제로 트러스트가 실제 업무 방식에 맞게 설계되어야 하는 이유에 대한 전 백악관 CIO의 이야기

백악관에서는 음악 재생 목록처럼 단순한 것조차 보안 위험이 될 수 있습니다.

최근 The Segment 팟캐스트의 한 에피소드에서 전 백악관 CIO인 테레사 페이튼과의 대화에서 그녀는 조지 W. 부시 대통령이 딸들과 음악을 공유할 때 iPod Shuffle을 어떻게 사용했는지에 대해 이야기했습니다. 문제는 재생 목록을 업데이트하면 자동으로 공개적으로 방송된다는 점입니다.  

무해해 보이는 기능이 잠재적 노출을 초래할 수 있습니다.

해결책은 기기를 잠그거나 사용 방법을 제한하는 것이 아니었습니다. 대신, 테레사의 팀은 사용자 주변에 보이지 않는 보호 기능을 설계했습니다. 그녀는 "거의 보이지 않는 안전망을 만들면서 그가 자신의 삶을 살 수 있도록 해야 했다"고 설명했습니다.

이 이야기는 오늘날 사이버 보안에 대한 근본적인 내용을 담고 있습니다.

저희는 수년간 시스템, 제어 및 규정 준수 요건을 중심으로 보안을 설계해 왔습니다. 그 사이 공격자들은 사람에게 집중했습니다. 그들은 행동을 연구하고 마찰을 이용합니다. 보안이 설계된 방식과 실제로 사용되는 방식 사이에 차이가 있는지 살펴봅니다.

제로 트러스트가 실질적인 성과를 내기 위해서는 인간 사용자 스토리에서 출발해야 합니다.

계산이 맞지 않습니다. 이것이 바로 문제입니다.

테레사는 오늘날 사이버 보안 상태의 주요 문제점을 파악하고 있습니다.

그녀는 사이버 보안에 약 2,400억 달러를 지출하는 반면 사이버 범죄로 인한 손실은 올해 10조 5,000억 달러에 달할 것으로 예상되는 극심한 불균형을 지적했습니다.

그녀의 반응은 간단했습니다: "계산이 안 맞아요."

이 격차는 더 심각한 문제를 드러냅니다. 업계에는 도구, 프레임워크, 자금이 부족하지 않습니다. 결과가 부족합니다.

그 중 큰 부분은 규정 준수에 접근하는 방식에 달려 있습니다. 프레임워크는 필요하고 규정은 중요합니다. 하지만 의도치 않게 조직이 보안에 대해 생각하는 방식에 영향을 미쳤습니다.

테레사의 표현을 빌리자면, 이러한 프레임워크는 "의도는 매우 좋지만 어쩌면 우리에게 일어난 최악의 일이 될 수도 있다"고 할 수 있습니다.

왜 그럴까요? 체크리스트 사고방식을 장려하기 때문입니다.

조직은 위험을 줄이는 대신 요구 사항을 충족하는 데 집중합니다. 그리고 공격자들은 이를 악용합니다. 그들은 컨트롤을 이해하고 부족한 부분이 어디인지 알고 있습니다. 결과적으로 시스템을 간단히 리버스 엔지니어링할 수 있습니다.

제로 트러스트가 잘못 이해되고 있는 부분이 바로 이 부분입니다.

표준을 충족하는 것이 아니라 지속적으로 신뢰를 검증하고 노출을 제한하는 것입니다. 규정 준수는 무엇이 필요한지 알려줄 수 있지만 제로 트러스트는 무엇이 실제로 효과적인지 질문하게 만듭니다.

보안은 여전히 사용자가 아닌 구매자를 위해 설계되었습니다.

또한, 테레사는 눈에 잘 띄지 않는 또 다른 업계 문제인 대부분의 보안 솔루션이 사용자가 아닌 구매자를 위해 만들어졌다는 점도 언급했습니다.

테레사는 공급업체가 일상적으로 기술을 사용하는 사람들이 아니라 구매자를 주요 고객으로 여기는 경우가 많다고 설명했습니다.

