제로 트러스트 오리진 스토리

0:00:00.0 라구 난다쿠마라: 모든 인터페이스가 동일한 신뢰를 가져야 하며 0이어야 한다고 말했습니다.이것이 바로 제로 트러스트의 출처입니다.이는 정책에 영향을 미친 방화벽을 구축하던 방식에 대한 반발 조치일 뿐이며 그럴 이유가 없었습니다.

0:00:18.5 라구 난다쿠마라: 제로 트러스트 리더십 팟캐스트인 The Segment의 새 시즌으로 돌아왔습니다.진행자 라구 난다쿠마라 (Raghu Nandakumara) 입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자입니다.시즌 2를 시작하기 위해 존 킨더바그 (John Kindervag) 가 합류했습니다. 그는 제로 트러스트의 세계에 대해 전혀 소개할 필요가 없는 사람입니다.John은 세계 최고의 사이버 보안 전문가 중 한 명으로 널리 알려져 있습니다.실무자이자 업계 분석가로서 25년 이상의 경력을 쌓은 그는 혁신적인 사이버 보안 제로 트러스트 모델을 만든 것으로 가장 잘 알려져 있습니다.현재 John은 Illumio의 수석 에반젤리스트로서 제로 트러스트 세그멘테이션의 인식을 높이고 제로 트러스트 세그멘테이션의 채택을 촉진하는 일을 담당하고 있습니다.오늘 John은 제로 트러스트 오리진 스토리, 사람들이 제로 트러스트 여정에서 어떤 잘못을 저지르는지, AI와 ML이 보안의 미래에 미치는 영향 등에 대해 논의할 예정입니다.

0:01:18.1 라구 난다쿠마라: 이 세그먼트입니다.제로 트러스트 리더십 팟캐스트입니다.그리고 시즌 2의 시작을 위해 제로 트러스트의 대부를 오프닝 게스트로 모시는 것이 옳다고 생각합니다.저희가 이 팟캐스트에서 이런 대화를 나누는 이유에 대해 말씀드리고 싶습니다. 일루미오의 수석 에반젤리스트인 존 킨더백 씨.존, 어서 오세요.

0:01:45.2 존 킨더백: 안녕하세요, 라구여러분과 이야기를 나눌 수 있어서 항상 즐겁고 특별한 팟캐스트에 출연하게 되어 기쁩니다.이 팟캐스트는 인터넷에서 가장 중요한 팟캐스트입니다.

0:01:54.5 라구 난다쿠마라: 물론이죠.존, 당신이 그 존재감을 드러내면서 그 중요성이 한 단계 더 높아진 것 같아요.물론, 때가 되면 포레스터 시절로 돌아가 제로 트러스트에 대해 이야기해보도록 하겠습니다.하지만 그 전에는 누구나 좋은 오리진 스토리를 좋아하기 때문에 제로 트러스트의 대부라는 별명이나 직함이 있습니다.그렇다면 제로 트러스트의 대부는 어떻게 제로 트러스트의 대부가 되었을까요?

0:02:25.1 존 킨더백: 우연히도, 그것은 순전히 사고였습니다.그러니까, 저는 많은 직업을 가졌어요.저는 농장에서 자랐고 어렸을 때부터 일을 해왔어요.그리고 제 첫 유급 직업은 농장에서 살면서 일을 하면 일자리가 많아지지만 월급을 받지 못하고 밥을 먹기 때문이죠.하지만 제 첫 직업은 타자기 청소부이자 수리공 견습생이었어요.이 직업은 더 이상 존재하지 않기 때문에 제가 계속 이어가지 않아서 다행입니다.그렇죠?세상에 타자기 수리공이 필요한 사람이 있어요. 바로 톰 행크스예요.사실 그는 자신의 타자기 수리공이 있습니다. 왜냐하면 그는 온갖 종류의 빈티지 타자기를 모으기 때문이죠.그래서 인생이란 여행을 하다 보면 결국 다른 곳으로 가게 되는 그런 것들 중 하나라고 생각해요.그래서 저는 오랫동안 방송 엔지니어로 일했어요. 왜냐하면 저는 기술을 좋아했고 그게 지구상에서 가장 기술적인 부분이었기 때문이죠.

0:03:20.4 존 킨더백: 저는 위성 업링크를 하면서 오클라호마 시티 폭탄 테러를 위해 로이터와 모든 국제 뉴스 피드를 위한 위성 방송을 했습니다.런던에서는 스카이 피드 같은 것들을 했어요.그리고 기술 분야에 점점 더 많이 관여하기 시작하면서 컴퓨터 세상이 생겨났죠.그리고 컴퓨터 애니메이션을 하기 시작했죠.거기서 재밌었던 점은 애니메이션을 만드는 것보다 컴퓨터를 만드는 것이 더 중요하다는 점이었죠.그래서 저는 혼자서 정말 고급형 컴퓨터를 만들기 시작했어요.그러다가 둠이라는 게 나왔죠.비디오 게임 Doom을 기억하시나요?

0:04:03.9 라구 난다쿠마라: 저는 고등학교 때 Doom을 플레이하면서 많은 오후를 허비했는데, 그 당시 3D 그래픽의 근본적인 멀미에 시달렸습니다.

