제로 트러스트 실천 및 침해 추정 채택

0:00:04.1 라구 난다쿠마라: 제로 트러스트 리더십 팟캐스트인 세그먼트에 오신 것을 환영합니다.진행자입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라 (Raghu Nandakumara) 입니다.오늘은 제로 트러스트 박사로도 알려진 체이스 커닝햄 박사가 저와 함께 합니다. 그는 Ericom Software의 최고 전략 책임자이자 전직 포레스터 애널리스트였습니다.체이스는 Ericom의 최고 전략 책임자로서 기업 전략을 개발, 선도, 커뮤니케이션, 실행 및 유지하는 일을 담당하고 있습니다.그는 실행 전략이 회사의 전반적인 비전을 뒷받침할 수 있도록 돕는 서번트 리더, 전략적 사상가 및 실천가로 활동합니다.Ericom에서 근무하기 전에 Chase는 Forrester Research에서 부사장 겸 수석 분석가로 재직하면서 보안 운영 센터 계획, 위협 대응 작전, 암호화, 네트워크 보안, 제로 트러스트 개념 및 구현에 중점을 두었습니다.또한 체이스는 지난 수년간 Armour, Accenture 및 국가안보국 (NSA) 과 같은 조직에서 다양한 위협 연구 및 인텔리전스 역할을 맡아 왔습니다.오늘 Chase는 제로 트러스트 프레임워크의 진화, 제로 트러스트를 올바르게 구축하는 방법, 제로 트러스트 전략을 수립할 때 조직이 틀리는 점 등에 대해 이야기를 나누고자 합니다.누구나 좋은 오리진 스토리를 좋아하죠. 그럼 닥터 제로 트러스트 오리진 이야기를 들어보겠습니다.

0:01:09.1 체이스 커닝햄 (Chase Cunningham): 저는 사람들에게 이렇게 말합니다. 농담이 아니에요. 인생이나 사이버에서 성공을 거둘 수 있다는 건 정말 운이 좋았어요. 그냥 계속 운이 좋아지고 제 주변에 좋은 사람들이 있기 때문이죠.저는 디젤 정비사로 해군에 입대했습니다.저는 컴퓨터와 전혀 관련이 없었어요.제가 사이버에 입문하게 된 건 완전히 우연이었어요.

0:01:31.1 라구 난다쿠마라: 멋지네요.좋아요, 이게 제로 트러스트 팟캐스트처럼, 결국 제로 트러스트에 대해 이야기하게 되겠죠, 그렇죠.제로 트러스트에 대한 노출은 어땠나요? 포레스터에서 하게 된 일과 직접적인 관련이 있었나요? 아니면 그 전에도 제로 트러스트에 노출되었나요?

0:01:48.5 체이스 커닝햄 (Chase Cunningham): 저는 군대에서 사이버와 암호화폐에 관련된 모든 일을 하고 나서 정부를 위해 일을 하기 위해 실제로 가르치고 컴퓨터 네트워크 악용에 대한 커리큘럼을 작성했습니다. 이는 정부가 레드 팀 구성을 할 때 정말 비싼 것을 청구하는 방식이었습니다.그래서 저는 정부 기관에서 꽤 오랫동안 레드 팀 작업을 했고, 제가 알고 있던 존 킨더백과 이야기를 나누었을 때, 그가 아직 포레스터에 있을 때 그는 ZT에 대해 이야기하고 있었습니다. 그리고 그 당시에는 마케팅 속임수 101처럼 들리든, 멋지다, 어쩌고 저쩌고 그랬습니다.그리고 저는 포레스터에 왔는데 그들이 “이봐, 넌 존의 더러운 속옷을 집어 들고 ZT 같은 걸 할 거야”라고 말했을 때 정말 화가 났어요.하지만 제가 나쁜 사람인지 적색 팀원인지 이런 관점에서 바라보기 시작했을 때, 이런 개념들이 저를 그만두고 다른 목표를 찾게 만들까요?그러자 갑자기 전구가 켜지더니 저는, 좋아요, 존이 뭔가 하고 있는 것 같았어요.그래서 그냥 시작했어요.하지만 저는 제 상사인 조셉 블랑켄쉽을 비롯해 저처럼 포레스터에 있는 다른 사람들과 진지하게 논쟁을 벌였어요...다른 사람이 이미 해놓은 일을 내게 강요하지 말아주세요. 왜냐하면 저는 그 어떤 일에서든 두 번째 바이올린이 되고 싶지 않으니까요.하지만 그게 제 시간을 잘 활용했다는 게 밝혀졌어요.

0:03:01.9 라구 난다쿠마라: 네, 물론이죠.일종의 실무자로서 말씀드리고 싶은데요, 존 킨더백이 제로 트러스트에 대한 현대적 정의의 토대를 마련했다고 말하고 싶습니다.아마 다른 누구보다도 여러분들이 그 대세를 이루기 위해 가장 많은 노력을 기울였다고 말하고 싶습니다.이제 여러분이 키우신 이런 아기가 마침내 두 발로 걷기 시작했다는 것을 어떻게 느끼시나요?

0:03:30.3 체이스 커닝햄: 넘어지기 위해서요.

0:03:31.9 라구 난다쿠마라: 아직 눈덩이라고 말하지는 않겠지만 적어도 두 발로 걸어가세요.

