.png)
보안 리더들이 제로 트러스트에 대해 아직도 놓치고 있는 것들, 존 킨더백의 이야기
존 킨더백은 처음부터 운동을 만들려고 한 것은 아닙니다. 그는 방화벽이 멍청하다고 생각했습니다.
당시 그가 사용하던 특정 방화벽은 각 인터페이스에 신뢰 수준을 할당했습니다. 네트워크의 '신뢰할 수 있는' 쪽에서 '신뢰할 수 없는' 쪽으로 이동하는 경우에는 규칙이 필요하지 않습니다.
당시 모의 침투 테스터였던 John은 그것이 얼마나 위험한 일인지 정확히 알고 있었습니다. 그리고 그는 자신의 의견을 말하자 고객과 회사, 방화벽 공급업체로부터 뜨거운 반응을 얻었습니다.
하지만 그는 생각을 떨쳐버릴 수 없었습니다: 왜 우리는 '신뢰'와 같이 모호하고 솔직히 무의미한 것을 기반으로 네트워크를 구축하고 있었을까?
이 질문이 현재 우리가 제로 트러스트라고 부르는 개념의 시초가 되었습니다. 그리고 수십 년이 지난 지금, 일루미오의 수석 에반젤리스트인 John은 여전히 낡은 가정을 무너뜨리고 사이버 보안 업계가 다르게 생각하도록 촉구하고 있습니다.
이 블로그 게시물에서는 최근 존 킨더백이 제로 트러 스트 팟캐스트인 '이론에서 실제까지'에서 체이스 커닝햄 박사와 나눈 대담에서 얻은 지혜를 분석해 보겠습니다: 존 킨더백과 체이스 커닝햄 박사와의 제로 트러스트 여정에서 보안 리더들이 여전히 놓치고 있다고 생각하는 핵심 제로 트러스트 원칙을 공유했습니다.
더 이상 쫀쫀한 센터는 없다: 제로 트러스트의 탄생
John은 Forrester에 입사했을 때 마침내 이 큰 아이디어를 탐구할 수 있는 공간을 갖게 되었고, 회사의 분석가 교육은 이를 장려했습니다.
"그들은 화이트보드에 우리의 직무 설명을 적었습니다."라고 그는 말했습니다. "'크게 생각하세요. 그래서 저는 디지털 시스템에서 신뢰를 연구하고 싶다고 말했습니다."
이를 위해 제로 트러스트에 반대했던 제리코 포럼과의 대화, 프로토타입 아키텍처, 이 개념을 깨려는 업계 전문가들의 끊임없는 지적 등 2년간의 1차 연구가 이어졌습니다.
하지만 아무도 할 수 없었습니다.
결국 존은 제로 트러스트를 소개하는 획기적인 논문인 ' 더 이상 츄이 센터는 없다'를 발표했습니다. 후속 논문인네트워크의 DNA에 보안을 구축하세요: 제로 트러스트 네트워크 아키텍처에서는 존이 오랫동안 제로 트러스트의 핵심으로 여겨온 개념인 세분화를 강조하는 비전을 제시했습니다.
"표면을 보호하려면 세분화가 필요합니다."라고 그는 말합니다. "그래서 제가 지금 일루미오에 있는 것입니다."
가시성 빙산
제로 트러스트가 몇 년 전에 갑자기 등장한 것처럼 느껴진다면, 존은 빙산의 일각을 본 것에 불과하다고 말합니다.
"사람들은 이 문제가 2021년에 다시 불붙었다고 생각하지만, 이 문제는 항상 존재해 왔습니다."라고 그는 설명합니다. "가시성을 확보하지 못했을 뿐입니다."
그는 제로 트러스트가 미국 정부 기관의 레이더망에 포착된 중요한 순간으로 2013년 Target 침해 와 2015년 OPM 침해 사건을 꼽습니다.
그 이면에서는 특히 연방 정부를 중심으로 입양이 눈덩이처럼 불어나기 시작했습니다. 하지만 기업들은 이를 인정하는 것이 부담스러웠습니다.
"사례 연구를 해달라고 요청했을 때 법무팀과 홍보팀에서 거절했습니다."라고 그는 말했습니다. "'우리는 제로 트러스트를 사용하고 있다는 사실을 사람들에게 알리고 싶지 않습니다. 그러면 우리가 표적이 될 수 있습니다."
2021년 바이든 대통령이 연방 기관에 제로 트러스트를 의무화하는 행정 명령을 발표하면서 모든 것이 바뀌었습니다. 조용히 진행되던 움직임이 갑자기 대중의 관심을 받게 되었습니다.
"더 이상 위협을 따르지 않습니다"
John의 가장 반직관적인 믿음 중 하나는 위협을 추적하지 않는다는 것입니다.
"저는 최신 멀웨어나 공격 캠페인을 연구하지 않습니다."라고 그는 말합니다. "잘 설계된 제로 트러스트 환경에서는 이러한 요소는 중요하지 않기 때문입니다."
왜 그럴까요? 제로 트러스트는 침해를 피할 수 없다고 가정하고 모든 경고를 추적하는 대신 중요한 것을 보호하는 데 중점을 두고 제어를 구축하기 때문입니다.
