존 킨더백과 마이클 파넘이 파헤친 제로 트러스트에 대한 5가지 오해

2010년에 존 킨더백은 노 모어 츄이 센터를 출간했습니다: 정보 보안의 제로 트러스트 모델 소개'라는 보고서를 통해 자신이 만든 제로 트러스트라는 새로운 개념을 자세히 설명했습니다.

이 개념을 도입한 지 거의 15년 만에 사이버 보안 업계에서 널리 채택되었습니다. 그러나 시간이 지남에 따라 그 정의도 잘못 이해되고 있습니다. 사이버 복원력을 위해 노력하는 조직을 잘못된 길로 이끄는 몇 가지 제로 트러스트 속설이 등장했습니다.  

현재 일루미오의 수석 에반젤리스트인 킨더백은 기록을 바로잡을 준비가 되어 있습니다. 그래서 그는 Trace3의 자문 CISO인 마이클 파넘과 함께 업계에서 가장 흔히 볼 수 있는 제로 트러스트에 대한 오해와 그 이면에 숨겨진 진실에 대해 이야기를 나눴습니다.  

온디맨드로 전체 토론을 시청하고 제로 트러스트의 창시자이자 최고의 보안 전문가가 전하는 진실을 계속 읽어보세요.

존 킨더백의 제로 트러스트에 대한 정의

킨더백의 보고서의 독특한 제목인 ' 더 이상 쫄깃한 센터는 없다'는 정보 보안 분야의 오래된 속담에서 따온 것입니다: "우리는 네트워크가 겉은 딱딱하고 속은 부드럽고 쫄깃한 M(&M)처럼 되기를 원합니다." 이 모토는 사이버 보안의 전통적인 신뢰 모델을 기반으로 합니다. 이는 공격자가 보안 네트워크 경계의 '단단한 외부'를 통과할 수 없다고 가정합니다.

하지만 킨더백은 "오늘날의 새로운 위협 환경에서 이러한 방식은 더 이상 효과적인 보안 강화 방법이 아닙니다."라고 설명합니다. 공격자가 셸을 통과하면 네트워크의 모든 리소스에 액세스할 수 있습니다."  

제로 트러스트 모델은 이러한 오래된 보안 모델에 대한 Kindervag의 대응책입니다.

"제로 트러스트는 전략입니다. 제품이 아닙니다. 당신은 그것을 살 수 없습니다."라고 그는 말했습니다.

제로 트러스트는 두 가지 기능을 수행하도록 설계되었습니다:

• 데이터 유출 차단 (Kindervag는 데이터 유출을 민감한 데이터 또는 규제 대상 데이터가 네트워크 또는 시스템에서 악의적인 행위자의 수중으로 유출된 사고로 정의합니다.)

• 사이버 공격의 성공 차단

제로 트러스트는 전략적 수준에서 이 두 가지를 달성하기 위한 로드맵을 제공합니다. 올바른 전술과 기술을 안내하는 데 도움이 됩니다.  

"사이버 보안은 목적지가 아니라 여정입니다. 제로 트러스트도 마찬가지라고 생각합니다."라고 그는 언급했습니다.  

킨더백의 제로 트러스트를 위한 5단계

1. 보호 표면을 정의하세요: 공격 표면은 항상 진화하기 때문에 제어할 수는 없지만 조직의 보호 표면을 작고 쉽게 알 수 있는 부분으로 축소할 수는 있습니다. 보호 표면에는 일반적으로 단일 데이터 요소, 서비스 또는 자산이 포함됩니다.

2. 통신 및 트래픽 흐름을 지도화하세요: 시스템의 작동 방식을 이해하지 못하면 시스템을 보호할 수 없습니다. 환경에 대한 가시성을 확보하면 제어가 필요한 부분을 파악할 수 있습니다.

3. 제로 트러스트 환경 구축: 네트워크에 대한 완전한 가시성을 확보한 후에는 각 보호 영역에 맞는 맞춤형 제어를 구현할 수 있습니다.

4. 제로 트러스트 보안 정책을 만듭니다: 허용된 트래픽만 보호 영역의 리소스에 액세스할 수 있도록 허용하는 세분화된 규칙을 제공하는 정책을 구축하세요.