0:03:35.5 체이스 커닝햄: 합리적인 전략에 가치가 있다는 것을 아는 사람들이 있다는 것은 좋은 일입니다.사람들이 그 유행어나 다른 것들과 그에 따른 증오에 대해 개소리하고 신음하는 걸 듣는 게 지겨워요.왜냐하면 제게 말그대로, 제가 지금 블로그를 만들고 있는 중이거든요. 보세요, 만약 우리가 파는 것을 사지 않고 이게 말이 안 된다고 생각한다면, 계속 멍청하게 행동하세요. 그러면 당신은 슬로우 가젤이 될 거예요.어서 가세요.지금 딱 말씀드리자면, 거대한 시장이 움직이고 이 모든 채택이 이루어진다면 저는...어제 아르헨티나에 계신 분들과 통화를 했는데요, 다음 달에는 콜롬비아에서 ZT에 대해 강연할 예정입니다.만약 온 세상이 이게 진짜라고 생각하고 있고 당신이 싫어하는 사람들이 있다면, 괜찮아, 증오자가 되어서 나한테 항문을 건네면 알려주고 ZT에 대해 얘기해

0:04:26.7 라구 난다쿠마라: 네, 저도 동의하죠, 그렇죠?그렇지 않으면 우리가 이러지 않을 거예요, 그렇죠?그럼 뭐가...그리고 주위를 둘러보면서 “그래, 전환점이 뭐였지?” 라고 말하는 것 처럼요.왜냐면 왜 제로 트러스트인지와 같은 실제 전제가 충분했기 때문이죠, 그렇죠?상식이죠, 그렇죠?하지만 사람들이 거의 그 정도의 상식 수준에 도달하기까지는 오래 걸렸어요.티핑 포인트는 무엇이라고 생각하시나요?

0:04:56.5 체이스 커닝햄 (Chase Cunningham): 저는 COVID가 정말 필요한 상황이었다고 생각합니다. 비즈니스를 계속 운영할 수 있는 방법을 정말 빨리 알아내려는 움직임이 있었기 때문입니다.그리고 어떻게 하면 문을 크게 열고 나갈 수 있을까요? 사람들이 충분히 많아서 기회, 위기, 기회를 잡았다고 찌푸려지지 않기를 바랍니다. 그렇죠?한발 물러서서 다른 것을 할 수 있다는 위기감, 좋아, 뭔가 다른 것을 할 수 있는 방법이 있습니다. 왜냐하면 우리는 탁구 (Pong) 에서 다른 모델이 작동하지 않는다는 증거가 있었고, 이제 리모트와 우리가 보고 있는 다른 모든 것들로 말이죠. 그리고 오늘 아침 제가 읽은 논문에서 하이브리드가 어떻게 받아들여졌는지에 대한 논문을 읽은 것 같아요. 머스크 밑에서 일하지 않는 이상 모두가 사무실에 있을 필요는 없을지도 몰라요그리고 나머지 사람들은, 알다시피, 인간처럼 살 수 있어요...그런 현실은 우리에게 그런 접근법을 요구하고 있습니다. ZT는 그것을 가능하게 하기 위해 진화한 기술을 통해 적절한 시기에 적절한 위치에 있을 수 있었습니다.

0:06:03.2 라구 난다쿠마라: 네, 물론이죠.그리고 왜냐면...그리고...그리고 제 생각에는 여러분도 그렇게 생각하시나요? 코로나바이러스나 하이브리드 업무로의 전환 같은 것만은 아니겠죠?하지만 그 위협 환경이 현재 어떤 모습인지 더 잘 깨달았다고 생각하시나요?그리고 ZT가 Assume Breach와 거의 동일하거나 그 반대의 경우도 마찬가지라고 말씀하신 것으로 알고 있습니다.침해가 ZT의 기본이라고 가정해 봅시다. 그러면 해답이 되겠죠.

0:6:34.4 체이스 커닝햄 (Chase Cunningham): 네, 재밌네요. 예전에는 사람들이 이미 타협을 했다는 것을 받아들이는 것이 너무 고착점이었으니까요.아뇨, 아니요, 그건 문제가 아니에요. 타협하지 않았어요. 그리고 타협할 수 있는 것도 아니에요. 수백만 달러를 투자하고 있어요.그러니까, 아, 그러니까, 좋아요, 이걸 적어볼게요. 왜냐하면 당신은 6개월 후에 저에게 핑을 보낼 테니까요. 이제, 알다시피, 그것은 사람이나 무언가를 두드리는 것이 아니라 단지 공간의 현실일 뿐인 것 같습니다.그러니 그것을 받아들이고 그 문제를 극복할 수 있도록 자원을 조정하세요.꼭 그럴 필요는 없습니다...다르게 생각하면 꼭 부정적일 필요는 없다고 말하고 싶어요.그리고, 알다시피, 지금 여기저기서 벌어지고 있는 또 다른 증오자들은, 음, 이건 새로운 게 아니에요.맞아요.새삼스러운 건 아니에요.이것은 많은 의미가 있는 무언가의 진화와 성숙입니다. 오랫동안 말이 돼왔죠.당신 말처럼 사람들은 그냥 무시했어요. 왜냐하면 사람들은, 잘 모르겠지만, 우리는 대체로 형편없으니까요.

0:7:33.9 라구 난다쿠마라: 내 생각엔 네가 실제로...켜져 있었어요...최근에 당신의 LinkedIn이나 Twitter에서 뭔가를 올린 것 같아요. 인간의 어리석음에 대한 패치 같은 건 없으니까요.제 말을 잘못 인용해서 죄송합니다만, 그냥 말씀드리자면, 저희 청취자들은 경험이 많은 보안 전문가일 거라는 걸 알고 있고 Assube Breach를 들어보셨을 겁니다. 제로 트러스트에 대해 들어보셨으면 좋겠죠?그냥 설명해 주세요, 그렇죠?왜...제로 트러스트가 침해 가정에 대한 자연스러운 해답인 이유는 무엇일까요?예를 들어, 보안 침해 가정이 문제라면 왜 제로 트러스트가 정답이어야 할까요?