0:04:13.2 존 킨더백: 네, 네트워크상에서 멀티플레이어 기능을 지원하는 최초의 게임이었죠.그래서 상사님들께 비디오 애니메이션용 파일을 전송하려면 네트워크가 필요하다고 확신시켰습니다.하지만 실제로는 파일이 너무 커서 하드 드라이브로 전송해야 했습니다.그는 그걸 전혀 몰랐어요.하지만 둠 게임을 할 수 있게 이더넷 네트워크를 만드는 법을 배웠어요.제가 이룬 성공은 모두 그랜드 프레리에 있는 id Software의 직원들 덕분인 것 같아요. 그들은 둠을 만들고 멀티플레이어 게임을 할 수 있는 방법을 고안해냈죠.온라인이 아니었죠. 물론 온라인 기능은 나중에 나왔죠.하지만 사람들이 모여서 컴퓨터를 가져와 둠, 퀘이크 같은 것들을 플레이하는 랜드 파티가 열리곤 했죠.기술이 어떤 식으로든 상황을 밀어붙이는지 아시겠죠.사실 저는 Cisco의 한 구식 직원과 이야기를 나누었는데 그는 이렇게 말했습니다. “전 세계 기업에서 열린 퇴근 후 Doom 파티를 지원하기 위해 iOS에 얼마나 많은 코드를 넣었는지 믿을 수 없을 정도입니다.”컴퓨터와 네트워크, 궁극적으로는 사이버 보안 분야에서 많은 발전을 이룬 데 대해 Doom에게 감사할 수 있습니다.

0:05:32.7 라구 난다쿠마라: 그렇다면 어떻게 네트워킹으로 옮겼고, 그 다음에는 네트워킹으로, 그 다음에는 네트워크 보안으로 전환하게 되었을까요?

0:05:41.7 존 킨더백: 제가 방송 엔지니어링에서 네트워킹으로 전환하기 시작했을 때 보안을 원하는 사람은 아무도 없었습니다.나중에 생각할 뿐만 아니라 왜 그렇게 하고 싶은지에 대한 생각도 들었어요.미래는 라우팅과 스위칭입니다.이곳에서 모든 흥미로운 일들이 벌어지고 있습니다.저는 그게 특별히 흥미롭다고 생각하지 않았어요.누군가 말했죠. “방화벽 설치 같은 우리의 보안 업무를 맡을 사람을 구할 수는 없어요.”사람들은 그게 멍청한 짓이라고 생각했어요.그게 왜 필요하죠?글쎄, 내가 해볼게.그러니까 그냥 가서 기회를 찾고, 누군가가 뭔가를 해내야 할 일이 생기면 그냥 '예스'라고 말하는 거죠.저는 항상 '예'라고 대답하려고 노력해요. 시간이나 다른 이유로 '예'라고 대답하는 것이 불가능하지 않은 한 말이죠.하지만 한 번 시도해 보고 어떤 일이 잘 풀릴지 알아보고 호기심을 갖고 싶을 거예요.그래서 저는 보안이라는 것에 매우 관심이 있었습니다. 실제로 바이러스 백신과 방화벽이 있는 제품이 몇 개 있었습니다.

0:06:48.2 존 킨더백: 그게 전부였어요.방화벽 설치 과정을 시작한 것이 바로 제로 트러스트라는 결과로 이어졌죠.방화벽 기술에는 인터넷은 신뢰할 수 없는 인터페이스에 있고 내부 네트워크로 가는 인터페이스는 신뢰할 수 있는 신뢰 모델이라는 개념이 있었기 때문입니다.이러한 신뢰 관계 때문에 내부 네트워크 또는 신뢰할 수 있는 네트워크에서 외부 또는 신뢰할 수 없는 네트워크로 트래픽을 이동하기 위한 정책 설명이 필요하지 않았습니다.그리고 제가 말했죠. “이건 말도 안 되는 일이에요.사람들이 데이터를 여기서 빼내려 할 거예요.”그러자 그들이 말했죠. “아니요, 안 할 거예요.안 돼요.”그래서 규칙적으로 그걸 내놓았다가 곤경에 처할 수도 있었죠.그거 꺼내세요.벤더가 그렇게 해야 한다고 말하는 게 아니에요.그리고 우리가 막으려고 하는 게 뭔지 설명하려고 하는데요그리고 저는 모든 인터페이스의 신뢰가 동일해야 하며 신뢰가 0이어야 한다고 말씀드렸습니다.

0:07:40.8 존 킨더백: 이것이 바로 제로 트러스트의 출처입니다. 이는 정책에 영향을 미친 방화벽 구축 방식을 거부한 것일 뿐입니다.그럴 이유가 전혀 없었죠.그 신뢰 모델을 만든 사람을 알아요. 임의적이었어요.그는 NAT Box를 만들 때 차고에서 트러스트라는 용어를 선택했습니다. 그렇죠?그래서 사람들은 더 이상 NATing에 대해 생각하지 않습니다. 왜냐하면 NATing은 너무 자동화되어 있기 때문이죠.하지만 당시에는 RFC 1918 주소를 라우팅 가능한 주소로 바꾸는 것만으로도 매우 복잡했습니다.그리고 제가 아는 서해안에 사는 어떤 사람이 소프트웨어를 만들었는데 그 사람은 자기 친구에게 줬어요. 그는 NAT에 기술을 만들었죠.그리고 그 사람은 그것을 대기업에 팔았고 초기 방화벽 중 하나가 되었습니다.25년, 30년이 지난 지금도 우리가 겪고 있는 가장 큰 문제 중 하나로 우리가 맞서고 있는 것이 바로 그 신뢰 모델이었습니다.