5. 네트워크 모니터링 및 유지 관리: 네트워크에 원격 측정을 다시 도입하여 지속적으로 보안을 개선하고 탄력적이고 취약하지 않은 시스템을 구축하는 피드백 루프를 구축하세요.

제로 트러스트에 대한 오해 #1: 사이버 보안과 제로 트러스트에 대한 표준이 정해져 있습니다.

킨더백은 "전 세계에 사이버 보안 표준은 없습니다."라고 말합니다. 제로 트러스트에 대한 보고서를 발표했음에도 불구하고 NIST 및 CISA와 같은 기관은 사이버 보안 표준을 설정하지 않고 지침만 제공합니다.

" CISA의 제로 트러스트 성숙도 모델 (ZTMM)을 읽어보면 이 방법을 선택할 수 있다고 합니다. 그들은 전혀 규범적이지 않으며 저 역시 마찬가지입니다."라고 그는 설명했습니다.  

이는 제로 트러스트에 대한 표준이 없다는 것을 의미하기도 합니다. 모든 조직은 고유한 특성을 가지고 있으며 제로 트러스트를 구축하는 데 고유한 접근 방식을 취해야 합니다. 보안 지침은 매우 유용할 수 있지만 반드시 최선의 방법은 아닙니다.

제로 트러스트에 대한 오해 #2: 체크리스트를 따르면 제로 트러스트를 사용할 수 있습니다.

사실 모든 조직의 제로 트러스트 여정은 각기 다를 것입니다. 규모, 성장, 예산, 리소스에 따라 다릅니다.  

"성숙도 모델에서 어느 지점에 집중하고 싶은지, 그리고 그 지점에 도달하기 위해 무엇을 해야 하는지를 파악하는 것이 중요합니다."라고 Kindervag는 설명합니다.  

Kindervag는 조직의 보호 표면부터 시작할 것을 권장합니다. 팀은 무엇을 보호해야 할까요? 이는 가장 중요한 자산을 보호하기 위해 선제적으로 준비하는 것이 아니라 위협에 대응하는 끝없는 무익한 사이클을 시작할 수 있는 공격 표면에서 시작하는 접근 방식과는 다릅니다.

파넘은 Trace3가 공격 표면에 집중하여 제로 트러스트 여정을 시작한 조직을 종종 보지만 함정에 빠졌다는 데 동의했습니다. 대신 Trace3는 고객이 먼저 보호 표면을 식별하여 Kindervag의 제로 트러스트를 위한 5가지 단계를 사용하도록 권장합니다.

제로 트러스트 오해 #3: 제로 트러스트는 ID 보안에 불과하다  

킨더백은 제로 트러스트에 대해 "너무 문자 그대로" 접근하는 것을 경계했습니다. 많은 보안 리더에게 이는 성숙도 모델을 너무 엄격하게 따르는 것처럼 보일 수 있습니다.

킨더백은 "사람들은 제로 트러스트의 첫 번째 기둥이기 때문에 모든 신원 확인을 먼저 해야 한다고 생각합니다."라고 말합니다. 대신, 그는 조직이 고유한 보호 표면을 살펴보고 가장 중요한 리소스를 보호하는 제로 트러스트 기둥에 먼저 집중할 것을 권장합니다.

"세로로만 볼 것이 아니라 가로로 봐야 합니다."라고 킨더백은 설명합니다.

이는 종종 조직이 정체성보다는 세분화에 집중해야 한다는 것을 의미합니다. 13년 전 제로 트러스트에 관한 두 번째 보고서인 ' 네트워크의DNA에 보안을 구축하라'를 썼습니다: 제로 트러스트 네트워크 아키텍처, 킨더백은 제로 트러스트의 핵심에 세분화를 두고 있습니다. "미래의 모든 네트워크는 기본적으로 세분화되어야 하므로 네트워크를 세분화하는 새로운 방법을 만들어야 합니다."

제로 트러스트 세분화라고도 하는 세그멘테이션은 제로 트러스트의 필수적인 부분입니다. 제로 트러스트 없이는 제로 트러스트를 달성할 수 없습니다.

