크리에이터 존 킨더백과 CISO 재러드 누스바움과 함께하는 제로 트러스트 실천

제로 트러스트의 이면에 있는 사람들이 매일 누군가와 얼굴을 맞대고 앉아 있으면 어떤 일이 벌어질까요?

이것이 바로 Illumio가 RSAC 2025 스테이지에 가져온 것입니다. 제로 트러스트의 창시자이자 일루미오의 수석 에반젤리스트인 존 킨더백과 아레스 매니지먼트의 CISO이자 내부에서부터 제로 트러스트 여정을 살아온 노련한 실무자인 재러드 누스바움 (Jared Nussbaum) 간의 희귀한 대화입니다.

John은 15년 전에 이 모델을 소개했습니다.Jared는 수십 년 동안 글로벌 기업이 이를 도입하고 적용하고 실제 보안 침해로부터 복구할 수 있도록 지원해 왔습니다.이들은 함께 제로 트러스트가 어디서 시작되었고, 어떻게 진화했는지, 그리고 오늘날의 위협 환경에서 제로 트러스트가 제대로 작동하려면 무엇이 필요한지 알아보았습니다.

다음은 모든 보안 리더가 염두에 두어야 할 대화에서 얻은 6가지 주요 인사이트입니다.

1.제로 트러스트는 상품이 아니라 전략입니다

많은 공급업체가 패키징을 시도하지만 제로 트러스트 도구로서 이것은 정확하지 않습니다.디지털 환경 보안에 대한 우리의 사고 방식이 전략적으로 바뀌었죠.

대화를 통해 John은 다음과 같이 분명하게 말했습니다. “제로 트러스트는 무엇보다도 전략입니다.직접 구매하는 것이지 직접 구매하는 것이 아닙니다.”

CISO의 관점에서 말하자면 Jared도 이에 동의했습니다.“가시성을 확보하고 위험을 줄이는 데 도움이 되는 것이라면 무엇이든 이길 수 있습니다.” 라고 그는 말했습니다.

하지만 그는 제로 트러스트는 비즈니스 성과에 맞는 사고방식과 전략으로 시작해야 한다고 덧붙였습니다.도구나 프레임워크에 뛰어들기 전에 보안 팀은 보호 대상 및 프레임워크를 이해해야 합니다. 왜.이를 통해 보안 지출의 우선 순위를 적절하게 지정하고 이사회의 강력한 동의를 얻을 수 있습니다.

“제로 트러스트는 무엇보다도 전략입니다.직접 구매하는 것이지 구매하는 것이 아닙니다.”

— 존 킨더백, 제로 트러스트 창시자

2.마이크로세그멘테이션은 기본입니다.

존을 위해, 분할 제로 트러스트의 토대입니다.사실 제로 트러스트에 대해 작성된 두 번째 보고서는 존이 15년 전에 작성한 보고서입니다. 네트워크 DNA에 보안 구축: 제로 트러스트 네트워크 아키텍처.

보고서에서 그는 제로 트러스트의 핵심 구성 요소로서 세분화와 중앙 집중식 관리의 중요성을 강조했습니다.그는 모든 네트워크를 세분화해야 하기 때문에 네트워크를 세분화하는 새로운 방법을 찾아야 한다고 주장했습니다.

John은 대화에서 공격자가 액세스 권한을 획득한 후 측면으로 이동하는 것을 방지하려면 오늘날의 네트워크를 기본적으로 세분화해야 한다고 강조했습니다.그는 “공격자들이 네트워크를 소유하고 있고, 사용자는 비용을 지불한다”고 말했다.“세그멘테이션은 제로 트러스트의 기반입니다.”

Jared는 다음과 같은 예를 통해 세분화되지 않은 네트워크의 영향을 설명했습니다. 2013년 타겟 침해.공격자들은 적절한 경계가 마련되어 있지 않아 타사 HVAC 공급업체를 통해 POS 시스템으로 이동했습니다.