이러한 구분은 매우 중요합니다. 보안이 사용량이 아닌 조달을 중심으로 설계되면 마찰이 발생합니다. 그리고 마찰은 해결 방법으로 이어집니다.

우리 모두는 그것을 보았습니다. 너무 복잡한 비밀번호 정책. 워크플로우 속도를 저하시키는 컨트롤. 사용자가 보안 전문가처럼 생각해야만 업무를 완수할 수 있는 시스템.

테레사는 익숙한 시나리오로 이를 요약했습니다. 사람들이 보안 분야에서 일한다는 사실을 알게 되면 복잡한 제어에 대해 고마워하지 않습니다. 그들은 자신들이 싫어하는 모든 것을 말해줍니다.

이러한 단절은 사용성 문제 그 이상입니다. 보안 문제입니다.

사용자가 컨트롤을 우회하여 작업하는 경우 해당 컨트롤은 아무것도 보호하지 못합니다.

제로 트러스트는 제한에서 활성화로 초점을 전환하여 이를 변화시킵니다. 안전한 경로를 가장 쉬운 경로로 만드는 것입니다.

사람을 위한 설계로 제로 트러스트 작동 방식 변화

그렇다면 사람을 중심으로 보안을 설계한다는 것은 실제로 무엇을 의미할까요? 테레사의 조언은 놀라울 정도로 간단했습니다.

"콜센터에 앉아서, 고객 현장에 앉아서 귀를 기울이세요."라고 그녀는 말합니다. "무엇이 효과가 없는지 많은 것을 배울 수 있습니다."

사이버 보안에서는 이러한 인사이트를 간과하는 경우가 많습니다.

우리는 위협을 모델링하고 제어를 구축하는 데 많은 시간을 투자하지만, 이러한 제어가 실제 워크플로와 어떻게 상호 작용하는지 이해하는 데는 충분하지 않습니다.

관찰을 시작하면 패턴이 나타납니다:

• 사용자가 마찰을 경험하는 곳
• 프로세스가 중단되는 경우
• 사람들이 해결 방법을 만드는 곳

이러한 신호는 더 나은 디자인을 위한 토대가 됩니다. 바로 이 지점에서 제로 트러스트가 실용화됩니다.

광범위하고 정적인 제어를 적용하는 대신 시스템과 사용자가 실제로 상호 작용하는 방식에 따라 정책을 적용할 수 있습니다. 최소 권한을 정확하게 적용하고 사람들의 속도 저하 없이 노출을 줄일 수 있습니다.

여기서 세분화는 중요한 역할을 합니다.

시스템 간의 통신 패턴을 이해하면 불필요한 연결을 제한할 수 있습니다. 무언가가 손상되면 자유롭게 움직일 수 없습니다. 폭발 반경이 포함되어 있습니다.

이것이 바로 제로 트러스트가 실질적인 결과를 제공하는 방법입니다. 모든 것을 차단하는 것이 아니라 중요한 것을 제어하는 것입니다.

인공지능은 인간의 문제를 무시할 수 없게 만듭니다.

이전에는 업계가 이 격차를 무시할 수 있었다면, 이제는 더 이상 무시할 수 없습니다. AI가 이 문제를 강제하고 있습니다.

테레사는 AI를 "가장 권한이 많은 액세스 권한이자 가장 우려스러운 내부자 위협"이라고 설명했습니다.

AI 시스템은 데이터, 워크플로, 의사 결정에 대규모로 액세스할 수 있습니다. 인간보다 빠르게 작동합니다. 그리고 많은 경우 제한된 감독 하에 배포됩니다.

이는 오용뿐만 아니라 가시성 및 제어라는 새로운 종류의 위험을 야기합니다.

테레사는 모든 조직이 질문해야 할 핵심 질문을 제기했습니다:

• AI가 수행하는 작업에 대한 불변의 로그가 있나요?
• 어떻게 결정에 도달했는지 확인할 수 있나요?
• 고객의 목소리를 포함하는 거버넌스를 갖추고 있나요?

제로 트러스트 관련 질문입니다.

