제로 트러스트가 불확실성 속에서 연방 사이버 보안을 강력하게 유지하는 방법

최근 연방 기술 팟캐스트에 참여했을 때는 미국 역사상 최장 기간의 정부 셧다운이 진행 중이었을 때였습니다.

타이밍을 놓치지 않았습니다. 워싱턴 전역의 기관들은 인력이 부족하고 운영 속도가 느려졌으며 많은 중요한 업무가 일시 중단되었습니다.

하지만 연방 정부가 어떤 상태에 있든 멈추지 않는 한 가지가 있으니 바로 사이버 위협입니다.

적들은 셧다운 기간에는 쉬지 않습니다. 그들도 우리와 같은 헤드라인을 읽습니다. 그들은 대행사가 산만하고 인력이 부족하며 자금이 부족한 시기를 잘 알고 있습니다. 그리고 그들은 그것을 악용할 준비가 되어 있습니다.

저는 35년 이상 정부 및 연방 사이버 보안 분야에 종사하면서 이러한 패턴이 계속해서 반복되는 것을 보았습니다. 연방정부 인력이 불확실성에 직면할 때마다 사이버 공격자들은 이를 악용합니다.  

문제는 이 기간 동안 공격이 발생할지 여부가 아니라 기관이 공격을 방어할 준비가 되어 있는지 여부입니다.

최근 연방 기술 팟캐스트 에피소드 ' 제로 트러스트 자동화를 통해 연방 기관이 적은 자원으로 더 많은 일을 하는 방법'에서 존 길로이와 나눈 대화에서 저는 리소스가 제한적이고 불확실성이 불가피한 상황에서 제로 트러스트가 복원력을 유지하는 데 핵심인 이유를 설명했습니다.

불확실성이 커지면 제로 트러스트가 강화됩니다.

방금 경험한 것과 같은 연방정부 셧다운은 사이버 보안에 대한 스트레스 테스트입니다. 갑자기 사무실에 있는 사람이 줄어들고, 화면을 보는 시선은 줄어들고, 여전히 일하는 사람들에게는 더 많은 업무가 쌓이게 됩니다.

이러한 불안정성은 위험의 완벽한 레시피입니다.

제로 트러스트는 사람이 항상 할 수 없는 일, 즉 검증을 자동화하고 실시간으로 정책을 시행함으로써 이러한 위험을 줄이는 데 도움이 됩니다.

제로 트러스트 아키텍처는 모든 보안 결정을 키보드 뒤에 앉아있는 사람의 결정에 의존하는 대신 누가 언제, 무엇에, 어떻게 액세스하는지를 지속적으로 확인합니다. 예외, 지름길, 수동 해결 방법 없이 설정한 규칙을 자동으로 적용합니다.

24시간 연중무휴로 근무하는 경비원처럼 지치거나 산만해지거나 결근하는 일이 없는 디지털 경비원입니다.

이러한 자동화를 통해 인간 팀은 자신들만이 해결할 수 있는 고부가가치 문제에 집중할 수 있는 공간을 확보할 수 있습니다. 리소스 및 인력 문제가 불가피한 상황에서 이는 연방 기관이 할 수 있는 가장 현명한 투자 중 하나입니다.

기관의 보안 프로세스에 복원력 구축하기

제로 트러스트가 중요한 또 다른 이유는 예상치 못한 상황이 발생했을 때입니다. 실패가 발생한다고 가정합니다.

방어자는 항상 옳아야 하지만 공격자는 단 한 번만 옳으면 된다고 말씀드린 적이 있습니다. 완벽한 계획을 세울 수는 없지만 탄력적인 계획을 세울 수는 있습니다.

강력한 제로 트러스트 전략은 단순히 침해를 방지하는 데 그치지 않습니다. 공격자가 침입할 경우뿐만 아니라 침입하더라도 피해를 빠르게 막을 수 있도록 아키텍처에 직접 침해 차단 기능을 구축합니다.

세분화가 필요한 이유도 바로 여기에 있습니다. 일루미오에서는 세분화를 사용하여 "방어의 고리"라고 부르는 것을 만듭니다. 네트워크 주변에 하나의 큰 벽에 의존하는 대신, 그 안에 여러 개의 작은 벽을 만듭니다.

공격자가 하나의 링을 뚫으면 시스템 전반을 자유롭게 이동할 수 없습니다. 각 애플리케이션, 워크로드 또는 서버에는 고유한 보호 경계가 있습니다. 경계를 많이 설정할수록 공격자는 이동하기 어렵고, 방어자는 공격자를 쉽게 발견할 수 있습니다.

간단히 말해, 제로 트러스트는 사람의 반응 시간에 의존하지 않고 환경을 탄력적으로 설계할 수 있습니다.

정책에서 증명까지: 제로 트러스트가 규정 준수를 강화하는 방법

연방 감사를 받아본 적이 있다면 감사관들이 데이터를 좋아한다는 것을 알고 있을 것입니다. 그들은 여러분이 말하는 일이 실제로 일어나고 있다는 증거를 원합니다.

이것이 제로 트러스트의 또 다른 장점입니다.

많은 기관이 훌륭한 보안 정책을 가지고 있지만 실제로 적용하지 않는 경우가 많습니다. 컨트롤은 종이에는 존재하지만 '키보드와 마우스' 수준은 아닙니다. 제로 트러스트 환경은 이러한 격차를 해소합니다.

지속적인 확인, 자동화된 액세스 제어 및 마이크로세그멘테이션을 구현하면 문서화뿐만 아니라 정책이 시행되고 있다는 실시간 증거를 생성할 수 있습니다.