“강력한 보안 경계를 바탕으로 세분화를 수행하면 가시성과 제어가 가능합니다.” 라고 그는 말했습니다.“모든 공격자가 침입하는 것을 막을 수는 없지만 멀리 침입하는 것은 막을 수 있습니다.”

3.제로 트러스트로 작게 시작하세요

John이 저지르는 가장 큰 실수 중 하나는 팀이 조직 전체에 제로 트러스트를 한꺼번에 도입하려는 것입니다.

“사람들이 제로 트러스트에서 실패하는 이유는 모든 것을 한 번에 하려고 하기 때문입니다.” 라고 그는 설명했습니다.“한 번에 보호 표면 하나씩은 작게 시작해야 합니다.”

그의 유명한 5단계 제로 트러스트 방법론 맞춤화되고 관리 가능하며 지속 가능한 건물 환경을 강조합니다.

• 보호 표면을 정의합니다. 공격 표면이 끊임없이 진화하고 있다는 점을 이해하여 보호가 필요한 대상을 식별하십시오. ‍
• 거래 흐름을 매핑합니다. 통신 및 트래픽 흐름에 대한 가시성을 확보하여 보안 통제가 필요한 부분을 결정합니다. ‍
• 제로 트러스트 환경을 설계하십시오. 완전한 가시성이 확보되면 각 보호 표면에 맞게 조정된 제어를 구현하십시오.
• ‍제로 트러스트 보안 정책을 만드세요. 보호 표면 내의 리소스에 대한 트래픽 액세스를 허용하는 세분화된 규칙을 개발합니다. ‍
• 네트워크 모니터링 및 유지 관리 원격 측정을 통해 피드백 루프를 구축하여 보안을 지속적으로 개선하고 복원력 있고 취약하지 않은 시스템을 구축합니다.

Nussbaum은 실제로 똑같은 일이 벌어지는 것을 보았습니다.그는 “기업은 한 번에 너무 많은 것을 인수하면 제로 트러스트에 어려움을 겪는다”고 말했다.“작게 시작하여 비즈니스 이해관계자와 연계하고 점진적으로 구축하면 제로 트러스트를 달성할 수 있습니다.”

그는 환경을 이해하고, 명확한 목표를 정의하고, 모멘텀을 구축하기 위해 조기에 가치를 제공하는 것이 중요하다고 강조했습니다.그렇지 않으면 제로 트러스트 프로젝트가 순식간에 무너져 조직의 보안 태세를 무너뜨릴 수 있다고 그는 경고합니다.

4.정체성만으로는 충분하지 않습니다

제로 트러스트 대화에서는 아이덴티티가 중심이 되는 경우가 많지만, John은 처음부터 이 개념에 도전해 왔습니다.그는 “정체성은 하나의 신호일 뿐”이라고 말했다.“언제나 대체 가능하죠.올바른 결정을 내리려면 더 많은 컨텍스트가 필요합니다.”

즉, 정체성에만 의존하는 것은 위험을 초래합니다.이는 세션이 하이재킹되거나 ID가 오용될 가능성이 여전히 존재하기 때문입니다.

Jared는 사용자 자격 증명 외에도 더 많은 것을 살펴볼 필요가 있다고 강조했습니다.“꼭 해야 합니다. 지속적인 검증 사용자, 기기, 작업 장소, 액세스 대상, 의미 여부 등을 알 수 있습니다.” 라고 그는 말했습니다.

그는 단지 사람에 관한 것도 아니라고 지적했습니다.워크로드와 워크로드 간의 통신 또한 검증되고 통제되어야 합니다.“완전한 컨텍스트가 없으면 효과적인 정책을 적용할 수 없습니다.”

다음과 같은 AI 옵저버빌리티 도구 일루미오 인사이트 현대 보안이 요구하는 일종의 심층적인 컨텍스트를 제공합니다.이를 통해 환경에 대한 컨텍스트를 확보하여 행동을 이해하고, 이상 징후를 찾아내고, 예상 운영 방식과 실제 상황을 기준으로 위험을 평가할 수 있습니다.