0:08:42.5 라구 난다쿠마라: 당신이 그걸 설명하는 방식이 마음에 들어요, 그렇죠?거의 전구가 들어오는 순간이라고 할 수 있죠. 상식적으로 우리는 방화벽 한쪽에 있는 것을 암묵적으로 신뢰하는 반면 다른 쪽은 임의로 신뢰할 수 없다고 말하는 걸까요?질문 하나 할게요.일종의 보안 접근법을 신뢰하지만 검증하는 것, 아니면 요약하고 싶은 방식이겠죠?이는 적어도 제로 트러스트가 개념화되고 채택되기 전까지는 많은 보안 전략이 어떻게 발전했는지에 대한 일종의 토대가 되었습니다.그렇다면 '신뢰하되 검증하라'는 접근 방식의 기반은 무엇이었을까요? 그리고 이를 유지하기 위해 투자한 금액은 얼마였을까요?

0:09:28.4 존 킨더백: 글쎄요, 이상하긴 하지만 현실은 80년대에 위대한 사이버 보안 전문가 로널드 레이건이 미하일 고르바초프와의 연설에서 이 용어를 사용했다는 것입니다.그는 그들이 핵 확산 조약이나 그와 비슷한 것에 서명하고 있다고 말했습니다.그리고 그는 이렇게 말했습니다. 우리는 그 낡은 러시아 속담을 지킬 것입니다.그리고 그는 러시아 속담을 러시아어로 말하죠.그리고 저는...제 러시아어인데요, 제가 제대로 발음할 수는 없지만 프로버와 제가 아는 프로버 (prover) 와 저는 프로버 (prover) 와 비슷한 말이에요. 그리고 그가 말하길, 그건 당연히 신뢰라는 뜻이지만, 어느 것이 문자 그대로의 번역인지 확인해 보라는 뜻이에요.하지만 러시아어로 된 말의 핵심은 우리가 할 수 있는 한 당신을 믿지 않을 거라는 거예요.그가 고르바초프에게 한 말이 바로 그거예요.그가 말했죠. “좋아요, 네.우리가 이 조약에 서명할 거예요. 하지만 제가 할 수 있는 한 당신을 믿지 않을 거예요.”하지만 사람들은 뒷이야기를 보지 않았어요.그들은 알고 있었죠. “음, 로널드 레이건이 말했으니, 그렇게 해야죠.”

0:10:19.5 존 킨더백: 제가 왜 그러냐고 물었죠.사람들은 항상 저한테 그렇게 말하곤 했어요.제가 이 일을 하는 이유는 로널드 레이건이 하라고 했기 때문입니다.뭐라고요?그는 기술에 대해 무엇을 알고 있나요?아무것도 아니에요.그렇죠?그래서 일이 그냥 벌어지죠.더 이상 호기심이 많고 지적 호기심이 많은 사람이 왜 그러냐고 묻지 않기 때문이죠.누가 그런 말을 했나요?오, 음, 실제로 무슨 일이 있었는지 한번 볼게요.거기 유튜브 클립이 있어요.그걸 보고 가버리면 그 사람은 당신이 생각하는 그 뜻이 아니에요.그게 바로 그 기원이죠.하지만 아무 이유 없이 신성시되는 것들이 너무 많아요. 어디서 왔는지 아무도 모르기 때문이죠.누군가 한 번 말했는데 아무도 의문을 제기하지 않아요.이 세상에는 지적 호기심이 정말 부족해요.그건 제가 지금까지 말한 모든 것에 해당되는데, 그 중 절반은 아마 기억이 안 날 거예요.

0:11:15.6 존 킨더백: 하지만 네, 모든 사람들이 말하는 것을 검증하고 그것이 사실인지 확인해야 합니다.맞아요.신뢰의 정의가 무엇이냐고 묻는 사람은 저뿐이었어요.정의하기가 정말 어려워요. 50년대까지는 철학적 대화나 종교적 대화에서만 사용되었으니까요.이 두 영역의 예술 용어였죠.몇 년 전에 신뢰는 취약점이라는 말을 한 적이 있는데 그 말이 제 말이 되었죠.그리고 나중에 알게 되었어요. 인터넷에 더 많은 정보가 퍼졌기 때문이죠. 모튼 도이치 (Morton Deutsch) 라는 사람이 있었는데 그는 직장 이론가였죠.그리고 1958년에도 그는 똑같은 말을 했습니다.제가 신뢰는 취약점이라고 했을 때는 몰랐어요. 하지만 그는 신뢰란 한 개인이 다른 개인에게 기꺼이 취약한 태도를 보이는 것을 구체적으로 정의했습니다.이것이 바로 신뢰입니다.이것이 바로 그가 직장에서 정의한 바입니다.

