행정 명령 14028의 제로 트러스트에 관한 3가지 시사점

2021년 5월, 바이든 행정부는 행정명령(EO) 14028을 발표하여 연방 기관에 사이버 보안을 강화하고 특히 제로 트러스트 보안 관행을 권장하는 임무를 맡겼습니다.  

EO는 코로나19 팬데믹으로 인해 공공 및 민간 부문의 많은 조직에서 디지털 전환이 가속화되는 상황에서 발표되었습니다. 거의 하룻밤 사이에 조직은 원격 근무로 전환했고 클라우드 마이그레이션은 더욱 즉각적인 요구 사항이 되었습니다.

또한 여러 차례의 유명 사이버 공격이 SolarWinds, Colonial Pipeline, JBS 육류 가공 등 공급망에 큰 영향을 미쳤습니다. 

EO 14028이 시행된 지 1년이 지난 지금, 연방 기관 전반에서 제로 트러스트를 구현하는 데 어떤 진전이 있었는지 되돌아볼 수 있습니다.  

일루미오의 게리 바렛 연방 현장 CTO는 미국 공군 및 우주군의 전 CISO인 니콜라스 차일란(Nicolas M. Chaillan)과 함께 중요 인프라 기술 연구소(ICIT)가 주최한 웨비나에서 EO 14028의 영향에 대해 논의했습니다.  

여기에서 웨비나를 시청하세요:

토론에서 얻은 세 가지 주요 시사점을 알아보려면 계속 읽어보세요.

EO 14028은 제로 트러스트 구현을 향상시키는 데 도움이 되었습니다. 

바렛과 차일란은 지난 5월의 행정명령 이후 제로 트러스트를 향한 진전이 있었다는 데 모두 동의합니다. 이 명령은 연방 기관 및 민간 기관의 보안 팀이 제로 트러스트 이니셔티브에 대한 논의를 계속하고 자금을 확보하는 데 도움이 되었습니다.  

바렛과 샤일란의 말처럼 "행정 명령은 결코 나쁘지 않습니다." 

가장 중요한 것은 이제 보안팀이 제로 트러스트 보안 전략에 대한 정부 지원 근거를 확보했다는 점입니다.  

"제로 트러스트를 구현하려는 사람들이 참고할 만한 자료가 있으면 훨씬 더 도움이 됩니다."라고 Barlet은 말합니다.  

그리고 많은 기관에서 제로 트러스트에 대한 논의는 행정 명령과 함께 시작되었습니다. 챌린인에 따르면, 제로 트러스트에 대한 사람들의 생각을 바꾸고 기존 사이버 보안 모델에서 최신 모범 사례로 합의를 이끌어내는 데 도움이 되었다고 합니다. 

이는 지난 몇 년 동안 민간 부문에서 제로 트러스트가 성공을 거두면서 연방 정부와 군이 사이버 보안에서 얼마나 뒤처져 있는지를 보여줍니다. 

"향후 몇 년은 더 많은 제로 트러스트 성공 사례로 흥미로운 시기가 될 것입니다. 앞으로 성공하기 위해 필요한 사고방식의 변화입니다."라고 Barlet은 설명합니다.  

연방 기관은 제로 트러스트를 사용하여 불가피한 침해의 영향을 최소화합니다.

제로 트러스트는 행정 명령 외에도 오늘날의 정교한 사이버 위협으로부터 조직을 보호하는 데 실질적인 이점을 제공합니다.

기존 보안 도구는 경계에 중점을 두었지만, 분산되고 초연결된 현대 네트워크의 특성으로 인해 경계는 더 이상 예전과 같은 방식으로 존재하지 않습니다. 이로 인해 네트워크가 공격에 취약해집니다. 

"해마다 많은 사람들이 보안 침해를 예방하기 위해 많은 돈을 지출하고 있지만, 보안 침해가 발생한 후에 어떤 일이 벌어지는지에 대한 논의는 전혀 이루어지지 않고 있습니다."라고 Barlet은 말합니다.  

