크리에이터 존 킨더백, CISO 자레드 누스바움과 함께하는 제로 트러스트의 실제 사례

제로 트러스트의 정신이 매일 제로 트러스트를 테스트하는 사람과 마주 앉으면 어떤 일이 벌어질까요?

제로 트러스트의 창시자이자 일루미오의 수석 에반젤리스트인 존 킨더백(John Kindervag)과 아레스 매니지먼트의 CISO이자 제로 트러스트의 여정을 내부에서 경험한 노련한 실무자 자레드 누스바움(Jared Nussbaum)의 대본 없는 대담이 바로 RSAC 2025 무대에서 진행된 것입니다.

John은 15년 전에 이 모델을 도입했습니다. Jared는 수십 년 동안 글로벌 기업들이 이 기술을 도입하고, 적용하고, 실제 침해 사고로부터 복구하는 데 도움을 주었습니다. 두 사람은 제로 트러스트의 시작과 발전 과정, 그리고 오늘날의 위협 환경에서 제로 트러스트가 작동하려면 무엇이 필요한지 함께 살펴봤습니다.

다음은 모든 보안 리더가 명심해야 할 6가지 핵심 인사이트입니다.

1. 제로 트러스트는 제품이 아닌 전략입니다.

많은 벤더가 제로 트러스트를 도구로 포장하려고 하지만 이는 정확하지 않습니다. 이는 디지털 환경 보안에 대한 사고방식의 전략적 전환입니다.  

대화 중에 John은 다음과 같이 분명하게 말했습니다. "제로 트러스트는 무엇보다도 전략입니다. 구매하는 것이 아니라 실천하는 것입니다."  

CISO의 입장에서 말하는 Jared도 동의했습니다. "가시성을 확보하고 위험을 줄이는 데 도움이 된다면 무엇이든 성공입니다."라고 그는 말합니다.  

하지만 제로 트러스트는 비즈니스 성과에 부합하는 사고방식과 전략에서 시작해야 한다고 덧붙였습니다. 보안팀은 도구나 프레임워크에 뛰어들기 전에 무엇을 보호하고 왜 보호해야 하는지 이해해야 합니다. 이를 통해 보안 지출의 우선순위를 적절히 정하고 이사회의 강력한 동의를 얻을 수 있습니다.

"제로 트러스트는 무엇보다도 전략입니다. 제로 트러스트는 구매하는 것이 아니라 실천하는 것입니다."

- 존 킨더백, 제로 트러스트 창시자

2. 마이크로세분화는 기본입니다.

John에게 세분화는 제로 트러스트의 기본입니다. 사실 제로 트러스트에 관한 두 번째 보고서는 15년 전에 John이 작성한'네트워크의DNA에 보안을 구축하라'라는 보고서였습니다: 제로 트러스트 네트워크 아키텍처.  

이 보고서에서 그는 제로 트러스트의 핵심 구성 요소로 세분화와 중앙 집중식 관리의 중요성을 강조했습니다. 그는 네트워크를 모두 세분화해야 하기 때문에 네트워크를 세분화하는 새로운 방법을 만들어야 한다고 촉구했습니다.

이 대화에서 John은 오늘날의 네트워크는 기본적으로 세분화되어 공격자가 일단 접근하면 측면으로 이동하지 못하도록 해야 한다고 강조했습니다. "공격자가 소유하고 사용자가 비용을 지불하는 구조입니다."라고 그는 말합니다. "세분화는 제로 트러스트의 기초입니다."  

Jared는 2013년 Target 침해 사고를 예로 들어 세분화되지 않은 네트워크의 영향력을 설명했습니다. 공격자들은 적절한 경계가 설정되어 있지 않아 타사 HVAC 공급업체를 통해 액세스 권한을 획득하고 POS 시스템으로 이동했습니다.  