0:8:10.8 체이스 커닝햄: 보시면, 무엇이 필요한지요.그럼 대본을 잠깐 뒤집어서 수비에 대해서는 걱정하지 않는다고 해봅시다.타협이 있다는 것을 받아들인다고 가정해 봅시다.좋아요, 끝났어요.자, 이제 정말 원하지 않는 일이 뭐죠?그들이 제 네트워크나 제 환경에 머물지 못하도록 하고 싶어요.애들이 이리저리 움직이지 못하게 해줬으면 좋겠어요.그래, 누가 우리 집에 침입하면 문제가 되잖아. 하지만 네가 이사를 와서 나랑 같이 사는 건 싫어.그러니까, 진솔하게 얘기해 봅시다.그게 우리가 하려고 하는 일이라는 걸 받아들인다면, 나쁜 놈이 그런 식으로 성공하려면 뭐가 필요할까요?그들은 시스템 내부의 신뢰 관계를 필요로 합니다.존은 늘 이렇게 말합니다. 인간의 감정에 대한 신뢰는 컴퓨터에 내장되어 있습니다.신뢰할 수 있는 관계를 제거하면 제로 트러스트가 되는 것이 아니라 신뢰 관계를 기반으로 관리 가능한 위험을 감수할 수 있다는 뜻입니다.그러면 악당들의 하루가 정말 힘들어지죠.마치...그게 바로 우리가 원하는 거예요.그곳이 바로 그곳입니다.난 아니야...넌 아니야...절대 침해는 일어나지 않을 거예요. 타협도 없을 거예요.그러지 않을거야...그리고 제 의견에 동의합니다. 사람들은 제로 트러스트 같은 건 없다고 할 거예요.맞아요.죽을지도 모르니까 체지방 제로 같은 건 없는 것 처럼요. 그래도 체지방 체중이 많이 떨어지려고 노력하잖아요.

0:9:24.2 라구 난다쿠마라: 네, 네, 100%.그리고 제 생각엔 당신이 딱 맞는 말을 한 것 같은데요, 공격자의 삶을 힘들게 만든다는 얘기죠, 그렇죠?그 접근법이 점점 나아지고 있는 것 같지만 그래도 보안 통제 시스템에 그런 관점에서는 접근하지 않는 경우가 너무 많은 것 같아요, 그렇죠?다시 말씀드리지만, 여러분의 생각처럼, 왜 그런지, 너무 자연스럽거든요, 그렇죠?애들을 힘들게 해줘요. 다른 곳으로 갈 거예요.

0:9:52.5 체이스 커닝햄 (Chase Cunningham): 회사에서 자신의 입장을 잘못된 방식으로 방어하려고 하는 사람들이에요.제 말은, 이제 CISO들이 테이블에 앉을 수 있는 훌륭한 일이고 정말 대단한 일이죠.하지만 제 말은, 현실적으로 그들은 보통 회사에서 자신의 지위를 정당화하려고 노력하고 사람들에게 자신들이 완벽하게 방어될 거라던지, 다른 어떤 것이든 할 수 있을 거라고 말한다는 거예요.진짜 대화 말고, 이봐요, 제가 하고 있는 일이 위험을 기하급수적으로 줄여줄 거예요. 그러면 관리가 더 쉬워지고 업타임을 유지할 수 있게 되는 거죠.아직 ZT의 기술 부분에 관한 고객과의 워크숍은 단 한 건도 진행해 본 적이 없습니다. 여러분이 직면한 리더십 문제에 대해서는 100% 다루었습니다.

0:10:32.9 라구 난다쿠마라: 네, 맞아요.그리고 전 좀...지난 주에 제가 읽었던 블로그 중에 제로 트러스트가 어떻게 운영되는지에 관한 글들이 있는데...아니면 제로 트러스트 전략을 채택하면 부서 간 협력을 이끌어낼 수 있겠죠?더 보기...단순히 보안 조직을 위한 보안 프로그램 그 이상이죠?그렇다면 제로 트러스트를 채택하고 있는 조직의 경우, 어떤 조직이 제로 트러스트를 실천하고 있는 것이 잘못이라고 할 수 있을까요?아니면 제로 트러스트를 실천하고 있는 사람은 누구나 크레딧을 받아야 한다고 말씀하시겠어요?

0:11:07.3 체이스 커닝햄:아니, 내 생각엔...잘못할 수 있는 방법이 있는 것 같아요.여러분이 어디서부터 시작해야 하는지 이해하지 못하고, 가장 중요한 일에 대해 실제적인 대화를 나누지 못하고, 오랫동안 이야기해 온 것처럼, 거기서 바깥쪽으로 나아가려 한다면, 숲에서 나무를 놓치고 있는 셈입니다.개인적으로, 제 방법론과 제가 관여하는 모든 사람들은, 우리가 가장 먼저 할 일은 아마 진짜 레드 팀이 아닐 수도 있다는 것입니다. 하지만 저는 여러분에게 시나리오를 던지고 거기에 앉아서 무슨 일이 일어나는지 지켜볼 것입니다.왜냐하면 그런 상황의 스트레스를 견뎌내고 실제로 불을 피우기 전까지는, 모든 것이 평화로웠기 때문이죠.무슨 말인지 알죠?만약...보안의 현실이 보안 침해 사고 이후에도 생존할 수 있게 하는 것이라면, 이런 상황은 실제로 일어날 일을 기반으로 대응해야 합니다.그리고 저는...많은 회사들이 “우리는 준비가 됐어요.” 라고 말해줬어요. 그리고 나서 사람들이 싸우고, 논쟁이 벌어지고, 사람들이 문 밖으로 뛰쳐나가는 것을 지켜보고, 이렇게, 여기서부터 시작하죠.할 수 있어요. 이 문제는 해결할 수 있어요.이건 경영진 리더십의 문제입니다.테크놀로지, 저건 그레이비 베이비예요.그건 나중에 설명할게요.

0:12:15.4 라구 난다쿠마라: 네, 네, 네. 100%.그렇다면 조직은 어떻게 이 일을 제대로 할 수 있을까요?그렇죠.글쎄, 뭐야...제로 트러스트를 실현하고, 제로 트러스트 전략을 채택하고, 성공하고, 측정할 수 있으려면 어떤 플레이북을 채택해야 할까요?그 내용을 좀 더 자세히 설명해 보죠.

0:12:31.3 체이스 커닝햄: 음, 첫 번째는...제가 말씀드린 것처럼, 불 앞에 발을 대고 보안팀의 관점뿐만 아니라 먹이 사슬의 위아래로 최대한 많이 관여할 수 있게 이해하세요.무슨 일이 생겼을 때 진짜 엉망이 되겠지. 그래야 적어도 다가올 불행을 경험한 셈이죠.그러니까 이건 조직적인 부분이죠.두 번째로 중요하다고 생각하는 것은 기업, 네트워크 등에 영향을 미치는 전체 자산을 제대로 이해하는 것입니다. 제가 모르는 것은 방어할 수 없으니까요.그런 다음 보이는 격차를 기반으로 제어 체계를 매핑하세요.만약...이런 관점에서 생각해보면...전장 꼭대기에 있는 장군 맞죠?그리고 저는 모든 것을 내다볼 수 있어요.그렇게 할 수 있다면 리소스를 벡터로 만들어 격차를 메울 수 있어요.지하에 있다가 위를 쳐다보고 돌아다니고 싶지 않아요, 이런, 이 전장의 적절한 장소에 올바른 것들을 배치하고 싶네요.

