제로 트러스트 전략 도입 시 보안 기본 사항을 가장 간과하는 이유

보안의 기본은 대부분의 새해 피트니스 목표가 실패하는 것과 같은 이유로 실패합니다.

누구나 어떻게 해야 하는지 알고 있습니다. 더 잘 먹고, 더 많이 자고, 꾸준히 운동해야 합니다. 논란의 여지가 있거나 새로운 내용은 없습니다.  

하지만 2월이나 3월이 되면 대부분의 체육관 멤버십은 사용하지 않는 경우가 많습니다.

사이버 보안도 같은 방식으로 작동합니다.

공격자들은 끝없이 창의력을 발휘하기 때문에 보안 침해가 끊이지 않습니다. 조직이 기본 사항을 일관성 있게 대규모로 수행하는 데 어려움을 겪기 때문에 보안 침해가 발생합니다. 그리고 제로 트러스트는 다른 어떤 보안 모델보다도 제로 트러스트가 얼마나 어려운지 잘 보여줍니다.

이러한 현실은 최근 더 세그먼트 팟캐스트에서 로스 할렐리욱과 나눈 대화의 중심에 있었습니다. Ross는 스텔스 모드 사이버 보안 스타트업의 공동 창립자이자 CEO이며, Inside the Network 팟캐스트의 진행자이자 ' 빌더를 위한 사이버'의 저자, 업계에서 가장 일관되게 명쾌한 시각을 제시하는 벤처 및 보안 뉴스레터의 대표이기도 합니다.

이 게시물에서는 제로 트러스트 보안의 성공과 실패가 근본적인 이유와 그 격차가 침해의 실제 영향을 결정하는 이유를 설명합니다.

'차세대' 보안의 신화

매년 업계에서는 보안 혁신을 설명하기 위해 새로운 언어를 발명합니다.

하지만 Ross의 말처럼 대부분의 침해 사고는 새로운 공격 체인이나 기발한 제로데이 익스플로잇의 결과물이 아닙니다.

대신 그 결과입니다:

• 변경되지 않은 기본 자격 증명
• 아무도 존재를 기억하지 못하는 자산
• 편의상 추가되었다가 시간이 지나면 잊혀지는 예외 사항 ↪f_200D↩
• 공격자가 침입하면 측면 이동을 허용하는평평한 네트워크

이러한 장애는 최첨단 장애가 아니라 단순한 운영상의 장애입니다.

제로 트러스트 전략이 이러한 문제를 마법처럼 없애주지는 않습니다. 오히려 더 잘 보이게 합니다.  

제로 트러스트는 조직이 수년간 피했던 질문에 직면하게 합니다: 우리는 실제로 무엇을 가지고 있는가? 누가 누구와 대화할 수 있어야 하나요? 문제가 발생하면 어떻게 되나요?

제로 트러스트가 부담스럽게 느껴질 수 있는 이유가 바로 여기에 있습니다.

규모에 따라 보안의 기본이 무너지는 이유

기본을 잘 지키기 위해서는 헌신, 일관성, 시간, 이 세 가지가 필요합니다.

안타깝게도 현대 기업 내부에서 자연스럽게 확장되는 것은 없습니다.

1년에 한 번 자산을 인벤토리하고 이를 제로 트러스트라고 부를 수는 없습니다. 몇 분기에 한 번씩 ID 권한을 검토하는 것으로는 격리 효과를 기대할 수 없습니다. 세분화 정책을 한 번 적용하면 환경이 바뀌어도 계속 유효하다고 가정할 수 없습니다.

기본은 반복이 필요하고 반복은 비용이 많이 듭니다.

매일 팀 운영 방식을 바꾸는 것보다 도구를 구입하는 것이 훨씬 쉽습니다. 또한 엔지니어링, IT, 운영, 보안에 걸쳐 규율을 동시에 적용하는 것보다 프로젝트를 승인하는 것이 훨씬 쉽습니다.

제로 트러스트는 조직이 이를 유지하는 데 필요한 운영 노력을 과소평가할 때 실패합니다.

제로 트러스트는 지식의 문제가 아니라 인센티브의 문제입니다.

보안팀은 위험을 줄이도록 인센티브를 받습니다. 엔지니어링 팀은 코드를 제공하도록 인센티브를 받습니다. IT 팀은 티켓을 신속하게 종료하도록 인센티브를 받습니다. 영업팀은 거래를 성사시키도록 인센티브를 받습니다.

