이번 회계연도의 연방 제로 트러스트 진행 상황: 전문가 Q&A&A

연방 자금 지원이 종료됨에 따라 지난 회계연도에 정부 사이버 보안에 어떤 변화가 있었는지 돌아볼 수 있는 완벽한 시기입니다. 많은 기관이 사이버 보안 태세를 강화하는 데 주력하고 있습니다. 제로 트러스트는 이러한 노력의 중심에 있으며, 틈새 개념에서 핵심 보안 전략으로 발전하고 있습니다.  

최근 일루미오의 공공 부문 CTO인 게리 바렛과 함께 미국 연방 정부에서 제로 트러스트의 진화에 대해 이야기를 나눴습니다.  

이 대담에서 Gary는 정부의 제로 트러스트 현황, 올해의 연방 제로 트러스트 전환, 마이크로세그멘테이션과 같은 제로 트러스트 기술이 연방 사이버 보안을 어떻게 현대화하고 있는지에 대한 인사이트를 공유했습니다.  

질문: 미국 연방 정부는 몇 년 전부터 제로 트러스트에 대해 이야기해 왔습니다. 지난 한 해 동안 기관의 제로 트러스트 이니셔티브가 어떻게 발전하는 것을 보셨나요?

A: 지난 몇 년 동안 사람들의 이해 방식에 큰 변화가 있었습니다. 저희는 제로 트러스트에 대해 교육하는 데 많은 시간을 할애했습니다. 이제 더 많은 사람들이 그것이 무엇인지 알고 있습니다. 저희는 기관의 고유한 요구 사항에 맞는 제로 트러스트 전략이 어떤 모습이어야 하는지 논의하는 데 더 많은 시간을 할애하고 있습니다.  

사람들이 깨닫고 있는 한 가지 중요한 사실은 제로 트러스트 제품이 하나도 없다는 것입니다. 제로 트러스트는 여러 기술을 함께 사용하는 전략입니다.

저는 여전히 정체성에 대한 건강하지 못한 집착이 남아 있다고 생각합니다. 많은 사람들이 여전히 제로 트러스트가 신원 확인을 의미한다고 생각하지만, 저는 그 생각이 바뀌기 시작했습니다.

제가 보고 있는 가장 큰 변화는 사람들이 제로 트러스트 기술에 대해 생각하는 방식이라고 생각합니다. 이 중 많은 부분이 노출로 귀결됩니다. 보안팀은 네트워크가 얼마나 복잡해졌는지 완전히 이해하지 못할 수도 있습니다. 제로 트러스트 모델에서 이러한 복잡성을 보호할 수 있는 더 좋고 쉬운 방법을 개발했다는 사실을 깨닫지 못할 수도 있습니다. 제로 트러스트 여정 초기에는 불과 몇 년 전에는 불가능했던 빠른 성공을 거둘 수 있는 방법이 있습니다.

Q: 경험상 제로 트러스트를 구축할 때 기관이 직면하는 장애물은 무엇인가요?

A: 현재 리소스 부족이 가장 큰 문제입니다. 대행사들은 예산 부족, 인력 부족, 사이버 기술 격차 등으로 어려움을 겪는 경우가 많습니다. 숙련된 인력을 유치하기 위해 더 많은 자원과 혜택을 제공하는 민간 기업들과 경쟁하기는 어렵습니다. 새로운 AI 기술이 이러한 리소스 문제를 일부 완화하는 데 도움이 될 수 있다고 생각합니다.

또 다른 도전 과제는 마음가짐이며, 이는 공공 부문과 민간 부문 모두에 해당됩니다. 에이전시는 때때로 완벽을 추구하다 막히는 경우가 있습니다. CISA의 제로 트러스트 성숙도 모델(ZTMM) 및 국방부의 제로 트러스트 참조 아키텍처와 같은 제로 트러스트 지침은 제로 트러스트를 각 단계를 체크할 수 있는 선형적인 단계별 프로세스로 제시합니다. 하지만 이는 제로 트러스트가 실현되는 현실이 아닙니다. 이는 현재 진행 중인 프로세스입니다. 한 번에 여러 영역을 작업해야 하며, 완벽할 수는 없지만 더 나아질 수 있다는 사실을 인정해야 합니다.