제로 트러스트 오해 #4: 제로 트러스트 플랫폼을 구매하면 제로 트러스트 보안을 사용할 수 있습니다.

사이버 보안 업계에 종사하는 분이라면 방어라는 용어를 많이 들어보셨을 겁니다. 하지만 많은 조직에서 이 개념은 '깊이 있는 비용'으로 바뀌었다고 Kindervag는 말합니다.

보안 솔루션에 그 어느 때보다 많은 비용을 지출하고 있는데도 여전히 심각한 사이버 사고가 발생하는 이유는 무엇일까요?

킨더백은 "보안이 충분한 물건을 사거나 충분한 돈을 쓰는 것이라면, 우리는 충분히 해냈습니다."라고 말합니다.  

파넘은 많은 기업이 보호해야 할 대상을 먼저 이해하지 못한 채 보안 플랫폼에 비용을 지출하는 것을 본다고 말했습니다. Trace3는 고객이 더 이상 구매하기 전에 제로 트러스트에 대한 생각을 전환할 것을 권장합니다. 네트워크에 대한 가시성을 확보하고 보안에 가장 중요한 것이 무엇인지 파악하는 데 집중합니다.

Kindervag는 이 접근 방식을 지지했습니다. "우리는 마법처럼 자동으로 작동하는 마법 같은 기능을 원합니다. 하지만 그런 식으로 작동하는 것은 아닙니다. 항상 보호 표면부터 시작해야 합니다."

제로 트러스트 오해 #5: '제로 트러스트'는 오래된 보안 개념을 새롭게 포장한 것일 뿐입니다.

사이버 보안 업계의 일부에서는 제로 트러스트의 유효성에 의문을 제기하기도 합니다. 그들은 이를 오래된 아이디어를 새롭게 포장한 마케팅 전문용어라고 비난했습니다.

하지만 킨더백의 경우, 이는 그들이 개념을 잘못 이해하고 있다는 것을 보여줄 뿐입니다. "제로 트러스트 이전의 제로 트러스트는 무엇이었나요? 제로 트러스트는 존재하지 않았습니다. 그게 문제였습니다."라고 그는 말했습니다.

^{20세기에는} 경계 기반 보안에 중점을 두었습니다. 네트워크는 외부에서 내부로 설계되어 외부에서는 신뢰할 수 없고 내부에서는 신뢰할 수 있는 구조로 되어 있습니다. 이로 인해 내부에 완전히 넓게 개방된 평면 네트워크가 만들어졌습니다. 이러한 설계를 통해 공격자는 네트워크에 침입할 수 있을 뿐만 아니라 며칠, 몇 주, 몇 달, 심지어 몇 년 동안 네트워크에 머물 수도 있습니다.  

"사고방식을 재설정해야 합니다." 파넘이 동의했습니다. "모든 인터페이스는 신뢰할 수 없는 것이어야 합니다. 네트워크가 가동되고 있다고 해서 안전하다는 의미는 아닙니다."

제로 트러스트 전략을 발전시키기 위한 Illumio + Trace3 파트너십

Trace3는 고객이 사이버 보안을 포함한 전체 IT 영역을 구축, 혁신 및 관리할 수 있도록 지원하는 선도적인 기술 컨설팅 회사입니다. 고객이 제로 트러스트 세분화를 통해 제로 트러스트 보안을 구축할 수 있도록 Illumio와 파트너십을 맺었습니다.  

이 파트너십은 제로 트러스트 아키텍처를 구축하고 구현하기 위한 포괄적인 접근 방식을 제공합니다. Trace3의 전략적 전문성과 Illumio의 고급 세분화 기술을 결합하면 조직의 보안 요구 사항에 맞는 제로 트러스트에 대한 맞춤형 접근 방식을 찾을 수 있습니다.

킨더백과 파넘의 전체 대화를 온디맨드로 시청하세요. 지금 바로 문의하여 Illumio + Trace3가 조직의 제로 트러스트 구축에 어떻게 도움이 되는지 알아보세요.