"제로 트러스트 환경에서는 인터넷의 알 수 없는 리소스가 사용자의 보호 서피스에 알 수 없는 페이로드를 드롭하는 것을 허용하는 정책이 없습니다."라고 그는 설명합니다.
잘 설계된 제로 트러스트 환경에서는 최신 멀웨어나 공격 캠페인이 중요하지 않기 때문에 저는 최신 멀웨어나 공격 캠페인을 연구하지 않습니다.
공격자가 사용하는 프로토콜은 변하지 않았습니다. 그리고 피싱 링크나 잘못된 비밀번호와 같은 기본적인 공격 벡터가 여전히 주를 이루고 있습니다.
"공격자들은 여전히 20년 전과 동일한 도구를 사용하고 있습니다."라고 그는 말합니다. "여기는 키네틱 세계가 아닙니다. 사이버 상에서는 여전히 동일한 TCP/IP 레일 안에 갇혀 있습니다."
John은 위협 인텔리전스를 쫓는 대신 실행 가능한 정책과 표면 보호에 집중합니다.
제로 트러스트는 반드시 더 빠르게 대응하는 것만이 능사는 아닙니다. 애초에 공격자의 옵션을 제거하는 것입니다.
기둥은 잊어버리세요: 제로 트러스트를 위한 5단계 모델 따르기
많은 제로 트러스트 노력이 지지부진한 이유 중 하나는 조직이 유행어와 기둥으로 가득 찬 경직된 프레임워크를 따르려고 하기 때문입니다. John은 이제 단순화해야 할 때라고 말합니다.
"저는 5단계 모델을 사용합니다. 언제나. 제품 목록이 아닌 보호 표면부터 시작하세요."라고 권유했습니다.
제로 트러스트 및 신뢰할 수 있는 신원 관리에 관한 대통령에게 보내는 NSTAC 보고서와 같은 정부 간행물에서 설명하는 5단계에는 다음이 포함됩니다:
- 보호 표면 정의
- 트랜잭션 흐름 지도
- 제로 트러스트 아키텍처 구축
- 정책 만들기
- 모니터링 및 유지 관리
John은 제로 트러스트를 한 번에 해결하려고 하거나 선형적인 성숙의 여정이라고 생각하지 말라고 경고합니다.
"사람들은 '아이덴티티를 먼저 구축한 다음 디바이스, 네트워크를 차례로 구축하겠다'고 생각합니다."라고 그는 말합니다. "그런 식으로는 아무것도 이룰 수 없습니다."
대신, 그는 팀이 프로젝트를 엔드 투 엔드 보안이 가능한 네트워크의 작은 고가치 덩어리인 보호 영역으로 나눌 것을 권장합니다.
그리고 항상 가장 중요한 질문부터 시작하세요: 우리는 무엇을 보호하고 있는가?
제로 트러스트는 리더십의 필수 요소
제로 트러스트 모멘텀을 유지하는 방법에 대한 질문에 존은 "경영진의 동의를 얻어야 한다"는 간단한 진리를 제시했습니다. 그들이 합류하면 모든 것이 바뀝니다."
이를 통해 잘못 조정된 인센티브를 조정된 인센티브로 바꿀 수 있습니다.
"많은 사람들이 저에게 '우리는 절대 제로 트러스트를 하지 않을 것'이라고 말했습니다. 그러자 CEO가 우리가 하겠다고 말했고, 갑자기 일이 벌어졌습니다."
단기적인 증권 구매에서 장기적인 전략으로 사고방식을 전환하는 유일한 방법은 무엇일까요? 리더십의 우선순위로 삼으세요.
"사이버 보안은 분기별 예산 항목이 아닙니다."라고 John은 말합니다. "비즈니스 운영의 핵심입니다." "컴퓨터가 다운되면 비행기도 날지 못합니다."라는 그의 직설적인 표현을 빌리자면 말이죠.
사이버 보안은 분기별 예산 항목이 아닙니다. 이것이 바로 비즈니스를 운영하는 원동력입니다.
제로 트러스트: 유행이나 선택 사항이 아닙니다.
제로 트러스트가 주류가 되었습니다. 정부 지침, 공급업체 캠페인, 화려한 백서 등에서 이러한 사실을 확인할 수 있습니다. 하지만 대부분은 요점을 놓치고 있습니다.
존 킨더백이 20년 가까이 공유해 온 내용은 제품 홍보나 마케팅 프레임워크가 아닙니다. 사고방식의 전환입니다. 조직이 대응을 멈추고 아키텍처 설계를 시작하도록 만드는 것입니다. 두려움에 기반한 지출이 아닌 실제 전략에 뿌리를 둔 지출입니다.
끊임없는 공격, 중복되는 도구, 빠르게 움직여야 한다는 압박감으로 가득 찬 세상에서 존의 목소리는 안정감을 줍니다. 사이버 보안은 트렌드를 따라가는 것이 아니라 가장 중요한 것을 보호하는 것임을 상기시켜 줍니다.
이것이 바로 제로 트러스트가 더 이상 선택 사항이 아닌 이유입니다. 설계상 취약성을 방지하는 운영 방식입니다.
John과 같은 제로 트러스트 리더의 팟캐스트를 더 듣고 싶으신가요? 수상 경력에 빛나는 팟캐스트 구독하기 더 세그먼트: 제로 트러스트 리더십 팟캐스트.
.webp)