제로 트러스트 운영 - 1단계: 보호할 대상 파악하기

이 블로그 시리즈는 최근 포스팅 "제로 트러스트는 어렵지 않습니다... 실용적이라면"에서 소개한 아이디어를 기반으로 합니다.

이전 글에서 제로 트러스트를 달성하기 위한 6가지 단계에 대해 설명했습니다. 이 시리즈에서는 크고 작은 조직의 마이크로세분화 실무자가 프로젝트의 성공률을 높이기 위해 사용할 수 있는 견고한 프레임워크를 제공하기 위해 앞서 설명한 6가지 단계를 각각 살펴보겠습니다. 시작하기 전에 각 단계를 시각적으로 표현한 그림이 있습니다:

1단계: 보호 대상 식별

업무용 기술이 유비쿼터스가 되기 전인 초기에는 조직이 매우 '선심성' 접근 방식을 취했습니다. 기업 입장에서 이는 새로운 하드웨어, 운영 체제, 소프트웨어 등 새로운 기능을 도입할 때 일반적인 사용 사례를 해결하기보다는 항상 당면한 특정 업무에 가장 적합한 것이 무엇인지에 대한 전술적 접근을 의미했습니다.

기술이 소규모로 배포되었기 때문에 규모의 경제를 추구하거나 전반적으로 관련성이 있는 전략적 솔루션을 설계하는 것보다 애드혹 솔루션이 관리가 용이하고 생산성이 더 높았습니다.

하지만 이제 조직이 성장함에 따라 애드혹 솔루션 운영의 비용과 효율성이 어디서나 효과적인 솔루션을 구축하는 데 사용할 수 있는 일반 구성 요소를 활용하는 능력에 의해 무시되는 전환점이 있다는 것을 알고 있습니다.

보안 기술의 도입과 배포도 다르지 않기 때문에 새로운 보안 기능을 도입하는 것은 복잡하고 오랜 시간이 걸리며, 특히 그 기능이 예방을 위한 것이라면 더욱 그렇습니다.

그렇다면 왜 위의 내용을 모두 언급하고 있을까요? 이러한 맥락은 제로 트러스트 사고방식 채택과 같은 전략적(즉, 포괄적이고 장기적이며 복잡한) 이니셔티브를 전술적(즉, 매우 구체적이고 단기적이며 비교적 간단한) 단계로 시작하여 조기에 빠르게 진전시킬 수 있는 방법을 설명합니다.

궁극적으로 우리의 목표는 조직 전체에 제로 트러스트 프레임워크를 구축하는 것입니다. 이러한 장기적인 목표를 세우는 것은 그 진전을 검증하는 데 필수적이며, 각 단계마다 목표에 더 가까워질 수 있습니다. 그러나 완전한 제로 트러스트를 달성하려면 오랜 기간에 걸쳐 많은 단계를 거쳐야 하며, '전부 아니면 전무' 접근 방식으로는 ROI를 입증하기 어려울 수 있습니다. 단기간에 측정 가능한 진전을 보여주지 못하면(분기별로, 월별로 공격적이지는 않더라도) 다른 우선순위에 밀려 이니셔티브에 대한 지지와 관심이 사라질 수 있습니다.

대신, 제로 트러스트의 전사적 도입이라는 장기적인 목표를 달성하려면 해당 애플리케이션 또는 애플리케이션 모음을 대상으로 삼으세요:

• 제로 트러스트 보안 원칙을 채택하기 위한 강력한 동력을 확보하세요. 이는 규정 준수 또는 규제 의무 또는 개선해야 하는 감사 결과입니다. 제로 트러스트를 도입하는 또 다른 강력한 동력은 '사고'에서 비롯됩니다. "위기를 낭비하지 말라"는 옛 속담이 있듯이 누구나 한 번쯤은 겪게 되는 '사고'입니다. 이를 통해 변화를 기꺼이 받아들일 의지와 필요성을 확보할 수 있습니다.
• 중요한 애플리케이션으로 표시됩니다. 프로세스 초기에 핵심 애플리케이션에 집중하는 것은 최고의 학습 기회를 제공하지만, 성공하면 기업의 덜 중요한 다른 부분에도 해당 기술의 이점에 대한 확신을 줄 수 있습니다. 이러한 애플리케이션은 주요 의사 결정권자가 가장 잘 알고 있는 애플리케이션이기도 하므로, 진전이 있으면 제로 트러스트 이니셔티브의 ROI를 직접적으로 확인할 수 있습니다.
• 기꺼이 기니피그가 되겠다는 의지가 있어야 합니다. 이것은 실험이며 관련 위험이 수반된다는 것은 의심의 여지가 없습니다. 제로 트러스트를 도입하면 일반적인 액세스 모델을 뒤집는 것이므로 성장통을 겪을 수 있습니다. 도입 위험에 익숙한 애플리케이션 팀과 협력하는 것은 매우 가치 있는 일입니다. 이들은 채택을 확대하는 데 있어 미래의 챔피언이 될 것입니다.

위의 요건 중 최소 두 가지 이상을 충족하는 SWIFT 또는 PCI-DSS 시스템, 프로덕션 네트워크의 개발 워크로드, 중요한 보안 서비스, 패치되지 않은 상태로 실행되는 애플리케이션, 수명이 다한 구성 요소는 모두 제로 트러스트 세그먼테이션의 초기 도입자가 될 수 있는 좋은 후보라고 생각합니다. 이러한 범주에 해당하는 애플리케이션에는 어떤 것이 있나요?

보호하려는 대상을 파악한 후에는 어떤 제로 트러스트 기둥에 집중할지, 더 구체적으로 어떤 제어를 시행할지 결정할 수 있는데, 이 두 가지는 이 시리즈의 다음 글에서 다룰 예정입니다.

다음 포스팅에서 더 자세히 알아보고 싶으신가요? 마이크로 세분화를 통해 제로 트러스트 전략을 운영하는 방법에 대한 페이지를 방문하여 자세한 내용을 알아보세요.