0:12:19.6 존 킨더백: 정말 좋은 정의라고 생각해요.그리고 제가 말하고자 하는 것과 정확히 일치하죠.그래서 저는 기술적인 취약점을 생각하고 있습니다. 신뢰는 컴퓨터에 패치를 적용하지 않은 것과 마찬가지로 취약점입니다.디지털 시스템이고 인간의 감정이 필요 없기 때문에 무언가를 신뢰한다는 것은 미친 짓과 같습니다. 그렇죠?우리가 디지털 시스템에 주입한 인간의 감정이죠. 인간의 관점에서 이해하려고 하기 때문이죠.우리는 이런 것들을 많이 의인화합니다.존은 네트워크에 있고, 라후와 존은 네트워크에서 대화하고, 둘 다 네트워크에 있는 것처럼 말하죠.그리고 우리 둘 중 누구도 네트워크에 연결되어 있지 않아요.우리는 아직 아원자 입자로 쪼그라들지 않았고 이런 대화를 나눌 수 있도록 공용 인터넷을 통해 보내진 적도 없습니다.

0:13:07.5 존 킨더백: 이 대화는 정말 기적적입니다. 그렇죠?영화 2001 is Space Odyssey가 나왔을 때가 기억나요. 당신이 태어나기 한참 전에 말이죠.어렸을 때 아이들이 우주에서 지구로 영상 통화를 하는 걸 봤는데, 와, 그게 가능할까요?영상 통화?어떻게 가능할까요?그래서 몇 년 동안은 불가능했습니다.이제 우리의 일상은 불가능하죠.그 시간동안 기술이 그렇게 많이 발전했다는 건 말도 안 되는 일이죠.

0:13:44.7 라구 난다쿠마라: 그럼, 제로 트러스트에 대해 알아보기 전에요, 그렇죠?신뢰에 대해 몇 분만 더 할애하고 싶어요.그래서 시간이 흐르면서 조직은 근본적으로 신뢰할 수 있는 인프라를 만들고 유지하는 데 많은 시간과 노력을 쏟았죠?데이터 센터의 케이블 연결부터 네트워크 장치, 연결된 컴퓨팅, 해당 장치에서 실행되는 OS 및 애플리케이션에 이르기까지 말이죠. 그렇죠?그러니까 근본적으로, 그리고 궁극적으로는 여기에 접속하는 사용자들이죠.신뢰를 유지하려는 노력에 집착하는 태도가 생산성과 사이버 보안을 모두 저해했다고 생각하시나요?

0:14:28.9 존 킨더백: 네, 그들이 안주하기 때문이죠.그렇죠?그래서 그들은, 저는 팬데믹 직전에 독일에 있었어요.독일, 스위스.독일어를 사용하는 어떤 곳에서는 신뢰에 대해 독일어로 긴 토론을 벌였고 신뢰에 대해 정의하려고 했습니다.그러자 그들은 한 단어를 생각해 냈습니다.그러자 그는 이렇게 말합니다. 오, 그냥 게으르다는 뜻이에요.사람들은 게으르고, 다른 걸 하고 싶어하지 않아요.그럼 사람들은 믿게 될 거예요, 그렇죠?여기가 신뢰할 수 있는 환경이라고 생각되면 아무 것도 할 필요가 없어요.제가 게을러질 수도 있어요.그리고 CISO가 Verify를 신뢰한다고 말했을 때 그 말을 했던 기억이 납니다.제가 말했죠. 좋아요, 신뢰가 뭔지 알겠어요. 그건 당신이 아무것도 하지 않을 거라는 뜻이에요.하지만 그가 'Verify'를 통해 신뢰한다고 했을 때 당신은 무엇을 하고 있는지를 검증하기 위해 무엇을 하고 있는 걸까요?그러자 그는 이렇게 말했습니다. “아, 아니에요. 신뢰할 수 있는 사용자들이니까요.그러니까 인증하는 건 무례한 짓이겠네요.”

0:15:19.5 존 킨더백: 좋아요, 그러니까 당신은 사실 사이버 보안에 대해 아무 것도 하지 않는 거죠.듣다니 정말 멋지네요.몇 번이고 반복해서 봤는데 말 그대로 아무 일도 일어나지 않는 곳이죠.그런데도 사람들은 자신이 하고 있는 모든 중요한 일에 대해 신랄하게 말하고 있지만 실제로는 거의 아무것도 하지 않고 있죠.

0:15:39.9 라구 난다쿠마라: 신뢰는 만족을 낳는다고 방금 표현한 방식이 마음에 듭니다.그리고 이런 접근 방식을 취하는 것은 궁극적으로 사이버 보안의 진전이 아닙니다.사실 이는 회귀일 수 있습니다.자, 이제 제로 트러스트에 대해 이야기해 보죠.두 가지 예를 들자면, Forrester에서 애널리스트로 일할 때 발표한 획기적인 논문이라고 할 수 있습니다. 더 이상 엉터리 센터는 필요 없고 네트워크의 DNA인 Zero Trust 네트워크 아키텍처에 보안을 구축했습니다.물론 그 배경에는 신뢰할 수 있는 인터페이스와 신뢰할 수 없는 인터페이스를 갖춘 방화벽을 상상하며 “이건 정말 멍청한 짓이야”라고 말하는 데서 그치지 않았습니다.이러한 논문을 만든 동기와 해당 논문을 발표할 때 포착하고자 했던 내용에 대해 좀 더 이야기해 주세요.

