존 킨더백이 전하는 제로 트러스트의 탄생 스토리

더 세그먼트의 새로운 시즌으로 돌아왔습니다: 제로 트러스트 리더십 팟캐스트! 전 포레스터 애널리스트 체이스 커닝햄, 서던 메소디스트 대학교 CSO이자 베스트셀러 작가인 조지 피니, 마이크로소프트의 보안 비즈니스 개발 부사장 앤 존슨 등 업계의 거물급 인사들과 함께한 첫 시즌을 마친 후, 전체 팟캐스트 중 상위 15위% 안에 들었으며 2023년 MarCom 골드 어워드에서 최고의 업계 중심 팟캐스트 시리즈상을 수상하기도 했습니다.

팟캐스트에 처음 도전한 저희의 결과가 매우 자랑스럽습니다. 그리고 이 모든 것은 여러분과 같은 청취자(그리고 독자) 덕분입니다!

뜨거운 요청에 힘입어 두 번째 시즌을 시작하며 업계 최고의 CISO, CTO, 사이버 아키텍트로 구성된 라인업에서 더 많은 제로 트러스트 일화와 사이버 보안에 대한 관점을 공유하게 되어 자랑스럽게 생각합니다.  

먼저 제로 트러스트의 대부이자 일루미오의 수석 에반젤리스트인 존 킨더백을 만나 이야기를 나눠보았습니다. 이 대화의 요약에서는 제로 트러스트에 대한 John의 아이디어가 어떻게 시작되었는지, 제로 트러스트 모범 사례에 대한 초기 연구와 제로 트러스트 여정에 있는 조직에 대한 조언을 알아보세요.

존 킨더백 소개: 제로 트러스트의 창시자

존은 제로 트러스트의 세계에서 소개할 필요가 없는 사람입니다. 하지만 생소한 분들을 위해 그의 인상적이고 다소 방대한 이력서를 간략히 소개합니다.  

실무자 및 업계 분석가로서 25년 이상의 경력을 쌓은 존 킨더백은 세계 최고의 사이버 보안 전문가 중 한 명으로, 10년 전 포레스터 리서치에서 사이버 보안의 혁신적인 제로 트러스트 모델을 만든 것으로 가장 잘 알려져 있습니다.

2021년에는 미국 대통령의 국가안보통신자문위원회(NSTAC) 제로 트러스트 분과위원회에 임명되었으며, 대통령에게 전달된 NSTAC 제로 트러스트 보고서의 주 저자로 참여했습니다. 같은 해에 그는 CISO Magazine의 올해의 사이버 보안 인물로 선정되었습니다.  

현재 일루미오의 수석 에반젤리스트로서 존은 제로 트러스트 세분화에 대한 인식을 가속화하고 산업 전반의 도입을 촉진하는 업무를 담당하고 있습니다.  

제로 트러스트는 어떻게 시작되었나요?

존에게 제로 트러스트 프레임워크는 방화벽 기술의 초창기에 내재된 전통적인 신뢰 모델에 맞서 싸우거나 이를 억제하는 데서 비롯됩니다.  

"방화벽 기술에서는 인터넷은 신뢰할 수 없는 인터페이스에 있고 내부 네트워크로 연결되는 인터페이스는 신뢰할 수 있는 신뢰 모델이라는 개념이 있었기 때문에 방화벽 설치 프로세스를 시작하면서 실제로 제로 트러스트가 시작되었습니다." John의 말처럼, 방화벽은 제로 트러스트의 시작이었습니다. 그리고 이러한 신뢰 관계 덕분에 내부 또는 신뢰할 수 있는 네트워크에서 외부 또는 신뢰할 수 없는 네트워크로 트래픽을 이동하는 데 정책 설명이 필요하지 않았습니다."

존은 이 모습을 보고 생각했습니다: "이건 말도 안 돼요! 사람들은 데이터를 외부로 유출할 것입니다. 그리고 [조직]은 '아니요, 그럴 수 없습니다. 당신은 할 수 없습니다....' 그리고 모든 신뢰 인터페이스, 모든 인터페이스는 동일한 신뢰를 가져야 하며 0이어야 한다고 말씀드렸습니다. 이것이 바로 제로 트러스트의 시작입니다. 정책에 영향을 미치는 방화벽을 구축하는 방식에 대한 반발일 뿐이며 그럴 이유가 없습니다."

