제로 트러스트를 구축하는 CISO를 위한 7가지 실용적인 팁, 넷스코프 CISO 닐 태커가 알려드립니다.

더 세그먼트 시즌 2를 마무리하면서, 제로 트러스트 리더십 팟캐스트 제로 트러스트 리더십 팟캐스트 시즌 2를 마무리하면서 업계 최고의 전문가들과 나눈 대화를 되돌아보게 되어 매우 흥미롭습니다. 각각은 조직이 끊임없이 변화하는 오늘날의 위협 환경에 적응할 수 있는 방법에 대한 고유한 관점을 제시했습니다.  

이번 마지막 에피소드에서는 넷스코프의 EMEA 최고 정보 보안 책임자(CISO)인 닐 태커와 함께할 수 있는 특권을 누렸습니다. Neil은 탄력적인 제로 트러스트 프레임워크를 구축하는 방법에 대한 풍부한 경험을 제공합니다.

토론에서 그는 보안 리더와 CISO가 제로 트러스트로 나아가는 데 도움이 될 수 있는 7가지 팁을 공유했습니다.  

1. 기존의 경계 너머를 바라보세요.

닐은 1990년대에 사이버 보안 업계에서 사람들이 인터넷에 안전하게 연결할 수 있도록 지원하는 서비스 데스크에서 일하기 시작했습니다. 그는 경영진으로 전환하기 전에 기술 및 컨설턴트 역할로 빠르게 이동했습니다.

닐은 모든 보안팀의 초점이 경계 보안에 맞춰져 있던 경력 초기를 회상했습니다. 당시에는 외부 위협으로부터 조직의 네트워크와 자산을 보호하는 것이 목표였습니다.  

하지만 시대가 바뀌었습니다. 오늘날 이러한 경계에 의존하는 것은 잘못된 안전감을 줍니다.

"경계가 허물어졌습니다."라고 닐은 말했습니다. "우리는 클라우드라고 부르기 전부터 이런 일이 일어나고 있다는 것을 알고 있었습니다. 기업들은 데이터와 운영을 외부 서버로 이전하고 있으며, 이러한 연결의 보안이 그 어느 때보다 중요해졌습니다."

오늘날 직원들이 원격으로 근무하고 데이터가 하이브리드 멀티 클라우드 환경에 흩어져 있는 세상에서 기존의 네트워크 경계에 대한 생각은 시대에 뒤떨어진 것입니다. 이 새로운 네트워킹 방식은 복잡성을 증가시켰고, 이로 인해 침해와 랜섬웨어 공격이 기하급수적으로 증가했습니다.  

Neil은 CISO가 고정된 경계를 방어하는 것에서 어디에 있든 액세스 지점을 보호하는 것으로 초점을 전환하여 이러한 새로운 현실을 받아들여야 한다고 말합니다. 네트워크의 문만 잠그는 것이 아니라 비즈니스에 필요하지 않은 모든 디바이스, 앱, 트래픽 흐름을 모두 잠그세요. 팀이 국경 없는 세상을 더 빨리 받아들일수록 최신 사이버 위협에 더 빨리 대비할 수 있습니다.

2. 위험 관리를 북극성으로 만들기  

닐은 리소스를 분산하는 대신 리스크에 집중할 것을 강조했습니다. 오늘날의 위협 환경에서 모든 것을 동일하게 보호하는 것은 비현실적일 뿐만 아니라 불가능합니다. 핵심은 조직에 가장 중요한 것이 무엇인지 이해하는 것입니다.

"완벽한 세상이라면 조직에서 매일 거래하는 모든 데이터를 보호할 수 있습니다. 하지만 이는 현실적이지 않습니다."라고 그는 말했습니다. "위험 우선순위를 정하는 것이 중요합니다. 가장 큰 위험은 어디에서 발생하나요?"

Neil에 따르면 가장 성공적인 보안 전략은 중요 자산과 고위험 영역에 집중하는 것입니다. 그는 CISO에게 어려운 질문을 하도록 권장했습니다: 비즈니스에 가장 중요한 데이터는 무엇인가? 액세스 권한을 잃어버리면 어떻게 되나요? 재정적 또는 평판에 미치는 영향은 무엇인가요? 이러한 답변이 보안 노력을 주도해야 합니다.

완벽한 세상이라면 조직에서 매일 거래하는 모든 데이터를 보호할 수 있습니다. 하지만 이는 현실적이지 않습니다.

3. 제로 트러스트 전략이 ID에만 집중되지 않도록 하세요.

사용자의 신원을 확인하는 것도 중요하지만, 제로 트러스트 접근 방식은 훨씬 더 나아가야 한다고 Neil은 설명합니다. 그는 많은 CISO가 그렇게 하는 경향이 있다고 생각하며 정체성만을 지나치게 강조하는 것에 대해 경고했습니다.

대신 Neil은 디바이스의 자세, 위치, 활동 패턴과 같은 신호를 통합하는 더 넓은 관점을 제안했습니다.

"아이덴티티는 방정식의 한 부분일 뿐입니다."라고 그는 설명합니다. "또한 디바이스, 위치, 액세스 요청의 배경이 되는 컨텍스트도 고려해야 합니다."

제로 트러스트 모델을 강화하기 위해 그는 다층적 접근 방식을 취할 것을 권장했습니다. 신원뿐만 아니라 다양한 신호를 기반으로 보안 결정을 내릴 수 있도록 하세요. 디바이스의 상태, 위치, 액세스하는 데이터의 민감도는 액세스 허용 여부를 결정할 때 모두 똑같이 중요합니다.

4. 보안이 데이터를 따르게 하세요.