제로 트러스트가 실제로 자주 무너지는 부분이 바로 이 부분입니다. 보안은 모두의 일이라는 말을 좋아합니다. 하지만 실제로는 보안팀만이 보안 성과로 측정되는 유일한 팀입니다.

인센티브를 조정하지 않고 다른 팀이 자연스럽게 제로 트러스트 제어의 우선순위를 정할 것으로 기대하는 것은 비현실적입니다.  

정책만으로는 이 문제를 해결할 수 없습니다. 실제로 시행보다 예외가 더 많이 발생하는 경우가 많습니다.

제로 트러스트는 보안 팀이 영향력을 통해 주도하는 방법을 배울 때 성공합니다. 관계를 구축하고, 비즈니스 측면에서 절충점을 설명하며, 통제를 차단하는 것이 아니라 가능하게 하는 것으로 프레임을 구성합니다.

침해가 불가피한 경우 성공 측정하기

이는 또한 비즈니스 내부의 보안 성과를 측정하는 방법에 대한 의문을 제기합니다. Ross에 따르면, 조직은 종종 이를 잘 처리하지 못하는 경우가 많습니다.  

그는 유니콘 문제 사고 실험을 언급했습니다. 유니콘이 방에 있으면 불이 들어오는 상자를 구입했지만 불이 들어오지 않습니다. 상자가 깨졌나요, 아니면 유니콘이 없나요? 알 수 없습니다.

보안 침해가 발생하지 않았다면 제어가 제대로 작동했기 때문인가요, 아니면 아무도 충분히 노력하지 않았기 때문인가요?

제로 트러스트는 이러한 측정 문제를 해결하지는 못하지만, 측정 문제를 재구성할 수 있습니다.

최신 사이버 보안의 목표는 침해를 무조건 막는 것이 아니라 침입의 영향을 줄이고, 침입을 억제하며, 비즈니스의 복원력을 유지하는 것입니다.

펀더멘털에 꾸준히 투자하는 조직도 여전히 보안 침해를 당할 수 있습니다. 하지만 그렇게 하면 측면 이동이 제한되고, 회복이 더 빠르며, 평판 손상이 적고, 규제에 대한 대화가 더 합리적으로 이루어집니다.

제로 트러스트의 비즈니스 결정에 대한 보안 ROI 입증

보안 ROI는 정량화하기 어려운 것으로 악명이 높지만, Ross는 제로 트러스트 사고에 잘 부합하는 실용적인 프레임을 제시했습니다:

• 고객 신뢰가 매출로 연결되면 보안은 매출 증대의 원동력이 됩니다.
• 다운타임으로 인해 운영이 위협받는다면 보안은 회복탄력성에 대한 투자가 됩니다.
• 규정 준수 규정에서 증거를 요구하면 보안은 테이블 스테이크가 됩니다.

제로 트러스트는 보안 침해가 불가피하게 발생했을 때 그 영향을 줄이는 것입니다. 즉, 보안 ROI는 피한 공격으로 측정하는 것이 아니라 비즈니스 연속성을 유지한 것으로 측정합니다.

제로 트러스트 기본 원칙이 그 어느 때보다 중요한 이유

인프라는 그 어느 때보다 서로 연결되어 있습니다. 하이브리드 환경은 기존의 경계를 허물고 있습니다. 클라우드, 온프레미스 및 타사 시스템은 하나의 확장된 공격 표면으로 작동합니다.

이 세상에서 복잡성은 위험을 가중시킵니다.

자산 가시성, 최소 권한 액세스, 세분화, 지속적인 검증 등 제로 트러스트의 기본은 모범 사례일 뿐만 아니라 생존을 위한 메커니즘입니다.

공격자는 조직이 저항이 가장 적은 경로를 제공하면 창의성이 필요하지 않습니다. 이미 존재하는 것을 활용하고 AI를 사용하여 거의 수고스럽지 않게 만들 수 있습니다.

기본에 집중한다는 것은 혁신을 거부하는 것이 아니라 현실에 기반을 둔 혁신에 집중한다는 뜻입니다.

피트니스와 마찬가지로 가장 어려운 부분은 무엇을 해야 할지 몰라서 내일 당장 실행에 옮기는 것이 아닙니다. 그리고 그 다음 날. 그리고 그 후 매일.

더 세그먼트의 전체 에피소드를 들어보세요:제로 트러스트 리더십 팟캐스트 Apple 팟캐스트, Spotify또는 당사 웹사이트.