0:13:25.3 라구 난다쿠마라: 그리고 이런 여정을 시작하는 조직이라면 그렇죠?어디에...보통 어디서 풀리나요?

0:13:33.4 체이스 커닝햄: 보통은 너무 커지기도 하고 너무 빠르기도 하죠.사람들은 이것이 좋은 예라고 말할 것입니다.대형 은행과 함께 일했는데 그 은행에서 사용자들을 위해 ZT를 만들겠다고 하더군요.저는 정말, 멋지고, 대단했어요.긍정적이라고 생각해요.그랬더니 출시해서 5000부터 시작하겠다고 하더군요.그리고 저는 우와, 우와, 작지 않다고 생각했어요.그랬더니 그들이 말했죠. 아, 뭐, 우린 글로벌 은행이잖아요.규모가 작지 않은 것 같았어요.그러자 그들이 말했죠. 좋아요, 그럼 어떤 숫자부터 시작해야 할까요?그리고 제가 다섯 개라고 했죠.그랬더니 다섯 명이요?그건...그건 시간을 할애할 가치도 없어요.그래서 제가 말했죠. 만약 제가 당신 회사에서 다섯 명을 해킹하면 당신 가게가 망가질까요?좋아요, 공정해요.그래서 다섯 가지에 맞으면 10에 하고, 10에 맞으면 50에 하는 거죠.그리고 당신은...알다시피, 구르면, 마치 금속에 대고 칼날을 갈아서 날카롭게 만드는 거죠. 휘두르면서 들어와서 제대로 했다고 생각하기 보다는 말이죠.

0:14:23.2 라구 난다쿠마라: 하지만 다섯 명은 어떻게 고를까요?그렇죠?네, 이 프로파일에 맞는 다섯 가지를 고르라고 하셨나요? 아니면 작게 시작해볼까요?

0:14:33.5 체이스 커닝햄: 맞아요.저한테는 누가 될 거냐가 관건이에요...시스템에서 관리자 액세스 권한이 가장 많은 사람 다섯 명을 골라야 한다면, 제가 가장 먼저 집중하고 싶은 사람들이에요.그리고 그들이 돌아왔다가 떠난다면, 그 중 한 명이 CEO예요. 음, 거기 진짜 문제가 생겼어요.도대체 CEO가 왜 관리자로 사물에 접근할 수 있는 거지.

0:14:50.0 라구 난다쿠마라: 그러니까, 사람들이 여기 들어와서 '그래, 좋아, 내가 뭘 할 수 있을까? '하고 생각하는 사람들이 있을 거예요.닥터 제로 트러스트가 우리에게 쏟아 부어줄 그 작은 지혜의 진주는 뭐죠?그렇죠?맞아요, 제가 제로 트러스트 전략에 어려움을 겪고 있기 때문이죠.지금 이 순간에는 어떤 일이 벌어질까요? 지금까지 벌어지고 있는 일을 바탕으로 말이죠.어때요, 여기 제 지혜의 진주가 있어요.

0:15:13.5 체이스 커닝햄: 가장 중요한 것은 비즈니스의 다른 부분을 다루는 것처럼 사이버 보안을 대하는 것이라고 생각합니다.몇 번이나 CEO와 미팅을 했는데 CEO가 “이 회사에서는 다들 영업에 종사하고 있어요.” 와 같은 말을 하더군요.그리고 일어서서 “망해, 절대 안 돼.” 라고 말하는 사람이 있나요?여러분은 조직의 일원이고 영업이 비즈니스 성공에 매우 중요하기 때문에 참여도가 높습니다.어떻게 생각하세요?사이버 보안도 마찬가지입니다.그러니 자신이 그 일원이고 참여가 필요한 것처럼 사람들과 대화하세요.무엇보다도 기술적 통제가 아닌 솔루션에 투자하는 것도 그만두어야 한다고 생각합니다. 왜냐하면 이것은 기술 문제이고 사람들을 마치 장비처럼 대하는 것은 어리석은 일이고 수익을 얻지 못할 것이기 때문입니다.투자자들에게도 좋은 일이고 VC들에게도 좋은 일이지만 거기에 투자하세요.어떤 타협도 없이 스스로 훈련한 조직을 찾아주세요. 그러면 정말 순식간에 상점을 망칠 사람들을 데려오겠습니다.

0:16:18.3 라구 난다쿠마라 (Raghu Nandakumara): 벤더에 대해 이야기하기 시작하셨고, 벤더들은 확실히 제로 트러스트와 실무자들보다 훨씬 앞서 이미 제로 트러스트에 뛰어들었습니다.벤더들이 제로 트러스트 시장을 타락시키기 위해 무슨 짓을 한 걸까요?

0:16:43.1 체이스 커닝햄: 글쎄요, 몇 가지 문제인 것 같아요.첫째로, 분명히 그들은 많은 부분을 가지고 달렸죠. “우린 X를 했으니 ZT는 지금 어디에 있는 거지?잠깐만, ZT에는 그보다 더 많은 것이 있고, 버튼도 없고 그에 맞는 제품도 없습니다.” 그래서 그게 하나였죠.그리고 나서 시장에 내놓죠.그거보다 더 악랄한 사람들이 더 열심히 마케팅한 것 같아요.그들은 “이럴 거면 누가 우리를 불러낼 때까지 두 배, 세 번 내리겠지” 하고 말하더군요.그게 네 전략이잖아, 뭐가 됐든그리고 또 다른 한 가지는 플랫폼으로의 전환인데, 이 모든 것이 결실을 맺었습니다.네, 저는 이곳을 사이버 보안의 월마트라고 부릅니다. 어디선가 진열대에 있는 이 모든 쓰레기로 인해 신께 맹세컨데, 충분히 사면 결국에는 마법처럼 모든 것이 함께 작동하고 ZT 물건이 들어 있는 레고 하우스를 갖게 될 것입니다. 그러면 우리는 이 모든 것을 단숨에 팔게 될 것입니다.그리고 그건 효과가 없어요, 아니에요...포트폴리오가 있고, 이 분야에는 아주 극소수의 플랫폼이 있습니다. 제 생각에는 그게 가장 엉망이었다고 생각해요.