5.비즈니스 관점에서 사이버 위험을 규정하십시오.

John은 제로 트러스트를 “사이버 보안의 위대한 전략”이라고 설명했습니다.그는 정부와 기업 모두에서 채택이 증가하고 있다고 지적했습니다.

특히 그는 이 전략이 이후 의회 지도자들에게도 어떻게 반향을 일으켰는지 공유했습니다. OPM 데이터 침해.이 때 공격자의 움직임을 제한하고 국가 안보를 보호할 수 있는 모델로 제로 트러스트가 확인되었습니다.

그러나 Jared가 지적했듯이 제로 트러스트, 즉 더 광범위하게 사이버 보안에 대해 이야기하는 것은 비즈니스 위험의 관점에서 프레임화할 때만 중요합니다.

“사이버 위험은 비즈니스 위험에 기여하지만 동일하지는 않습니다.” 라고 그는 말했습니다.“이사회는 드웰 타임이나 랜섬웨어 페이로드에 신경 쓰지 않습니다.그들은 다운타임, 수익 손실, 고객에 미치는 영향, 규제 결과에 신경을 씁니다.”

Jared의 경우 보안 문제를 다음과 같이 번역합니다. 비즈니스 성과 참여를 유도하고 조직 전반에서 보안을 성공적으로 수행하는 원동력입니다.

“이사회는 드웰 타임이나 랜섬웨어 페이로드에 신경 쓰지 않습니다.그들은 다운타임, 수익 손실, 고객에 미치는 영향, 규제 결과에 신경을 씁니다.”
‍
— 자레드 누스바움, 아레스 매니지먼트 CISO

6.환경에 맞게 제로 트러스트를 조정하세요.

John이 강연에서 강조한 가장 강력한 요점 중 하나는 모든 제로 트러스트 환경을 조직에 맞게 구축해야 한다는 것이었습니다.

“모든 환경은 맞춤형입니다.” 라고 그는 말했습니다.“레퍼런스 아키텍처를 그냥 꺼내 놓고 제대로 작동하리라고 기대할 수는 없습니다.보호 표면과 비즈니스 요구 사항을 기반으로 설계해야 합니다.”

Jared는 이에 동의하고 부서 간 협업의 중요성을 강조했습니다.

“사일로에서는 제로 트러스트를 할 수 없습니다.” 라고 그는 설명했습니다.“인프라 팀, 앱 개발자, 사업부, 심지어 최고 경영진까지 참여시켜야 합니다.이들의 우선 순위와 일정을 따르지 않으면 프로그램은 성공할 수 없습니다.”

그는 지속적인 커뮤니케이션의 가치를 강조하면서 보안 리더들에게 “계획을 조기에 자주 논의하고 비즈니스 피드백을 기반으로 계획을 조정할 것”을 촉구했습니다.

전략에 제로 트러스트를 포함시키세요

존 킨더백과 재러드 누스바움은 RSAC 무대에 다양한 관점을 제시했습니다. 하나는 제로 트러스트의 창시자로서, 다른 한 명은 매일 그것을 적용하는 실무자로서의 관점이었습니다.하지만 둘 다 이에 동의했습니다. 제로 트러스트는 한 번의 프로젝트가 아니라 여정입니다.

존은 “숨을 다 쉬면 제로 트러스트도 끝장날 거야.” 라고 농담했습니다.“이것은 장기적인 전략입니다.”

Zero Trust는 보다 탄력적인 기반을 구축하고자 하는 보안 리더에게 검증된 진로를 제공합니다.전략으로 시작하여 비즈니스 조정에 따라 확장되며 가시성, 컨텍스트 및 제어를 통해 성공합니다.

자세히 알아보기 일루미오 고객 조직에서 제로 트러스트를 실천하고 있거나 오늘 저희에게 연락하세요 당사의 제로 트러스트 전문가와 상담해 보십시오.