이러한 가시성은 단순히 보안을 강화하는 데 그치지 않습니다. 감사를 더 빠르게 진행하고 규정 준수 보고를 더 쉽게 할 수 있으며, 경영진은 정책이 단순한 셸프웨어가 아니라는 확신을 가질 수 있습니다.

완벽한 가시성으로 복잡성 길들이기

연방 IT 환경은 세계에서 가장 복잡한 환경 중 하나입니다.  

수십 년 된 레거시 시스템을 클라우드 네이티브 앱, 엔드포인트 디바이스, 그리고 이제 AI 모델과 함께 사용하고 있습니다. 공격 표면은 날이 갈수록 커지고 있습니다.

복잡성은 보안의 적입니다. 그리고 이러한 복잡성을 세밀하게 파악하지 못하면 보이지 않는 것을 보호할 수 없습니다.

그렇기 때문에 완벽한 가시성은 제로 트러스트를 향한 중요한 첫걸음입니다. 가정이 아닌 실제 네트워크 데이터를 기반으로 온프레미스, 하이브리드 및 멀티 클라우드 환경에서 애플리케이션과 시스템이 어떻게 상호 작용하는지 확인해야 합니다.

이러한 연결을 확인할 수 있으면 필요한 것만 허용하고 나머지는 모두 차단하며 시스템이 발전함에 따라 동적으로 조정하는 등 합리적인 정책을 시행할 수 있습니다.

이것이 바로 제로 트러스트가 실제로 작동하는 방식입니다.

AI가 위험이자 기회인 이유

오늘날 연방 사이버 보안에 대한 논의에서 AI를 빼놓을 수 없습니다.  

AI는 양날의 검과 같은 도전을 가져옵니다:

• 한편으로 AI는 연방 방어자들이 위협을 더 빨리 발견하는 데 도움을 줄 수 있습니다. Illumio에서는 AI를 사용하여 트래픽 패턴을 분석하고, 위험한 연결을 식별하며, 승인이나 감독 없이 실행되는 대규모 언어 모델(LLM)과 같은 '섀도' AI 활동을 발견하고 있습니다. ‍
• 반면에 AI 자체는 보호되어야 합니다. 제대로 관리하지 않으면 민감한 데이터가 노출될 수 있는 또 하나의 중요한 애플리케이션입니다.

그렇기 때문에 저는 에이전시에게 AI 모델에 링펜스를 설치하라고 조언합니다. AI 기반 세분화를 적용하면 AI 시스템이 액세스할 수 있는 데이터를 제한하고, 승인된 데이터 세트만 분석하도록 하며, 의도하지 않은 데이터 유출을 방지할 수 있습니다.

섀도 IT는 항상 문제가 되어 왔습니다. 이제 섀도 LLM도 마찬가지로 위험합니다. 제로 트러스트와 세분화를 통해 두 가지를 모두 제어할 수 있습니다.

CISA 제로 트러스트 성숙도 모델을 올바르게 사용하고 있는지 확인하세요.

많은 기관이 CISA 제로 트러스트 성숙도 모델을 사용하여 진행 상황을 측정합니다. 유용한 프레임워크이지만 오해하기 쉽습니다.

너무 많은 조직이 체크리스트처럼 접근하는 것을 보았습니다: "ID를 끝내고 디바이스로 이동한 다음 네트워크로 이동하자."라는 식입니다.  

제로 트러스트는 그런 식으로 작동하지 않습니다.

첫 번째 기둥에 표시를 하고 두 번째 기둥에 표시를 하는 식으로 순차적으로 체크리스트를 작성한다고 생각하면 안 됩니다. 모든 기둥에 걸쳐 동시에 작업해야 합니다.

학교 성적표를 떠올려 보세요. 최종 성적은 한 수업에서 100점(% )을 받고 다른 수업에서 0점을 받는 것이 아닙니다. 모든 것의 평균이었습니다. 제로 트러스트 여정은 동일합니다.

한 영역의 완벽함보다는 모든 영역의 균형과 발전에 집중하세요. 이를 이해하는 기관이 규정 준수뿐만 아니라 진정한 회복탄력성을 구축할 수 있습니다.

적은 자원으로 더 많은 일을 해야 하는 연방 정부의 긴급성

수십 년간 연방 사이버 보안 분야에서 일하면서 배운 한 가지가 있다면 불확실성은 사라지지 않는다는 것입니다. 예산이 긴축되고, 직원이 변동되며, 위협이 진화할 것이라는 점을 확신할 수 있습니다.

하지만 제로 트러스트는 비용을 절감하는 것이 아니라 네트워크 아키텍처를 더 스마트하게 만들어 적은 비용으로 더 많은 일을 할 수 있도록 도와줍니다. 제로 트러스트가 이를 보장합니다:

• 수동 프로세스를 자동화하여 직원들이 더 중요한 업무에 집중할 수 있도록 하세요.
• 단 한 번의 침해가 위기로 이어지지 않도록 보안을 구축하세요.
• 감사자에게 방어가 효과가 있음을 증명할 수 있도록 가시성 제공
• 주변 환경이 불안정할 때에도 보안과 연속성 유지

연방 기관은 완벽한 조건을 기다릴 여유가 없습니다. 적들은 다음 예산 주기나 채용 라운드를 기다리지 않습니다.

제로 트러스트는 워싱턴에서 어떤 일이 발생하더라도 중요한 데이터를 계속 보호할 수 있는 제어, 자신감, 복원력을 제공합니다.

제로 트러스트를 전략에서 실행으로 전환할 준비가 되셨나요? 일루미오 세분화 무료 체험 를 통해 하나의 플랫폼에서 위반을 억제하고, 시행을 자동화하고, 규정 준수를 증명하는 것이 얼마나 간단한지 확인해 보세요.