0:17:39.4 라구 난다쿠마라: 벤더에게 보내는 메시지와 제로 트러스트는 벤더가 참여해야 할 중요한 항구 이니셔티브라고 생각하시나요? 메시지는 무엇인가요?그들에게 전하고 싶은 메시지는 무엇인가요?고객층에서 제로 트러스트를 실제로 채택하도록 장려하기 위해 더 많은 노력을 기울여야 하는 것은 무엇일까요?

0:18:09.4 체이스 커닝햄 (Chase Cunningham): 글쎄요, 제 생각에는 누군가가 ZT에 대한 대화에 여러분을 참여시키는 이유는 전략적인 질문을 하기 때문이라는 것을 이해해야 한다고 생각합니다.따라서 전략적 가치 제안으로 전략적 질문에 답할 수 있어야 합니다.이는 매우 가치있는 일입니다.벤더와 자문 등을 할 때 항상 사람들을 끌어들이는 또 다른 한 가지는 벤더에게 이렇게 물어 보는 것입니다. “제로 트러스트 여정에서 현재 어떤 위치에 있는지 말씀해 주세요.ZT를 위해 어떤 일을 하고 계신가요?”보통은 귀뚜라미나 주변을 많이 둘러봐요.네가 ZT를 직접 하는 게 아니라면, 신의 지혜에 따라 내가 왜 나를 위해 ZT를 하기 위해 네 똥을 사겠어?운전을 할 줄 모른다면 제 경주용 자동차를 어떻게 움직여야 하는지 알려주지 마세요.

0:18:54.3 라구 난다쿠마라: A 100%. 100%.제로 트러스트 데모 포럼에 참여하고 계신 것으로 알고 있습니다. 벤더를 위한 플랫폼을 제공하는 동시에 최종 사용자와 소비자를 위한 플랫폼도 제공하는 것이 무슨 의미가 있을까요?다른 유사한 기관들이 그렇지 않다고 가정해 보자면, 그게 왜 그런 일을 가능하게 하는 걸까요?

0:19:17.2 체이스 커닝햄 (Chase Cunningham): 네, 문제 중 하나는, 벤더 기술에 대해 제가 훌륭한 심사위원단 콘텐츠라고 부르는 것을 얻으려면 직접 조류 도깅을 많이 해야 하고 시간이 많이 걸릴 수 있다는 것입니다.그래서 우리가 데모 포럼을 통해 한 것은 “여기서 타당한 주장을 펼치고 있는 공급업체들을 찾아가서 그들로 하여금 그것에 대해 이야기하게 하고, 사고력 있는 리더십을 발휘하고, 말 그대로 그들의 시스템을 시연해 보자고 하는 것입니다.”네, 벤더 데모예요. 하지만 이건 데모이기 때문에 최종 사용자가 가서 “좋아요, 정말 보고 싶어요. 이 X 문제가 해결되었으면 좋겠어요.이 사람들은 정말 좋은 기술을 가지고 있는 것 같아요.가서 그들의 이야기를 들어볼게요.그나저나 그 솔루션이 실제로 어떤 역할을 하는지 알 수 있어요.”이런 관점에서 볼 때 연구 측면은 최종 사용자가 벤더 공간에서 무슨 일이 벌어지고 있는지 제대로 파악하기 위해 거쳐야 할 단계가 훨씬 적다는 것입니다.

0:20:12.8 라구 난다쿠마라: 그리고 거기에 초점이 맞춰져 있나요?사용 사례에 대해 말씀하셨으니 좀 더 이해해 보고 싶은데요.아직 자세히 말씀드린 적이 없습니다. 여기서 말씀하시는 것은 제로 트러스트가 가능하게 하는 매우 구체적인 사용 사례라는 것입니다. 일반적인 사례와는 대조적으로, 이를 보여줄 수 있다는 것입니다. 오, 제로 트러스트 여정을 가속화할 수 있게 해주기 때문에 매우 표적화된 사용 사례에 초점을 맞추고 있습니까?

0:20:42.2 체이스 커닝햄 (Chase Cunningham): 그래서 사용 사례에 관한 것이고, 공급업체 공간을 차지하고 프레임워크의 기둥에 기능을 추가하는 것도 중요하죠.그리고 제가 만약...앞서 말씀드렸듯이 플랫폼이 많지 않고 탄탄한 포트폴리오도 있습니다.클라우드 액세스 관리를 제공하는 공급업체를 찾고 있다면 그게 무엇이든 상관없습니다.Super Cyber ZT 용어를 무작위로 고르세요. 클라우드 액세스 관리 같은 역할을 하죠.가서 이걸 보고 “좋아요, 이런 기능을 갖춘 공급업체들이네요.” 라고 말할 수 있습니다.실제로 그런 일을 하는 업체가 대여섯 군데 있습니다. 저는 연중무휴 24시간 운영되는 대신 5~6개를 살펴보아야 합니다.오늘 찾아봤더니 사이버 보안 분야의 공급업체가 2731개였던 것 같아요.말도 안 돼요.지금 얘기하고 있는 건데, 리처드 스터넌이 내놓은 수치는 시장에서 600억 달러라고 생각해요, 휴, 이런 식으로요.

0:21:39.2 라구 난다쿠마라: 사실, 바로 그 오른쪽에, 오늘날 존재하는 무분별한 공급업체, 보이시나요?그리고 포트폴리오와 플랫폼에 대해서도 말씀하셨는데요, 이거 보이시나요?아니면 2023년을 내다보면 진정한 제로 트러스트 플랫폼이 형성될 것으로 보이시나요?따라서 진정한 제로 트러스트 플랫폼 범위를 모색하고 상호 연결된 인수 또는 자체 개발 제품을 구축하는 벤더입니다.이것이 현실이라고 생각하십니까, 아니면 적어도 향후 24개월 동안은 여전히 공급업체의 무분별한 확장이 예상됩니까?