0:16:24.5 존 킨더백: 제가 포레스터에 있을 때는 혁신적인 연구를 하는 것이 정말 중요했어요.우리는...애널리스트 교육 수업 첫 날, 놀랍도록 뛰어난 책임자였고 물리학자인 엘렌이 기억나요.그녀는 칠판에 우리의 직무 설명을 적었습니다.세 단어였어요. “큰 생각을 하세요.”그래서 저는 큰 생각과 파괴적인 생각을 장려하는 곳에서 일했어요.그래서 다른 조직에서는 가기가 두려웠던 곳에도 갈 수 있는 기회가 생겼습니다.그래서 질문이 하나 생겼습니다. 왜 사이버 보안이 효과가 없을까요?맞아요.이 질문은 2008년에 제기되었습니다.그리고 2년 간의 1차 연구 끝에 저는 '더 이상 질리지 않는 센터'를 출판했습니다.이리저리 돌아다니면서 깨달았어요. 아, 이 모든 사이버 보안 사고, 데이터 침해는 모두 제가 생각하는 이 신뢰 모델을 악용했기 때문이라고 생각해요. 저는 이것을 항상 깨진 신뢰 모델이라고 부릅니다.

0:17:31.5 존 킨더백: 신뢰 모델이 아니라 깨진 신뢰이기 때문입니다.그리고 2년 동안 강연과 웨비나를 하고 테스트 마케팅을 하고 제가 아는 전문가들을 찾아가서 이 문제에 대해 허점을 찾아내면서 절정에 달했습니다.많은 사람들이 이렇게 말했습니다. “아이디어가 마음에 들지는 않지만 아무 문제가 없는 것 같아요.”어떤 사람들은 “와, 이거 대단해.” 라고 말하기도 했어요.그래서 갈 수 있다는 격려가 충분했어요. 좋아요, 계속 진행할게요.포레스터에서 했던 모든 연구가 과거로 거슬러 올라가는 방식이죠.자, 삶의 인센티브가 전부죠, 그렇죠?찰리 멍거 (Charlie Munger) 는 워렌 버핏의 파트너였고 두 사람 중 잘 알려지지 않았지만 몇 주 전에 세상을 떠났습니다.그리고 그는 항상 모든 것이 인센티브에 관한 것이라고 말했습니다.사람들이 어떻게 인센티브를 받는지 말씀해 주시면 어떻게 행동하는지 말씀드리겠습니다.

0:18:22.0 존 킨더백: 그리고 사이버 보안에는 비뚤어진 인센티브가 많이 있습니다.우린 뭔가 망가뜨리는 게 너무 무서워요, 그렇죠?CIA 삼각형이 있어요.CIA 삼각형은 잘 아실 겁니다.이게 뭐죠?

0:18:34.0 라구 난다쿠마라: 물론이죠.

0:18:34.0 존 킨더백: 제가 할 세 가지는 뭐예요? 다시 퀴즈를 받게 될 거예요.

0:18:39.0 라구 난다쿠마라: 적어도 이것은 제가 아는 사실이고, 이는 제가 지난 몇 년간 수행한 모든 CIS 교육 덕분입니다.C는 기밀성, 나는 무결성, A는 가용성입니다.

0:18:50.3 존 킨더백: 맞아요.그리고 이건 정삼각형이어야 하죠, 그렇죠?그렇지 않다는 점만 빼면요.거기서 제일 중요한 게 뭐야?모두 평등한가요?

0:18:58.5 라구 난다쿠마라: 흥미로운 질문이네요.제가 이 이야기를 하고 고객과 잠재 고객에게 이 이야기를 할 때 저는 이렇게 말합니다. “두 사람은 평등한가요?”그들은 분명히 데이터 보호, 데이터의 무결성에 신경을 쓰지만 가장 두려워하는 것은 “아, 내 애플리케이션이 고장나면 어쩌지?”그래서 그들은 가용성에 집착하는 거죠.따라서 가용성이 손상되지 않을 것이라고 절대적으로 확신할 수 없다면 보안을 설정할 수 없습니다.따라서 응용 프로그램 소유자에게 물어보면 그 사람의 대답은 “나는 내 응용 프로그램이 제대로 작동하는지를 신경 쓰고 다른 것에는 신경을 씁니다.” 라고 대답할 것입니다.

0:19:27.6 존 킨더백: 네.그러니까 가용성이 정말 중요해서 지금은 그게 뭔지 모르겠네요.이등변 삼각형?한 개의 긴 빗변을 사용할 수 있는 곳이죠, 그렇죠?그 다음은 청렴성이죠.해싱 때문에 그게 무슨 뜻인지 더 이상 잘 모르겠어요.그리고 데이터의 무결성을 관리하는 것도 아주 쉽습니다.하지만 농담으로 말씀드리자면 이제 C는 타협을 의미하죠.가용성이 매우 낮은 네트워크가 많이 있습니다. 잠시만요, 몇 주 전에 이런 대화를 나눴는데 체류 시간이 얼마나 걸립니까?드웰 타임에 관한 데이터는 무엇인가요?조직의 악당들이 잡히기까지 얼마나 걸리나요?그렇죠?무슨 말씀이신지, 최신 데이터가 IBM에서 가져온 거예요.