또한 보안 침해가 곧 실패를 의미하거나 보안팀만의 문제라는 생각도 바꿔야 합니다. 침해는 일어날 수 있습니다. 피싱 이메일처럼 보안팀이 통제할 수 없는 곳에서 발원하는 경우가 많습니다. 사이버 보안은 모두의 책임입니다. 이를 위해서는 정부 전체의 인식 수준이 필요합니다.

Q: 연방 정부의 사이버 기술 격차에 대해 주의를 촉구해 왔습니다. FedRAMP가 지원하는 것과 같은 공공-민간 부문 파트너십이 이러한 격차를 해소하는 데 어떻게 도움이 될까요?

A: 공공-민간 파트너십은 승수 효과가 있습니다. 새로운 기술, 위험 및 규정 준수 요건에 대응하는 데 필요한 유연성을 대행사에 제공합니다.

민간 단체는 신뢰할 수 있는 조언자로서 정부와 협력할 수 있습니다. 이들은 대행사 자체 팀에서 배우기 어려운 전문 지식을 제공합니다. 공공 및 민간 부문 보안 전문가들이 서로 배우고 인사이트를 공유할 수 있는 좋은 기회입니다.

정보를 공유할 수 있다면 사일로를 없애고 사이버 보안을 함께 개선할 수 있습니다.  

Q: 연방 정부 사이버 보안에서 자동화와 AI가 어떤 역할을 할 것으로 보나요?

A: 다른 조직과 마찬가지로 보안 자동화와 AI는 팀이 더 빠르게 작업하고 기술 격차를 해소하는 데 도움이 될 수 있습니다. 하지만 이러한 도구 사용의 위험성은 정부 기관에서 더욱 증폭됩니다.  

AI 모델을 구축하고 학습시킬 때 직원과 시민의 데이터를 포함한 민감한 정보가 노출될 위험이 있습니다. 이 기술은 너무 새롭기 때문에 아직 트레이닝 데이터의 출처나 공개적으로 공유할 방법을 명확하게 추적할 수 있는 방법을 찾지 못했습니다.

AI 모델에는 편향성이 내장되어 있을 수도 있습니다. AI 알고리즘은 사람이 구축하며, 학습 데이터는 종종 사람의 입력에서 비롯됩니다. 인간에게는 편견이 있으며, 종종 우리에게는 분명하지 않은 편견이 있습니다. 현재로서는 AI가 우리의 편견에 편승하는 방식을 발견하고 수정하는 것이 거의 불가능합니다. 이는 정부에서 중요한 이슈가 될 수 있습니다.  

시민들은 정부 기관에 의존하고 정보를 공유해야 합니다. 정부의 모든 종류의 편견은 시민들에게 피해를 줄 수 있으며, 심지어 생사에 영향을 미칠 수도 있습니다.

질문: 앞으로 마이크로세그멘테이션과 같은 제로 트러스트 기술이 연방 사이버 보안 전략에 어떤 영향을 미칠 것으로 보시나요?

A: 제로 트러스트는 이미 연방 기관의 사이버 보안 현대화 속도를 높이고 있습니다. 마이크로세그멘테이션과 같은 기술은 기관이 침해를 예방하고 탐지하는 데에만 의존하는 것에서 벗어나 침해를 억제하는 방향으로 나아가는 데 도움이 됩니다.  

긍정적인 변화는 보안이 우리 모두의 일이라는 사실을 인식하는 사람들이 늘어나고 있다는 점입니다.

제로 트러스트 기술을 사용하려면 네트워크에 대한 가시성을 높이고 팀 간의 협업을 강화해야 합니다. 사람들은 더 나은 보안 보호 기능에 익숙해지고 있습니다. 이제는 특정 보호 기능이 있는 이유보다는 없는 이유를 묻는 것이 더 일반적입니다.

하지만 사이버 보안이 주류가 되면서 자칫 안일해질 수 있는 위험이 있다고 생각합니다. 대중이 더 나은 보호를 요구할 때까지 보안 조치는 필요한 만큼 빠르게 발전하지 못할 수 있습니다. 사이버 보안에 대한 더 나은 대화가 더 자주, 더 자주 이뤄진다면 지금과 같은 모멘텀을 이어가는 데 도움이 될 것으로 기대합니다.

다음을 통해 에이전시에서 제로 트러스트를 구축하세요. 일루미오 정부 클라우드이제 FedRAMP® 인증되었습니다. 자세히 알아보기 FedRAMP 마켓플레이스.