0:22:19.5 체이스 커닝햄: 여러 가지 이유로 그 공간이 통합될 것이라고 생각합니다.경기 침체도 일부 영향을 미칠 것입니다.우리는 경제적 역풍을 맞고 있고, 그 밖의 어떤 것이든 그 많은 원동력이 될 것입니다.흥미롭고, 새롭고, 멋지고, 섹시한 것들로 시장을 포화시킨 것 같아요. 그 분야에서도 속도가 느려졌어요.그리고 이제 API가 너무 좋아져서 기능 포트폴리오를 가져와서 원하는 운영 플랫폼에 포함시키는 것이 타당합니다.사실 그게 정말 가치 있는 일이라고 생각해요. 제가 말할 수 있는 건, 이걸 정말 잘하는 사람들, 정말 잘하는 사람들을 쓰고 싶다는 거예요.그들한테서 모든 걸 사고 싶지는 않지만, 그들이 협력하고 협업해서 저에게 최대한의 성과를 낼 수 있도록 만들고 싶어요. 그게 바로 플랫폼 측면에서 중요한 역할을 하는 부분이죠.일종의 자체 개발 측면이긴 하지만 그 통합의 일부인 API 덕분입니다.

0:23:18.0 라구 난다쿠마라 (Raghu Nandakumara): 네, 저도 동의해요. 그리고 제가 생각하기에도 전에 정말 화합에 대해 대화를 나눈 적이 있는 것 같아요. 그리고 당신은 지속적으로 이 일을 크게 촉진해왔는데, 동급 최고의 기술을 하나로 모으는 것에 관한 것이죠. 단 하나의 컨트롤 플레인으로 거의 통합할 수 있어야 한다는 거죠.그리고 말씀하셨듯이, 그 중 상당수는 자체적으로 개발한 것들이죠.그걸 원하고 그걸 만드는 것에 대해 진지하게 생각해야 돼요.

0:23:44.7 체이스 커닝햄: 네, 비슷하게 하실 수 있을 것 같아요.그리고 또 다른 활용 사례에 대해 말씀드리자면, 다양한 비즈니스와 다양한 업종의 경우 항상 최고의 기술을 갖추어야 하는 한 가지 사용 사례가 존재한다는 것입니다. 어쨌든 괜찮습니다.그게 가장 중요해요. 꼭 라디오를 활성화시켜야 한다는 거예요. 람보르기니에 그런 걸 가져가세요.하지만 인력 측면에서는 이 다른 접근 방식이 가장 적합하다고 생각합니다.재미있게도 람보르기니에 대해 이야기하면 람보르기니가 트랙터 제조업체로 시작했다는 사실을 누구나 잊어버립니다.

0:24:25.1 라구 난다쿠마라: 네, 맞아요.제가 가진 유일한 람보르기니는 제 아들이 레고로 만든 것 뿐인데, 제 말을 믿으세요. 완성하는 데 6개월이 걸렸어요.거시적 경제 상황을 암시하셨고, ROI에 대해 말씀하셨는데요, 잠깐 얘기해 보죠.개략적으로 보면 제로 트러스트 전략을 채택하면 어떻게 ROI를 달성할 수 있을까요?아니면 제로 트러스트 도입에 따른 ROI를 어떻게 보여줄 수 있을까요?

0:24:56.4 체이스 커닝햄 (Chase Cunningham): 제가 본 것 중 가장 좋은 방법 중 하나는 조직이 전략적인 측면으로 나아갈 때 없애는 것이라고 생각합니다.저는 비슷한 솔루션을 적어도 두 개 이상, 세 개는 아니더라도 가지고 있는 조직들과 함께 일해봤는데, 시간이 지나면서 새로운 팀에서 구현한 비슷한 문제들을 해결해 본 적이 있습니다.가장 흥미로웠던 사람은 같은 작업을 수행하는 세 가지 IAM 솔루션을 가진 사람이었는데 “음, 어느 것이 가장 좋을까요?”“자, 이제 시작해 볼까요.”그 이전 몇 년 동안에는 새로운 요구, 새로운 문제, 새로운 위험, 새로운 위협에 대해 무모한 반응이 많았습니다.자, 이제 그 중 많은 부분을 다 채웠으니 이제 다음으로 해야 할 일은 “실제로 요구 사항을 충족하는 것은 무엇일까요?제 전략을 가능하게 하는 것은 무엇일까요?제가 필요로 하지 않는 것들을 좀 덜어볼게요.” 그러면 그 예산으로 다른 것들을 위한 여유가 생기는 거죠.회사에서 “예산을 절약했어요.” 라고 대화를 나눌 때마다 사람들이 갑자기 웃기 시작합니다.더 많은 것을 요구하고 싶지는 않지만 “기꺼이 희생할 의향이 있어요.” 라고 말할 수 있겠죠.

0:26:00.2 라구 난다쿠마라: 하지만 많은 제로 트러스트 이니셔티브를 주도한 경험에 비추어 볼 때, 그 ROI가 실현되는 시기는 언제입니까?왜냐하면 제 생각엔 그게...눈치채셨을 수도 있겠지만, 실제로 그것을 직접 보는 것은 순환의 한 길입니다. 그럼 그런 일이 자주 실현되는 시기는 언제일까요?

0:26:24.2 체이스 커닝햄: 시간이 좀 걸릴 거예요.좋은 점은 범위를 좁히고 예산을 예측할 수 있다는 것입니다. 거의 예측 가능한 예산으로 돌아가서 이렇게 말할 수 있습니다. “0년차부터 3년차로 마이그레이션할 때, 줄어드는 것은 다음과 같고, 예산이 절약될 부분은 다음과 같습니다.”왜냐하면 우리는 물건의 비용이 얼마인지 알고 나면 “올해는 무료일 거야...” 라고 말할 수 있습니다. 이것은 예산의 반대이고, 물건을 얻기 위해 했던 것과 같습니다. 이제 짐을 덜고 얼마를 확보할 수 있을지 예측적으로 말할 수 있습니다.