"강력한 보안 경계로 세분화하면 가시성과 제어력을 확보할 수 있습니다."라고 그는 말합니다. "모든 공격자의 침입을 막을 수는 없지만, 멀리 접근하는 것은 막을 수 있습니다."

3. 제로 트러스트로 소규모로 시작하기

John이 생각하는 가장 큰 실수 중 하나는 조직 전체에 제로 트러스트를 한꺼번에 배포하려는 팀입니다.  

"사람들이 제로 트러스트에 실패하는 이유는 한꺼번에 모든 것을 하려고 하기 때문입니다."라고 그는 설명합니다. "한 번에 하나씩 보호할 수 있는 표면부터 시작해야 합니다."  

그의 잘 알려진 5단계 제로 트러스트 방법론은 맞춤화되고 관리 가능하며 지속 가능한 환경을 구축하는 데 중점을 둡니다:

• 보호 표면을 정의합니다. 공격 표면이 끊임없이 진화하고 있음을 이해하고 보호가 필요한 대상을 파악하세요. ‍
• 트랜잭션 흐름을 매핑합니다. 통신 및 트래픽 흐름에 대한 가시성을 확보하여 보안 제어가 필요한 위치를 결정하세요. ‍
• 제로 트러스트 환경을 설계하세요. 완전한 가시성이 확보되면 각 보호 표면에 맞는 제어 기능을 구현합니다.
• 제로 트러스트 보안 정책 만들기.보호 영역 내의 리소스에 대한 트래픽 액세스를 허용하는 세분화된 규칙을 개발하세요. ‍
• 네트워크를 모니터링하고 유지 관리합니다. 원격 측정을 통해 피드백 루프를 구축하여 지속적으로 보안을 개선하고 탄력적이고 취약하지 않은 시스템을 구축하세요.

누스바움은 실제로도 같은 일이 벌어지는 것을 목격했습니다. "기업들은 한 번에 너무 많은 일을 맡게 되면 제로 트러스트에 어려움을 겪습니다."라고 그는 말합니다. "소규모로 시작하여 비즈니스 이해관계자들과 협력하고 점진적으로 구축하면 제로 트러스트를 달성할 수 있습니다."  

그는 모멘텀을 구축하기 위해 환경을 이해하고, 명확한 목표를 정의하고, 가치를 조기에 제공하는 것이 중요하다고 강조했습니다. 그렇지 않으면 제로 트러스트 프로젝트가 순식간에 무너지고 조직의 보안 태세가 후퇴할 수 있다고 경고합니다.

4. 정체성만으로는 충분하지 않습니다.

제로 트러스트 논의에서 신원 확인이 중심이 되는 경우가 많지만, 존은 처음부터 이 개념에 도전해 왔습니다. "아이덴티티는 하나의 신호일 뿐입니다."라고 그는 말합니다. "항상 대체할 수 있습니다. 올바른 결정을 내리려면 더 많은 맥락이 필요합니다."  

즉, 신원 정보에만 의존하는 것은 위험을 초래할 수 있습니다. 세션이 도용되거나 아이디가 오용될 가능성이 여전히 존재하기 때문입니다.

Jared는 사용자 자격 증명을 넘어서야 할 필요성을 강조했습니다. "사용자, 디바이스, 작업 장소, 액세스하는 내용, 그리고 그것이 타당한지 지속적으로 확인해야 합니다."라고 그는 말합니다.  

그는 사람에 관한 문제만이 아니라는 점도 지적했습니다. 워크로드 간 통신도 확인하고 제어해야 합니다. "전체 맥락을 파악하지 못하면 효과적인 정책을 시행할 수 없습니다."

일루미오 인사이트와 같은 AI 통합 가시성 도구는 최신 보안에 필요한 심층적인 컨텍스트를 제공합니다. 이를 통해 환경에 대한 컨텍스트를 확보하여 동작을 이해하고, 이상 징후를 파악하고, 예상되는 작동 방식과 실제 상황을 기반으로 위험을 평가할 수 있습니다.