Neil은 제로 트러스트 모델에서 데이터는 항상 우선순위를 유지해야 한다고 주장했습니다. 사용자, 디바이스, 애플리케이션이 어디서나 연결되는 만큼 보안은 데이터를 따라가야 합니다. 따라서 어디로 이동하든 안전하게 보호할 수 있습니다.  

"더 이상 네트워크 보안에만 의존해서는 안 됩니다."라고 닐은 말합니다. "데이터가 어디로 이동하든 데이터를 보호해야 합니다." 즉, 모든 환경에서 데이터와 함께 이동하는 보안 제어를 적용해야 합니다.

누가 데이터에 액세스하는지를 모니터링하는 것뿐만 아니라 데이터가 어떻게 사용되고 어디로 흘러가는지 모니터링하는 것이 중요합니다. 데이터 중심 보안은 클라우드, 엔드포인트, 파트너 네트워크 등 데이터가 어디에 있든 일관된 보안 정책의 적용을 받도록 보장합니다.

5. 보안 스택을 통합하여 효율성 향상

Neil은 많은 CISO가 직면한 주요 과제는 단순히 위협을 방어하는 것이 아니라 복잡성을 관리하는 것이라고 생각합니다. 보안 도구가 너무 많으면 솔루션보다 더 많은 골칫거리가 생길 수 있습니다. Neil은 보안 리더에게 가능한 경우 도구를 통합하여 보안 스택을 간소화하라고 조언했습니다.

"보안 도구의 수에 있어서는 최적의 지점이 있습니다."라고 그는 언급했습니다. "스택을 10개 미만으로 줄일 수 있다면 훨씬 더 관리하기 쉬운 위치에 있는 것입니다."  

수십 개의 시스템을 저글링하면 가시성과 보안에 공백이 생기거나 기능이 중복될 수 있습니다. 닐은 단일 플랫폼에서 더 많은 작업을 수행할 수 있는 더 적은 수의 효과적인 도구를 통합하는 것을 강조했습니다. 스택을 단순화하면 복잡성을 줄이고 비용을 절감하며 조직의 보안 태세를 보다 명확하게 파악할 수 있습니다.

보안 도구의 수에 있어서는 최적의 지점이 있습니다. 스택을 10개 미만으로 줄일 수 있다면 훨씬 더 관리하기 쉬운 위치에 있는 것입니다.

6. 보안 계산에 시간 추가

Neil은 제로 트러스트에서 종종 간과되는 측면이 시간이라고 생각합니다. 데이터 액세스 시기를 이해하는 것은 누가 데이터에 액세스하는지 이해하는 것만큼이나 중요할 수 있습니다.  

"제로 트러스트를 구축할 때 데이터에는 고유한 수명 주기가 있기 때문에 시간을 고려해야 합니다."라고 그는 설명합니다.  

Neil은 특정 시점에 일부 데이터 자산을 기밀로 유지하는 인수합병(M&A) 활동의 예를 들었습니다. 특정 시점이 지나면 해당 데이터는 더 이상 기밀로 취급되지 않습니다.  

"시간이 데이터와 보안 요구 사항에 어떤 영향을 미치는지 이해하는 것은 제로 트러스트 전략 고려 사항의 일부가 되어야 합니다."라고 그는 말합니다.

즉, 시간을 또 다른 보안 신호로 생각하세요. 예를 들어, 업무 시간 이후에 민감한 데이터에 액세스하지 못하도록 차단하는 제어 기능을 설정하거나 일반적인 사용 패턴을 벗어나는 액세스 요청에 플래그를 지정할 수 있습니다. 시간 기반 이상 징후는 악의적인 활동 또는 손상된 계정을 나타내는 강력한 지표가 될 수 있습니다.

7. 제로 트러스트를 비즈니스 목표에 맞게 조정

제로 트러스트 전략은 IT 부서뿐만 아니라 비즈니스에도 도움이 되어야 합니다. Neil은 비즈니스 리더와 그들의 언어로 소통하는 것이 중요하다고 강조했습니다. 즉, 보안 계획의 기술적 세부 사항뿐만 아니라 보안이 성장과 비즈니스 연속성을 어떻게 지원하는지에 초점을 맞춰야 합니다.

"저는 기술적인 측면에 덜 초점을 맞춘 토론의 가치를 발견했습니다."라고 Neil은 언급했습니다. "이사회에게 중요한 것은 우리가 얼마나 많은 시스템을 라우팅하고 있는지, 얼마나 많은 인시던트가 발생했는지가 아닙니다. 궁극적으로는 비즈니스를 어떻게 지원하고 비즈니스가 발전할 수 있도록 돕는지에 관한 것이었습니다."  

이사회나 경영진에게 제로 트러스트 전략을 발표할 때는 비즈니스 가치의 관점에서 프레임을 짜세요. 제로 트러스트는 주요 수익원을 어떻게 보호하나요? 지적 재산과 고객 데이터를 어떻게 보호할 것인가요? 보안 노력을 비즈니스 우선순위에 맞춰 조정하면 회사 전체에 제로 트러스트를 성공적으로 구축하는 데 필요한 경영진의 동의를 얻을 수 있습니다.

더 세그먼트를듣고, 구독하고, 리뷰하세요: 제로 트러스트 리더십 팟캐스트

닐이 넷스코프에서 제로 트러스트를 구축한 경험에서 알 수 있듯이 제로 트러스트는 '한 번 설정하고 잊어버리는' 접근 방식이 아닙니다. 이는 학습, 개선 및 확장을 위한 사고방식이자 지속적인 프로세스입니다.  

자세히 알아보고 싶으신가요? 웹사이트, Apple 팟캐스트, Spotify 또는 팟캐스트를 듣는 모든 곳에서 전체 에피소드를 들을 수 있습니다. 에피소드 전문을 읽어보실 수도 있습니다.