지속적인 확인, 접근 제한, 행동 모니터링이라는 동일한 원칙으로 돌아옵니다.

또한 가시성의 필요성을 강화합니다.

AI가 환경과 상호 작용하는 방식을 이해하지 못하면 신뢰 경계를 적용하거나 이상 징후를 감지하거나 위험을 억제할 수 없습니다.

다음 개척지: 데이터와 양자 리스크

테레사는 AI를 넘어 양자 컴퓨팅이라는 또 다른 도전이 다가올 것으로 보고 있습니다.

그녀는 많은 조직이 여전히 데이터의 수명 주기를 완전히 해결하지 못하고 있다고 강조했습니다.

모든 데이터가 동일한 값을 갖는 것은 아닙니다. 어떤 것은 금방 무의미해지는 반면, 어떤 것은 수년 동안 민감하게 유지되거나 무한히 가치가 있는 것도 있습니다.

양자 이후의 세상에서는 이러한 구분이 중요합니다. 오늘 데이터를 도난당하고 나중에 암호가 해독되더라도 그 영향은 여전히 현실적입니다.

조직은 "데이터의 진정한 유효 기간과 시간 경과에 따른 데이터의 가치"를 명확하게 이해해야 합니다.

이를 위해서는 데이터 분류, 액세스 제어 및 아키텍처에 대한 심층적인 접근 방식이 필요합니다.

또한 제로 트러스트의 중요성을 강조합니다.

액세스를 제한하고, 사용량을 모니터링하고, 통신 경로를 제어하면 대규모 노출 가능성을 줄일 수 있습니다. 데이터가 손상되더라도 그 영향은 최소화됩니다.

이에 대응하여 보안 리더가 해야 할 일

좋은 소식은 처음부터 다시 시작할 필요가 없다는 것입니다. 초점을 전환하기만 하면 됩니다.  

테레사가 추천하는 방법은 다음과 같습니다:

• 규정 준수를 목표가 아닌 기준으로 삼으세요. 구조를 제공하긴 하지만 최신 위협에 대한 복원력을 보장하지는 않습니다. ‍
• 사용자의 실제 업무 방식을 이해하는 데 투자하세요. 시간을 내어 관찰하고, 경청하고, 마찰을 파악하세요. ‍
• 가시성을 우선시하세요. 시스템이 어떻게 통신하고 데이터가 어떻게 흐르는지 확인해야 합니다. ‍
• 지능적으로 시행하세요. 세분화를 사용하여 가장 중요한 곳에 최소 권한을 적용하세요. 이렇게 하면 측면 이동을 제한하고 위반을 조기에 차단할 수 있습니다.

새로운 아이디어는 아니지만 함께 적용해야 합니다. 제로 트러스트가 현실이 되는 곳입니다.

더 많은 조치를 취한다고 해서 사이버 보안이 해결되지 않는 이유

사이버 보안은 전환점에 서 있습니다. AI가 공격을 가속화하고 있습니다. 퀀텀은 리스크를 재구성하고 있습니다. 그리고 지출과 성과 간의 격차는 계속 벌어지고 있습니다.

더 많은 일을 한다고 해서 그 격차를 좁힐 수는 없습니다.

테레사는 중요한 지적을 했습니다. 진보는 기계의 속도로 이루어지지 않습니다. 신뢰와 공유 학습의 속도로 이루어질 것입니다.

즉, 조직은 배포하는 것뿐만 아니라 보안을 설계하는 방법을 다시 생각해야 합니다.

제로 트러스트는 앞으로 나아갈 수 있는 길을 제시하지만, 올바른 사고방식으로 구현할 때만 가능합니다. 이러한 사고방식은 사람들이 실제로 어떻게 사용할지 우선순위를 정하는 것에서 시작됩니다.

사용자에게 보안이 작동하지 않는다면 보안은 전혀 작동하지 않는 것입니다. 지금 이 문제를 해결하지 않으면 우리가 소비하는 것과 보호하는 것 사이의 격차는 계속 커질 수밖에 없습니다.

더 세그먼트의 전체 에피소드를 들어보세요 : 제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 당사 웹사이트.