같은 맥락에서 제로 트러스트는 본질적으로 당시의 통념에 도전하는 데서 출발합니다. John은 현재보다 더 나은 사이버 보안을 수행할 수 있는 방법이 있다고 생각했습니다. John의 말처럼 "모든 사람이 말하는 것을 검증하고 그것이 사실인지 확인해야 합니다. '신뢰의 정의가 무엇인가요?"라고 묻는 사람은 저뿐이었는데, 이는 정의하기 정말 어려운 문제입니다."  

제로 트러스트 실험 및 연구

업계에서 가장 주목할 만한 프레임워크 중 하나를 만들었음에도 불구하고 존은 매우 겸손하게 대화에 임합니다. 저는 그에게 제로 트러스트가 지금과 같은 방식으로 발전할 것이라고 예상한 적이 있는지 물었습니다.  

그의 반응은? "기대치가 꽤 낮았어요. 애널리스트로서 그 역할을 수행하면서, 여러분은 그저 아이디어가 스며들 수 있도록 노력하는 것뿐이라는 것을 깨닫게 될 것입니다. 제로 트러스트가 이렇게 큰 성공을 거둘 줄은 몰랐습니다. 초기에는 확실히 불이 붙지는 않았지만, 그 다음에는... '와, 생각보다 많은 사람들이 이 글을 읽고 이 글을 들으며 이에 대해 이야기하고 싶어 한다는 것을 깨달았습니다."

초기 상승 속도가 느리기 때문에 프레임워크를 실험하고 개선할 시간이 더 많았습니다. "한동안은 저 혼자만 이 일을 했기 때문에 상승세가 느린 것이 좋았습니다. 그래서 제가 직접 모든 실수를 저지른 다음 그 실수에 대해 글을 써서 여러분이 직접 실수를 하지 않아도 되도록 그 실수가 무엇인지 알려주어야 했습니다. 그리고 그것이 제 위치에 있는 사람이 할 수 있는 가치 있는 일이라고 생각했습니다."라고 킨더백은 설명합니다.  

가장 큰 제로 트러스트 실수

제가 게스트에게 가장 좋아하는 질문 중 하나는 "제로 트러스트 여정에서 조직이 잘못하고 있는 것은 무엇인가요?"라는 질문입니다.

John은 "제가 본 가장 큰 실수는 너무 큰 규모로 너무 빨리 진행한 것이었습니다. 이제 모든 사람이 조직 전체를 위해 한꺼번에 이를 시도하고 있습니다."

또한, 존은 사람들이 제로 트러스트의 개념을 실제보다 더 어렵게 생각하여 도입이 더디고 궁극적으로 성공하지 못할 수 있다고 설명했습니다.  

"많은 사람들이 실제보다 더 어렵게 들리고 더 복잡하게 만드는 것 같아요."라고 John은 말합니다. "아주 간단하죠? 네 가지 디자인 원칙이 있으며 이를 위한 5단계 모델이 있습니다... 매우 간단하도록 설계되었습니다...."  

반대하는 사람들을 위한 존의 가장 큰 조언은? "그냥 나가서 하세요... 이것은 경험적인 것입니다. 우리의 모든 비즈니스는 경험 중심입니다."  

제로 트러스트 목표를 달성하기 위해 한 발 앞서 나아가는 조직이 많을수록 사이버 복원력 여정에서 더 멀리 나아갈 수 있습니다.  

더 세그먼트를 듣고, 구독하고, 리뷰하세요: 제로 트러스트 팟캐스트

John과의 전체 토론 내용을 듣고 싶으신가요? 이번 주 에피소드는 Apple 팟캐스트, Spotify 또는 어디서든 팟캐스트를 들을 수 있는 곳에서 들을 수 있습니다. 에피소드 전문을 읽어보실 수도 있습니다.

곧 더 많은 제로 트러스트 인사이트로 다시 찾아뵙겠습니다!