제로 트러스트가 연방 사이버 보안을 현대화한 방법을 공유하는 션 코넬리

사이버보안 및 인프라 보안국(CISA)은 진화하는 사이버 위협으로부터 미국의 중요 인프라를 보호하는 데 앞장서고 있습니다. 또한 연방 정부가 기존의 경계 기반 전략에서 최신 제로 트러스트 접근 방식으로 사이버 보안을 발전시키는 데 핵심적인 역할을 해왔습니다.

최근 더 세그먼트의 에피소드에서 제로 트러스트 리더십 팟캐스트 제로 트러스트 리더십 팟캐스트에서 저는 제로 트러스트로의 전환을 이끈 선도적인 설계자와 이야기를 나눴습니다: 바로 CISA의 제로 트러스트 이니셔티브의 전 이사인 션 코넬리입니다. 그는 연방 사이버 보안의 혁신적인 변화, 네트워크 경계의 진화, 제로 트러스트 여정을 시작하는 모든 사람을 위한 실용적인 조언을 제공했습니다.

토론 내용을 요약해 보려면 계속 읽어보세요.

션 코넬리소개

Sean은 연방 사이버 보안의 선도적인 인물로, 지난 10년간 CISA에서 이니셔티브를 형성하는 데 중요한 역할을 담당했습니다. 그는 연방 정부의 국방 전략에 필수적인 제로 트러스트 사이버 보안 모델을 발전시켰습니다. 또한 최초의 제로 트러스트 성숙도 모델 개발을 주도했으며 NIST 제로 트러스트 아키텍처를 공동 집필했습니다.  

올해 초에는 정부 기관이 사이버 보안 조치를 강화하는 데 필요한 교육과 리소스를 제공하기 위해 CISA 제로 트러스트 이니셔티브 사무소를 출범시켰습니다.

CISA가 연방 사이버 보안 현대화를 지원한 방법

2000년대 중반, 연방 기관의 네트워크가 빠르게 성장하면서 인터넷에 대한 네트워크 연결이 놀라울 정도로 증가했습니다. 공격 표면은 점점 커지고 있었습니다. Sean은 연방 정부 전체에서 위험을 줄일 수 있는 방법을 찾아야 한다는 사실을 깨달았습니다.

Sean과 CISA 팀은 다른 미국 사이버 보안 기관과 협력하여 2007년에 신뢰할 수 있는 인터넷 연결(TIC) 이니셔티브를 만들었습니다. 목표는 정부 네트워크의 게이트웨이 수를 제한하는 것이었습니다. 모든 연방 인터넷 트래픽은 TIC 승인 기관을 통해 라우팅되어야 합니다.  

처음에는 기존의 허브 앤 스포크 네트워킹 모델에 의존하는 네트워크 경계를 보호하는 데 중점을 두었습니다. 하지만 시간이 지나면서 Sean과 같은 연방 사이버 보안 리더들은 클라우드와 모바일 기술의 부상으로 인해 보다 분산된 데이터 중심의 접근 방식이 필요하다는 것을 깨달았습니다.  

"당시에도 시스코와 제리코 포럼은 심층 경계화의 필요성을 언급했습니다."라고 그는 설명했습니다. "그들의 계명 중 하나는 '보안을 데이터에 가깝게 배치할수록 더 좋다'는 것이었습니다. 그게 말이 되죠?"

TIC는 2.0으로, 그리고 3.0으로 발전하여 현재 기관들이 클라우드 서비스와 제로 트러스트를 도입하여 오늘날의 복잡한 위협 환경에 대비하도록 장려하고 있습니다. TIC 3.0은 이전 버전의 TIC 프로그램보다 더 유연한 위험 기반 접근 방식에 중점을 둡니다.  

Sean은 TIC 3.0을 연방 사이버 보안의 '새로운 여정'이라고 불렀습니다. 이를 통해 데이터 보안과 네트워크 보안 간의 균형이 더욱 강화되었습니다. 이는 연방 정부가 제로 트러스트 접근 방식을 채택하는 데 있어 중요한 이정표이기도 했습니다.

CISA의 제로 트러스트 성숙도 모델 구축

이 '새로운 여정'의 중요한 부분은 기관에 제로 트러스트 구축에 대한 실용적인 정보를 제공하는 것이었습니다. 제로 트러스트는 기관의 사고방식 전환을 요구했지만, 기관의 리더는 제로 트러스트를 달성하는 방법에 대한 전술적 세부 사항도 필요했습니다.