0:20:11.6 라구 난다쿠마라: IBM의 올해 데이터 침해 보고서에 따르면 조직은 사이버 공격을 식별하고 억제하는 데 평균 277일이 걸립니다.

0:20:23.0 존 킨더백: 이제 277일이면 충분합니다.그럼 C가 기밀 유지를 의미한다면 아주 중요한 게 아니라 소문자 C인 거죠?사실 거기에서 200일, 어느 정도 기간 동안 타협을 당했다는 거죠.거의 일 년이고 거의 일 년이에요.나쁜 사람들이 당신 집에 있어요.농담인데 신뢰 모델이 바로 이런 것 같아요.아내와 함께 앉아 TV를 보고 있는데 어떤 남자가 냉장고에서 맥주를 꺼내는 걸 보면, 저는 이렇게 묻습니다. “여보, 냉장고에서 맥주를 꺼내는 사람 아세요?”그러자 아내는 이렇게 말합니다. “아니요, 몰라요.”제가 말했죠. “음, 냉장고에서 맥주를 꺼낼 수 있으니 그가 여기 있을 거라고 추측할 수 있어요.그러니까, 우리가 객실을 꾸려야겠어.”가서 깨끗한 시트 가져다 줄래? 침대 갈아 줄게.이런 단체들에서는 이런 일이 벌어지죠.잘못된 추론이죠. 네트워크에 접속할 수 있기 때문이죠.여기 계셔야 돼요, 여기 있어서는 안 돼요.여기 오셔야 한다면 네트워크에 연결해 드릴게요.그게 문제예요.따라서 모든 중대한 보안 사건과 100% 데이터 침해는 기능적으로 이 깨진 신뢰 모델을 악용한 것입니다.

0:21:35.6 라구 난다쿠마라: 물론이죠.그리고 당신이 제공한 비유가 마음에 들어요.포레스터에서 근무하시면서 이 두 가지 중요한 연구 자료를 작성하시는군요.사실 제가 이전 고용주에서 프라이빗 클라우드에 대한 보안 제어를 설계할 때, 저희 보안 실무자 중 한 명이 워크숍에서 저를 찾아와 제 앞에 종이를 들고 “라구, 이것이 바로 우리의 프라이빗 클라우드 환경에 필요한 것입니다.” 라고 말했다는 것을 알고 있습니다.그래서, 당신은 이렇게 썼습니다.그 과정에서 실무자들이 어떤 일을 할 것으로 예상하셨나요?

0:22:10.9 존 킨더백: 제 기대치는 꽤 낮았어요.그 역할을 하면서 깨달은 것 같아요. 그냥 스며들 수 있는 아이디어를 얻으려고 하는 거였어요.제로 트러스트가 예전처럼 발전할 거라고는 생각하지 못했어요.확실히 초반에는 불이 붙지 않았어요.하지만 그때 제가 얘기할 수 없는 핵심 인물들이 몇 명 있었고 제가 작업한 핵심 디자인들도 몇 명 있었습니다. 그리고 깨달았어요. 와우, 이걸 읽고 듣고 있는 사람들이 제가 생각했던 것보다 더 많다는 걸 깨달았어요.그리고 결국 저는 세계에서 가장 큰 네트워킹 및 사이버 보안 공급업체 중 한 곳의 대규모 컨퍼런스에 참석하게 되었습니다. 그냥 대규모 컨퍼런스였죠.이 회사 전체에서 2위를 차지한 사람이 제로 트러스트에 관한 프레젠테이션을 하고 있었습니다.제 옆에 제 친구 한 명이 서 있었어요.

0:23:00.1 존 킨더백: 그는 이렇게 말했습니다. “이제부터는 커리어 전체가 제로 트러스트라는 것을 알게 될 것입니다.”그리고 제가 말했죠. “아니요, 아니에요.”저는 SIM을 다루면서 암호화와 다른 것들의 미래에 대해 흥미로운 연구를 많이 했어요.그러자 그는 이렇게 말했습니다. “아니요, 그렇습니다.”알고보니 그의 말이 맞았어요.그래서 저도 그에게 많은 공로를 인정해 주어야 할 것 같아요.제가 보기보다 먼저 남자친구도 봤지만, 어떤 조직의 최고 수준에서든 큰 반향을 불러일으키죠.그래서 이번 주 초에 외국 정부와 누군가와 통화를 했었는데... 부처의 일원이었어요. 사이버 보안과 관련된 일이었죠.그랬더니 그들이 말했죠. “오, 여기 오면 우리가 당신을 총리 앞으로 데려가야 해요.”그게 그의 발언이었죠, 그렇죠?이것이 바로 미국 대통령이 행정 명령을 내린 사안이라는 사실이죠.호주와 싱가포르와 같은 정부는 이러한 방향으로 나아가라는 지침을 발표했습니다.네브래스카의 한 농장에서 자란 아이인 저한테는 정말 미친 짓이죠, 그렇죠?자라면서 제 인생 목표는 새벽 5시에 일어나서 소에게 먹이를 주지 않는 것이었습니다.그래서 술집이 정말 낮아서 오랫동안 새벽 5시에 일어나서 소에게 먹이를 줄 필요가 없었어요.그래서 정말 감사해요.

