trust 도입 프로세스를 시작하는 3단계