Sean은 2021년에 발표된 제로 트러스트 성숙도 모델(ZTMM)을 만들기 위한 CISA의 노력을 주도했습니다. ZTMM은 연방 기관이 제로 트러스트를 향해 나아갈 때 사용할 수 있는 가장 중요한 로드맵 중 하나입니다.

ZTMM은 연방 정부의 제로 트러스트 채택에 있어 중요한 이정표입니다. 이는 기관이 제로 트러스트 계획을 수립할 때 공통 언어를 제공하기 때문입니다. Sean은 제로 트러스트 구축에 있어 정확한 지침이 필요하다는 것을 인식하고 있었습니다. 당시에는 기관마다 제로 트러스트에 대한 이해가 달랐습니다. 제로 트러스트가 실제로 어떤 모습인지, 연방 보안 의무에 어떻게 적용되는지에 대해 혼란을 야기했습니다. 그는 "정책에 언어를 넣을 수는 있지만, 기관은 여전히 '이것이 진짜 의미인가'를 알고 싶어 합니다."라고 언급했습니다.

첫 번째 버전을 출시한 후 CISA는 다른 사이버 기관 및 중소기업과 함께 기관별로 제로 트러스트 진행 상황과 성숙도를 논의하기 위해 기관을 방문했습니다. 그 결과 공급업체, 학계 및 국제 정부와의 미팅을 포함하여 100회 이상의 미팅이 이루어졌습니다. CISA는 이 피드백을 2022년에 발표된 ZTMM의 두 번째 버전에 추가했습니다.

션은 프레젠테이션과 기사에서 ZTMM의 산 그래픽을 여러 번 본 적이 있다며 "큰 반향을 불러일으켰습니다."라고 말했습니다. "하지만 산 정상에 오르면 정말 산맥이 펼쳐진다는 점이 놀랍습니다."

Sean은 제로 트러스트는 결코 완성된 것이 아니라 계속 진행 중인 여정이라고 강조했습니다. "기술이 발전함에 따라 언젠가는 깃발도 옮기고 골대도 옮길 것입니다."라고 그는 설명했습니다. "우리는 항상 제로 트러스트를 구축하기 위한 새로운 방법을 추가해야 합니다." 이를 위해 Sean은 ZTMM을 사이버 보안의 현재 상태를 지속적으로 반영해야 하는 살아있는 문서로 보고 있습니다.  

제로 트러스트를 위한 5단계

Sean은 제로 트러스트 여정을 막 시작하는 사람들과 미팅을 하게 된다면 NSTAC 제로 트러스트 보고서부터 시작하라고 권하고 싶다고 말합니다. 제로 트러스트의 창시자이자 일루미오의 수석 에반젤리스트인 존 킨더백이 함께 만든 이 가이드는 제로 트러스트 프로그램 구축을 위한 5가지 단계를 간략하게 설명합니다.  

다음은 앞서 설명한 5가지 단계를 자세히 설명한 내용입니다:

1. 보호 표면을 정의합니다: 보호가 필요한 대상을 식별합니다.

2. 트랜잭션 흐름을 매핑하세요: 시스템, 클라이언트-서버, 조직 내 상호 작용을 포함한 조직 내 데이터 및 커뮤니케이션 흐름을 문서화하세요.

3. 아키텍처 구축: 네트워크, 호스트 장치 및 ID의 신호를 활용하여 보호 대상 자산에 가까운 보안 조치를 통해 데이터 중심 보안 아키텍처를 개발하세요.

4. 동적 정책 만들기: 클라이언트-서버 및 조직의 상호 작용을 고려하여 변화하는 조건에 대응하는 적응형 정책을 수립하세요.

5. 매니페스트, 모니터링 및 유지 관리 제로 트러스트 환경을 구축, 지속적으로 모니터링 및 유지 관리하여 지속적인 보안 및 규정 준수를 보장합니다.

더 세그먼트를 듣고, 구독하고, 리뷰하세요: 제로 트러스트 팟캐스트

자세히 알아보고 싶으신가요? 웹사이트, Apple 팟캐스트, Spotify 또는 팟캐스트가 제공되는 모든 곳에서 션과 함께한 전체 에피소드를 들어보세요. 에피소드 전문을 읽어보실 수도 있습니다. 

곧 더 많은 제로 트러스트 인사이트로 다시 찾아뵙겠습니다!