0:24:16.1 라구 난다쿠마라: 글쎄요, 그 이야기는 당신이 대부인 이유인 것 같아요.이봐요, 이제부터 당신의 커리어는 제로 트러스트에 관한 것이 될 거예요.그럼 제가 궁금해하는 것은 2010년 이후가 되고 제로 트러스트에 대한 반응과 그에 대한 몇 가지 논평들을 보았을 때, 상승세가 더딘 것에 대해 좌절하셨나요?하지만 어느 정도 반대론자들도 많았습니다. 사실 이건 비현실적입니다.

0:24:49.8 존 킨더백: 아뇨, 아니었어요.우선 상승 속도가 느리다는 점이 마음에 들었어요. 한동안 저만 이 일을 했기 때문이죠.그래서 제가 모든 실수를 저질렀다가 그 실수에 대해 글을 써서 앞으로 어떻게 될 것인지 말씀드려야 돼요. 그럴 필요가 없으니까요.제 입장에 있는 사람이 할 수 있는 가치 있는 일이라고 생각했어요.따라서 5단계 모델 중 2단계에서 N 스택 보고서 등에서 이에 대해 읽어 보면 시스템이 어떻게 작동하는지 몰랐기 때문에 겪었던 큰 재앙에서 비롯된 것임을 알 수 있습니다.누군가 오래된 서버라고 해서 그 서버를 꺼냈죠.그게 기준이었어요.오래되어서 전체 네트워크가 다운되었죠.그래서 그런 재해가 몇 개 있잖아요. 제가 그런 재해를 겪는 게 더 나을 것 같아요.

0:25:31.2 존 킨더백: 그런 일이 전 세계에서 동시에 일어나면 모두가 떠날거야, 이봐, 네가 모든 걸 망쳤어.그래서 이렇게 말하는 사람이 될 수 있다는 건 정말 만족스러운 일이에요. 위험하니까 하지 말아야지, 효과가 있으니까 이러지 말라고 말이죠.그리고 나서, 그냥 시간을 맞춰보세요.이 회사는 아주 젊은 회사라고 생각해요. 사람들이, 오, 누가 제게, 저는 30년간 사이버 보안 경험을 쌓았는데, 저는 계속 이런 생각이 들었습니다. 오, 이런, SNA (시스템 네트워크 아키텍처) 가 유용할 거라고 장담하더군요.그리고 사람들에게 제가 6개월 동안 사이버 보안 경험을 쌓았다고 말하죠, 그렇죠?저에겐 지난 6개월이 있고, 앞으로 6개월은 남았는데, 그 외 모든 것들은 전쟁 이야기예요. 왜냐하면 이건 너무 많이 변하기 때문이죠.그래서 만약 제가 1년 전과 같은 방식으로 일을 하고 있다면 아마 잘못된 것일 수도 있습니다. 모든 것이 바뀌었기 때문이죠.

0:26:25.0 존 킨더백: 1년 전만 해도 우리는 제너레이티브 AI의 혁명이 일어난 것을 보지 못했습니다.우리는 그것이 어디로 가고 있는지도 몰랐고, 그것이 보안에 미치는 영향에 대해서도 생각하지 않았습니다. 그리고 이런 것들을 보안에 활용할 수 있는 기회에 대해서도 생각하지 않았습니다.이제 모든 사람들이 완전히 생각하게 된 새로운 기술이 하나 생겼습니다.모두들 말이에요.이미 기록된 내용인 건 알지만, 어젯밤에 저는 AI와 사이버 보안에 관한 패널 토론을 진행했습니다.제가 지적한 것 중 하나는 헨리 키신저입니다. 그는 최근에 100세의 나이로 세상을 떠났습니다. 그가 지금까지 쓴 모든 것에 대해 마지막으로 쓴 기사는 AI에 관한 것이었으며, 우리가 생각하고 행동하는 합리적인 방식을 종식시킬 수 있는 AI의 능력에 관한 것이었습니다.대서양에 있어요.모두들 가서 읽어 보세요.80년 동안 가까이서 본 이 세상을 본 사람이 본 놀라운 광경이죠. 아름다움과 추함 모두를 가까이서 볼 수 있었죠.저는 이 책이 정말 흥미롭게 읽혔다고 생각했어요.

0:27:40.0 라구 난다쿠마라: 네, 그리고 저는 지난 6개월과 다음 6개월 동안의 제 경험을 근본적으로 표현하는 것을 좋아합니다.나머지는 전쟁 이야기죠, 그렇죠?그래야 신선함을 유지하고 관련성을 유지할 수 있죠.다음 단계로 넘어가기 전에 먼저 말씀드리고 싶은데요, 학습에 대해 말씀하셨잖아요.실수로부터 배울 수 있게 해주었기 때문에 다른 사람들도 그럴 필요가 없었어요.제로 트러스트 전략에서 발견한 다른 중대한 실수는 무엇이었나요? 이제 수정했거나 적어도 머릿속으로는 합리화했는데 개선되어 더 맛있게, 더 적용하기 쉽게 만들었다고 생각하시나요?

