정부 기관을 위한 존 킨더백의 제로 트러스트 진실 3가지

지난 몇 년 동안 미국 공공 부문은 CISA의 제로 트러스트 성숙도 모델부터 EO 14028 및 NIST SP 800-207에 이르기까지 제로 트러스트에 대한 다양한 지침을 받았습니다. 에이전시에서 정리해야 할 정보가 너무 많거나 어디서부터 시작해야 할지 막막하게 느껴질 수 있습니다.  

그렇기 때문에 연방 기술 팟캐스트는 최근 에피소드에서 제로 트러스트의 대부이자 창시자이며 일루미오의 수석 에반젤리스트인 존 킨더백과 함께 제로 트러스트에 대한 세 가지 핵심 진실을 이해하고자 했습니다. 이 정보는 기관이 제로 트러스트 의무를 준수하는 데 있어 올바른 방향을 찾고 유지하는 데 필수적인 정보입니다.

1. 제로 트러스트를 한 번에 수행할 수는 없습니다.

킨더백에 따르면, 특히 연방 정부에서 제로 트러스트에 대한 가장 큰 오해 중 하나는 한 번에 특정 기간 내에 제로 트러스트를 모두 달성할 수 있다고 생각하는 것입니다.  

하지만 이는 그가 전략을 설계한 방식과는 거리가 멀었습니다.

킨더백은 "이 여정은 영원히 계속될 것"이라고 설명합니다.  

지금 제로 트러스트를 시작하는 것은 기관이 미션 복원력을 구축하는 데 필수적입니다. 하지만 제로 트러스트는 지속적인 노력이 필요하기 때문에 언제 완전한 제로 트러스트에 도달할 수 있을지는 알 수 없습니다. 킨더백은 기관들이 더 중요한 질문은 언제가 아니라 무엇을 보호하고 있는지에 대한 것이라고 말했습니다.

킨더백은 "저는 시간에 대한 걱정보다는 적절한 인센티브와 프로그램을 마련하는 것에 대해 걱정하고 있습니다."라고 말합니다.  

그는 기관이 환경에 대한 완전한 엔드투엔드 가시성을 확보하는 것부터 시작할 것을 권장합니다. 이러한 인사이트를 통해 위험이 어디에 있는지 파악하고, 가장 위험하고 임무에 가장 중요한 영역의 보안 우선순위를 정한 다음, 한 번에 하나의 보호 표면을 통해 작업할 수 있습니다: "제로 트러스트를 단계적으로 구축할 수 있습니다."라고 그는 말합니다.

2. 제로 트러스트는 어렵지 않습니다

킨더백은 최고 경영진부터 보안 실무자까지 조직 전체가 공감할 수 있는 제로 트러스트 보안 전략을 만들었습니다. 이를 위해 이 전략은 이해하기 쉽고 실행하기 쉽도록 설계되었습니다.

"왜 이 모든 사람들이 제로 트러스트를 그렇게 어렵게 만드는 거죠?" 그는 농담을 던졌습니다. "점진적으로 이루어집니다. 한 번에 하나의 보호 표면만 보호하면 됩니다."

시행을 반복적인 프로세스로 만들면 보안팀은 가장 중요한 시스템부터 가장 중요하지 않은 시스템까지 한 번에 하나의 시스템, 애플리케이션 또는 리소스에 집중할 수 있습니다. 이 방법의 가장 큰 장점은 미션에 지장을 거의 주지 않는다는 것입니다.

킨더백은 "제로 트러스트를 구현하면 보호 표면을 하나씩 제어할 수 있으므로 중단 없이 사용할 수 있습니다."라고 설명합니다. "가장 망칠 수 있는 것은 보호 표면 하나뿐입니다. 전체 네트워크나 전체 환경을 망칠 수는 없습니다."

3. 선제적으로 제로 트러스트 구현

제로 트러스트는 침해는 피할 수 없다는 사실을 전제로 하며, 최신 공격 표면을 위한 모범 사례 보안 전략을 반영합니다.  

"공격 표면은 우주와 같아서 끊임없이 확장되고 있습니다."라고 킨더백은 말합니다.

기존의 예방 및 탐지 보안 도구는 컴퓨팅 환경이 훨씬 더 작고 단순하며 단일 경계 내에 모두 존재하던 시절에 구축되었습니다. 오늘날 네트워크는 복잡하고 분산되어 있으며 경계가 없습니다.  

제로 트러스트 아키텍처는 기관이 이러한 진화로 인해 증가하는 위험을 관리하는 데 도움이 됩니다. "제로 트러스트는 문제를 역전시켜 보호 표면이라는 작고 쉽게 알려진 것으로 축소합니다."라고 킨더백은 설명합니다.

예방 및 탐지 도구는 여전히 중요하지만, 그것만으로는 끊임없이 진화하는 사이버 위협으로부터 보호하기에 충분하지 않습니다. 기관은 네트워크 외부와 내부 모두에 대한 사전 예방적 보안을 구축하는 것이 중요합니다. 제로 트러스트 세분화(ZTS)와 같은 기본 도구를 포함한 제로 트러스트 기술은 기관이 침해에 선제적으로 대비할 수 있도록 도와줍니다.

킨더백은 "나쁜 일이 일어날 때까지 아무것도 하지 않는 사람들이 많다"며 이는 보안에 대한 구시대적인 사고방식이라고 지적했습니다. "우박이 쏟아지는데 자동차 보험에 가입하고 싶을 때와 같습니다. 보험 회사에서 뭐라고 말하나요? 아니요, 너무 늦었습니다."

"보안의 뒤가 아니라 보안의 앞으로 나아가야 합니다."라고 킨더백은 조언했습니다.

제로 트러스트를 위한 5단계

킨더백은 기관이 제로 트러스트 규정 준수를 구축할 때 제로 트러스트 구현을 위한 5단계 프로세스를 따를 것을 권장합니다:

1. 보호 표면을 정의하세요: 공격 표면은 항상 진화하기 때문에 제어할 수는 없지만 조직의 보호 표면을 작고 쉽게 알 수 있는 부분으로 축소할 수는 있습니다. 보호 표면에는 일반적으로 단일 데이터 요소, 서비스 또는 자산이 포함됩니다.

2. 통신 및 트래픽 흐름을 지도화하세요: 시스템의 작동 방식을 이해하지 못하면 시스템을 보호할 수 없습니다. 환경에 대한 가시성을 확보하면 제어가 필요한 부분을 파악할 수 있습니다.

3. 제로 트러스트 환경을 설계하세요: 네트워크에 대한 완벽한 가시성을 확보한 후에는 각 보호 영역에 맞는 맞춤형 제어를 구현할 수 있습니다.

4. 제로 트러스트 보안 정책을 만듭니다: 트래픽이 보호 영역의 리소스에 액세스할 수 있도록 허용하는 세분화된 규칙을 제공하는 정책을 구축하세요.

5. 네트워크 모니터링 및 유지 관리: 네트워크에 원격 측정을 다시 도입하여 지속적으로 보안을 개선하고 탄력적이고 취약하지 않은 시스템을 구축하는 피드백 루프를 구축하세요.

일루미오는 에이전시가 제로 트러스트 여정에서 이 5가지 단계를 수행할 수 있도록 도와드릴 수 있습니다. 정부 기관을 지원하는 방법에 대해 자세히 알아보고 지금 바로 문의하여 시작하세요.