5. 비즈니스 측면에서 사이버 리스크 프레임워크

John은 제로 트러스트를 "사이버 보안의 원대한 전략"이라고 설명했습니다. 그는 정부와 기업 모두에서 이 기술을 채택하는 사례가 늘고 있다고 지적했습니다.  

특히 그는 OPM 데이터 유출 사고 이후 이 전략이 의회 지도자들에게도 큰 반향을 일으켰다고 말했습니다. 이때 제로 트러스트가 공격자의 이동을 제한하고 국가 안보를 보호할 수 있는 모델로 확인되었습니다.

하지만 Jared가 지적했듯이 제로 트러스트 또는 더 넓은 의미의 사이버 보안에 대해 이야기하는 것은 비즈니스 위험의 관점에서 접근해야만 의미가 있습니다.  

"사이버 위험은 비즈니스 위험에 기여하지만, 두 가지 위험은 동일하지 않습니다."라고 그는 말합니다. "이사회는 체류 시간이나 랜섬웨어 페이로드에 신경 쓰지 않습니다. 그들은 다운타임, 매출 손실, 고객 영향, 규제 결과에 대해 우려하고 있습니다."  

Jared는 보안에 대한 우려를 비즈니스 성과로 전환하는 것이 조직 전체의 보안에 대한 동의를 이끌어내고 보안을 성공으로 이끄는 방법이라고 생각합니다.

"이사회는 체류 시간이나 랜섬웨어 페이로드에 신경 쓰지 않습니다. 그들은 다운타임, 매출 손실, 고객 영향, 규제 결과에 대해 우려하고 있습니다."
‍
- Jared Nussbaum, 아레스 관리 CISO

6. 제로 트러스트를 사용자 환경에 맞게 조정

존이 강연에서 가장 강력하게 강조한 점 중 하나는 모든 제로 트러스트 환경은 조직에 맞게 구축되어야 한다는 것이었습니다.  

"모든 환경은 맞춤형입니다."라고 그는 말합니다. "레퍼런스 아키텍처를 그대로 가져와서 작동할 것이라고 기대할 수는 없습니다. 보호 표면과 비즈니스에 필요한 사항을 기반으로 설계해야 합니다."

Jared는 이에 동의하며 부서 간 협업의 중요성을 강조했습니다.  

"사일로에서는 제로 트러스트를 수행할 수 없습니다."라고 그는 설명합니다. "인프라 팀, 앱 개발자, 사업부, 심지어 최고 경영진까지 참여시켜야 합니다. 그들의 우선순위와 일정에 맞추지 않으면 프로그램이 성공할 수 없습니다."  

그는 지속적인 커뮤니케이션의 가치를 강조하며 보안 리더에게 "계획을 조기에 자주 공유하고 비즈니스의 피드백을 바탕으로 계획을 조정할 것"을 촉구했습니다.

제로 트러스트를 전략에 포함시키기

존 킨더백과 제러드 누스바움은 제로 트러스트의 창시자로서, 그리고 매일 제로 트러스트를 적용하는 실무자로서 서로 다른 관점을 RSAC 무대에 가져왔습니다. 하지만 두 사람 모두 이에 동의했습니다: 제로 트러스트는 일회성 프로젝트가 아니라 여정입니다.

존은 "숨을 거두면 제로 트러스트는 끝날 것"이라고 농담을 던졌습니다. "이것은 장기적인 관점에서의 전략입니다."

보다 탄력적인 기반을 구축하고자 하는 보안 리더에게 제로 트러스트는 검증된 방법을 제공합니다. 전략에서 시작하여 비즈니스 조정에 따라 확장되며 가시성, 컨텍스트 및 제어를 통해 성공합니다.

자세히 알아보기 일루미오 고객 조직에서 제로 트러스트를 실행하고 있거나 지금 바로 문의하세요 를 클릭해 제로 트러스트 전문가와 상담하세요.