0:26:54.7 라구 난다쿠마라: 제로 트러스트 프로그램의 전체 범위가 매우 중요한 부분인 것 같아요. 그래서 처음에 범위를 너무 많이 잡아서 실행할 리소스가 부족하지 않도록 말이죠.

0:27:08.4 체이스 커닝햄: 당신이 살아있기 전에 조준하세요.그렇기 때문에 계획을 세우기 전에 리더십에 관한 대화를 하는 것이 매우 중요하다고 생각해요. 왜냐하면 당신은...전술적 실행과 전략적 가치를 혼동하지 마세요. 많은 사람들이 그렇게 하죠.“우리가 해냈어요.좋아요, 멋지네요.다음은 뭐죠?”그게 바로 전술적 실행이죠.전략적 가치는 “저는 이 목표를 향해 나아가고 있는데, 그 행진을 계속할 수 있게 해줄 수 있는 전술은 무엇인가?”

0:27:36.4 라구 난다쿠마라: 네, 제 생각엔 그게...저는 당신이 그것을 표현하는 방식을 좋아합니다. 왜냐하면 사람들이 제로 트러스트 전략을 실행하려고 할 때 놓치는 부분이라고 생각하기 때문이죠.전략적 목표를 가지고 있지만 부족한 것은 실제로 그 목표를 달성하기 위해 취해야 할 전술적 조치입니다. 따라서 투자 수익을 볼 수 없거나 큰 그림만 고려하기 때문에 첫 단계를 밟지 못한다는 것입니다.이제 조금 넘어가서 제로 트러스트에 대해 생각해봅시다. 그리고 규제 기관, 정부 기관 등이 어떻게 제로 트러스트 전략의 채택을 실제로 추진하기 시작했는지 생각해 봅시다.물론 바이든 행정부의 EO는 분명히 세계적으로 유명하다고 할 수 있습니다.

0:28:32.2 체이스 커닝햄: 분수령이 되는 순간이었습니다.

0:28:34.5 라구 난다쿠마라: 100% 인데 발급된 지 18개월 정도 됐어요.이에 맞서 실제로 어떤 진전을 보이고 있는 걸까요?

0:28:44.3 체이스 커닝햄:2022년 10월, 연방 정부는 마침내 이전에 국방부 제로 트러스트 프로그램 사무소를 설립했습니다. 그 사무소는...국방부가 프로그램 사무소를 설립할 때마다 대단한 일이죠.게다가 그들은 그 사무실에 약 10억 달러, 11억 달러를 할당하고 “가서 ZT를 활성화하라”고 말했습니다.정부에서 말하자면, 꽤 빠르죠. 많은 자금이 배정된 상태에서 PO에 도달하기까지 18개월이 걸리고, 빠르게 진행이 되고 있습니다.저는 곤경에 빠지지 않고 일부 조직들과 대화를 나누었고 움직임이 일어나고 있습니다. 하지만 그들은 11월 23일에 발표된 DoD 제로 트러스트 문서에서 설명한 전략을 고수하고 있습니다.그래서 그들은 제가 옳다고 생각하는 일을 하고 있고, 총을 고집하고 앞으로 나아가고 있는 거죠. 이는 실패로 끝날 것입니다.모두가 그 전략 문서를 읽으면서 말했죠. “오, 국방부가 2027년이면 ZT가 될 거라고 하더군요.”그들이 말한 것은 전혀 그렇지 않습니다. 그들은 2027년까지 제로 트러스트 상태가 될 것이라고 말했습니다.전체 내용을 읽어보면 2032년이 되어서야 완전한 규정 준수 상태로 운영될 수 있다는 것을 알 수 있습니다. 아직 이르죠.제 생각에는 이것이 매우 현실적인 일정이라고 생각해요.

0:30:10.5 라구 난다쿠마라 (Raghu Nandakumara): 그리고 이 프로그램이 충분한 추진력을 가진 프로그램이라고 생각하세요? 방향을 잃을 거라고 생각하시나요, 아니면 아직 말하기에는 너무 이르다고 생각하시나요?

0:30:22.2 체이스 커닝햄 (Chase Cunningham): 수정구슬을 들여다보기에는 아직 이르다고 생각해요. 하지만 그들이 인센티브 구조를 바꾼 방식, 즉 많은 스틱에서 훨씬 더 많은 당근으로 바뀌었기 때문에 앞으로 나아갈 수 있을 것 같아요.왜냐하면 여러분이 거기에서 많은 가치를 얻을 수 있든, 이미 일어나고 있는 대화는 마치 물 속에 피 묻은 상어처럼 아우성치고 돌고 있는 순환로 도적들이 와서 이를 가능하게 해준다는 것이기 때문입니다.이것이 바로 정부에서 일이 이루어지는 방식입니다. 순환로 도둑들이 와서 실제로 실현할 수 있게 하는 거죠.국방부가 직접 해낸다면 아무 일도 하기 전에 해가 다 타버릴 것입니다.

0:31:02.0 라구 난다쿠마라: 벨트웨이 밴디츠, 처음 들었는데 바로 알겠어요.

0:31:06.9 체이스 커닝햄: 저는 순환도로 근처에 살기 때문에 하루 종일 볼 수 있어요.

0:31:11.8 라구 난다쿠마라 (Raghu Nandakumara): 그리고 예를 들어 이러한 LNG 사업자에게 보안 지침을 내린 다른 규제 기관 및 TSA와 같은 다른 정부 기관의 전체 반응은 EO의 직접적인 후속 조치일 뿐만 아니라 중요 인프라에 대한 위협이기도 하다고 생각합니다.다시 말씀드리지만, 위협이 좋은 것은 아닐 수도 있습니다. 하지만 위협이 작용하고 있다는 것은 제로 트러스트 채택에 좋은 강요 요인이라는 것입니다.