제로 트러스트 전략은 침해가 발생할 것을 가정하고 공격이 발생하면 그 영향을 완화할 수 있는 방법을 제공합니다.  

그러나 Barlet과 Challain은 모두 제로 트러스트가 실제로 무엇을 의미하는지, 그리고 기존 보안 아키텍처에 어떻게 적용되는지에 대해 약간의 혼란이 있었다는 데 동의합니다.  

"제로 트러스트는 침해를 방지하지 않겠다는 의미로 들리지만, 이는 사실이 아닙니다."라고 Barlet은 설명합니다. "우리는 침해를 방지하려는 노력을 포기하지 않을 것이며, 침입을 허용하는 단 하나의 실수나 취약점에도 대비하고 치명적인 공격을 방지할 수 있는 방법을 계획해야 합니다."  

전반적으로 Barlet과 Challain은 기관이 네트워크 흐름에 대한 가시성을 확보하고, 불필요한 통신을 차단하며, 마이크로세그멘테이션이라고도 하는 제로 트러스트 세분화를 구현하여 침해 확산을 제한할 것을 권장했습니다.  

연방 기관을 위한 제로 트러스트 세분화: 어디서부터 시작해야 할까요? 

네트워크를 세분화하는 아이디어는 수년 전부터 존재해 왔지만, Barlet과 Challain은 오늘날의 방대한 네트워크로 인해 IP 주소나 VLAN을 사용하는 기존의 세분화 방식이 거의 불가능해졌다는 점에 대해 논의했습니다. 두 사람 모두 세분화를 훨씬 더 작은 규모로 해야 한다고 주장합니다.  

특히 Barlet은 공격자가 침입할 수 있는 취약점을 열어주는 사용자, 애플리케이션, 환경의 수가 계속 증가함에 따라 네트워크에 제로 트러스트 세분화가 필요하다고 말했습니다.  

제로 트러스트 세분화의 시급한 필요성에도 불구하고 Barlet과 Challain은 많은 기관이 이 프로세스에 부담을 느끼고 있다고 지적했습니다.  

"누가 언제, 어디서, 무엇을 액세스하는지 알아야 합니다. 그런 다음 이러한 커뮤니케이션 흐름 중 어떤 것이 불필요하고 차단할 수 있는지 파악해야 합니다. 이 모든 질문을 전체적으로 고려하면 매우 벅찬 일입니다."라고 Barlet은 말합니다. 

제로 트러스트 세분화 프로젝트 전체를 한 번에 완료할 필요는 없습니다. Barlet과 Challain은 높은 비용, 혼란, 잠재적인 관리 부피를 피하기 위해 점진적 접근 방식을 권장합니다. 

"모든 것을 한꺼번에 하려고 하지 마세요. 그냥 어디서부터 시작하세요."라고 바렛은 말했습니다.  

처음에 제로 트러스트 세분화 프로젝트의 범위를 좁혀서 Barlet과 Challain은 기관이 할 수 있다는 데 동의했습니다: 

• 세부 사항에 압도되지 않도록 하세요. 
• 사이버 보안 태세를 즉시 개선하세요. 
• 향후 이니셔티브에서 제로 트러스트의 효과를 입증할 수 있는 기회를 얻으세요. 

"제로 트러스트 여정에서 어디든 갈 수 있는 유일한 방법은 시작하는 것입니다. 성공은 성공을 낳습니다."라고 Barlet은 말합니다. 

Illumio와 제로 트러스트 세분화에 대해 자세히 알아보세요:  

• 정부 기관이 Illumio로 침해 사고의 확산을 막을 수 있는 방법에 대해 자세히 알아보세요.
• 일루미오를 제로 트러스트와 마이크로세그멘테이션 분야의 리더로 선정한 Forrester Wave 보고서를 다운로드하세요.   
• ESG의 제로 트러스트 영향 평가를 통해 제로 트러스트 전략을 최대한 활용하는 방법을 알아보세요. 
• 지금 바로 문의하여 상담 및 데모 일정을 잡으세요.