0:33:44.5 체이스 커닝햄: 네, 저는 사람들에게 말하죠. 위협에 대해서는 별로 신경 쓰지 않아요.만약 여러분이 다음에 있을 섹시하고 멋진 러시아 공격이나 누군가가 NSA에서 훔쳐 오픈 인터넷에 공개하려고 하는 것에 대해 걱정하며 시간을 허비한다면 그건 유용성을 행사하는 셈입니다.정말로 해야 할 일은 ZT에서 우리가 어떤 이야기를 하는지 살펴보는 것입니다. 물리학이기 때문에 이런 것들이 성공하기 위한 기본이 무엇인지 살펴보는 거죠.여기 위에는 섹시하고 멋질 수 있는 것들이 있습니다. 저는 가장 낮은 수준에서 문제를 다루고 그런 것들이 통하지 않는 부분을 만들겠습니다.그리고 승리는 곧 승리이고 승리입니다. 그리고 그걸 잘 활용하세요.

0:32:21.6 라구 난다쿠마라: 네, 궁극적으로는 계속 악용되는 것과 똑같은 것들이 공격자들로부터 이익을 얻으니까요.이런 상황은 거의 변하지 않았습니다.

0:32:31.6 체이스 커닝햄 (Chase Cunningham): 모든 전쟁에서 사이버는 전쟁의 영역이기 때문에 역사상 모든 전쟁을 통틀어 아무도 적이 이기기 위해 무엇을 할 것인지 이렇게 분명하게 말할 필요가 없었습니다. 그리고 그들은 여전히 가만히 앉아 있습니다. “글쎄요, 이걸 어떻게 방어할지 궁금하네요.”이봐요, 이봐요, 크레용 색깔이에요.바로 여기에 적혀 있어요.

0:32:47.5 라구 난다쿠마라: 네, 맞아요.그러니까 지금이 바로 그 시기에 “이봐, 체이스, 2023년에 대한 예측을 해줘.” 라는 요청이 쇄도할 거예요.제가 여러분을 2023년에 그 자리에 올려놓겠습니다. 제로 트러스트에 어떤 영향을 미칠까요?

0:33:07.9 체이스 커닝햄: 제 생각에 가장 중요한 것은 미국 시장 밖에서도 ZT가 더 많이 채택될 것이라는 점입니다.이게 제가 믿고 현실적일 거라고 말할 수 있는 유일한 예측이에요. 말 그대로 제가 라틴 아메리카, 호주, 일본, 인도, 영국, 북유럽 지역의 조직들과 대화를 하고 있기 때문이죠.그래서 저는 이것이 앞으로도 계속 성장할 것이라고 생각합니다.그것 말고는, 대부분은 똑같을 거고, 다른 날엔 속임수가 약간씩 다를 거라고 말하고 싶어요.

0:33:47.1 라구 난다쿠마라: 그리고 제로 트러스트 채택이 가속화되는 것을 보십니까?특히 공공 부문이나 공공 부문 중심이라고 생각하시나요?그렇다면 다른 국가의 정부에서 내려오는 칙령이나 민간 부문 주도의 정부 칙령 같은 것이 더 비슷할까요?

0:34:08.2 체이스 커닝햄: 국제적으로는 주로 민간 부문이 주도할 것 같아요.제 생각에 /wink wink는 아마도 미국의 공공 지시에 관한 어떤 것들이 나올 것이라는 것을 어느 정도 이해할 수 있다고 생각합니다.하지만 사이버는 미국과 국방부가 다른 나라보다 앞서거나 박쥐 같은 일을 가장 먼저 하는 일종의 물줄기식 공간처럼, 어디에서든 잘 작동합니다.그래서 제가 아는 호주는 핵심 8가지를 제로 트러스트에 매핑하는 작업을 해왔다고 생각합니다. 그래서 그런 것들이 있을 거라고 생각해요. 하지만 올해 일어날 수도 있고 아닐 수도 있습니다.

0:33:47.3 라구 난다쿠마라: 좋아요, 이제 준비를 마치기 전에 존과 함께 가서 술을 마시며 제로 트러스트에 대한 비유를 나누세요.제로 트러스트를 더 잘 비유할 수 있는 사람이 있을까요?

0:35:01.5 체이스 커닝햄: 솔직히 말해서 술을 얼마나 많이 마셨는지에 따라 어느 쪽이든 될 수 있습니다.네, 존은 분명히 대부예요. 하지만 가끔 괜찮은 걸 몇 개 버렸어요.

0:35:16.3 라구 난다쿠마라: 어서, 들어봅시다.최근에 모은 걸 들어보죠.

0:35:21.4 체이스 커닝햄: 제로 트러스트란 무엇인가?네, 저한테는 제로 트러스트가 제 딸과 데이트하는 것과 같다고 말하고 싶어요.당신이 누군지 알고, 무슨 일이 벌어지는지 보고, 딸에게 접근할 수 있게 해주고, 무슨 일이 벌어지고 있는지 모니터링할 거예요.그리고 제가 받아들일 수 있는 수준이라고 할 수 있는 범위를 벗어난 일을 하면 당신은 사라지죠. 그게 전부예요.

0:35:42.8 라구 난다쿠마라: 체이스, 시간 내주셔서 정말 고마워요.체이스, 커닝햄 박사, 제로 트러스트 박사님, 이 이야기를 듣고 계신 모든 분들은 자신의 이름을 딴 팟캐스트를 가지고 있습니다. 닥터 제로 트러스트는 일반적인 모든 플랫폼에서 이용할 수 있습니다.가서 확인해 보세요.제로 트러스트뿐만 아니라 사이버 관련 모든 것에 관한 가장 현실적이고 실행 가능한 콘텐츠를 정기적으로 제공합니다. 제로 트러스트에서도 많은 장점을 얻을 수 있습니다.감사합니다.

0:36:12.2 체이스 커닝햄: 멋지네요, 고마워요.

0:36:15.7 라구 난다쿠마라: 이번 주 더 세그먼트 에피소드에 더 많은 정보와 제로 트러스트 리소스를 시청해 주셔서 감사합니다. 저희 웹 사이트 illumio.com을 확인하세요.LinkedIn과 Twitter의 Ilumio를 통해서도 저희와 연락하실 수 있습니다. 오늘 대화가 마음에 드셨다면 팟캐스트가 있는 곳 어디에서나 저희 다른 에피소드를 찾아보실 수 있습니다.제가 호스트 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.