0:28:22.6 존 킨더백: 제가 볼 수 있는 가장 큰 실수는 항상 유혹적이었는데, 너무 큰 실수를 너무 빨리 하는 것이었습니다.이제는 모든 직원이 조직 전체를 위해 이 모든 작업을 한꺼번에 수행하려고 하고 있으며 보호 표면의 개념을 실제로 체계화하고 있습니다.5단계 모델에서요.첫 번째는 '보호 표면을 정의'하는 것입니다.초기에는 '데이터 정의'라는 이름이 붙었습니다.거기엔 몇 가지 문제가 있었는데 사람들이 말했죠. “음, 저는 데이터 보호 외에 다른 용도로도 제로 트러스트를 사용하고 싶어요.”초기 목표는 데이터를 보호하고 네트워크를 강력한 데이터 보안 집행 지점으로 만드는 것이었습니다.그래서 곰곰이 생각해보니, 오, 이 업계에서는 잘 모르겠지만 어찌보면 수상한 공격 표면 완화 같은 일들이 많이 벌어지고 있습니다.공격 표면을 보면 마치 우주 같다는 생각이 들어요.

0:29:16.4 존 킨더백: 지속적으로 확장되고 있습니다.제 말은, 기술이 크게 유행했는데 컴퓨터 칩이 만들어졌죠, 그렇죠?그리고 1957년에 일어난 모든 일들을 잭 킬비와 함께 했습니다. 그는 집적회로를 발명한 공로로 노벨상을 받았죠. 집적회로의 선구자이기도 하죠.그가 노벨상을 수상하던 날 저도 그와 함께 있었어요.그래서 그를 만나서 어떻게 그런 일이 벌어졌는지, 모든 것에 대해 이야기를 나눠봤어요.1957년부터 말이죠. 밥 노이스도 같은 해에 다른 버전의 집적회로를 발명했기 때문이죠.그리고 그들은 각자 스스로를 컴퓨터 칩의 공동 발명가라고 생각하기로 합의했습니다.하지만 그리 오래되지 않은 1957년 그날 이후로 우리는 모든 것이 확장되고 폭발하는 빅뱅을 목격했습니다.따라서 일단 인터넷이 생기면 인터넷은 성장하고 성장합니다.저는 원래 도메인을 만든 사람 중 한 명을 만나볼 수 있을 만큼 나이가 들었는데, 여러분이 이 도메인을 뭐라고 부르는지 모르겠어요...마치 원래의 도메인 등록 대행자와 비슷하다고 할 수 있겠네요.

0:30:22.4 존 킨더백: 하지만 그냥 두 남자가 실물 공책을 들고 다니면서 이렇게 적었습니다. “아, 당신은 WWW가 되고 싶어요, 그렇죠?”인터넷은 너무 작아서 공책에 보관하고 종이에 적을 수 있었습니다.존 포스텔 (John Postel) 이라는 사람이었죠.그리고 그는 죽었지만 제 오랜 친구인 로드니 조페는 둘이 막 글을 쓰고 있었어요.내 말은, 그건 미친 짓이야.그리고 그건 그리 오래되지 않았어요.최초의 암호는 1961년 MIT에서 만들어졌습니다. 이 모든 것이 세계 역사에 비하면 아주, 아주 새롭습니다.아마도 처음 웹사이트를 만들 때보다 이 휠을 채택하는 데 더 오래 걸렸을 것입니다.그래서 저희가 조금 뒤쳐진 셈이죠.그리고 혁신은 너무나 흥미로워서 이를 보호하는 것은 한참 뒤쳐져 있습니다.시간이 좀 걸렸어요...건물은 수천 년 동안 지어졌습니다. 함무라비가 자신의 강령에서 건물이 무너져 누군가가 죽으면 그 건축업자를 처형하고 우리가 생각하는 구조 공학과 건축 법규를 만들었죠, 그렇죠?인터넷과 네트워크를 위해 아직 해본 적이 없는 일이죠. 올바른 방법으로 일을 하지 않은 사람들에게 책임을 물었습니다.함무라비가 해냈어요.어떻게든 우리 함무라비를 찾아야 해요

0:31:41.0 라구 난다쿠마라: 맞아요.그래서 보시면...요즘은 제로 트러스트가 참신한 아이디어에서 벗어났다고 생각하는데 피드백은 사실 효과가 없을 거예요.지금으로서는 적응이 잘 안 되네요. 그들은 제로 트러스트 전략이 절대적으로 옳다는 데 동의하지만, 채택하기가 매우 어렵다는 이야기죠.오늘 그 말을 들었을 때, 여러분의 반응은 어떠하며, 이에 대한 반응은 어떠신가요?

0:32:10.6 존 킨더백: 많은 사람들이 실제보다 더 어렵게 만들고 더 복잡하게 만드는 것 같아요.아주 간단하죠?네 가지 디자인 원칙이 있고, 이를 위한 다섯 단계 모델이 있습니다.그래서 여러분이 알아야 할 아홉 가지가 있습니다.아주, 아주 간단하게 할 수 있도록 설계되었죠.그해 초에 제 친구인 그렉 토힐 장군으로부터 전화를 받았는데 그렉 토힐 장군은 처음으로 은퇴한 공군 장군이었어요.그는 미국 연방 정부의 첫 CISO였습니다.그리고 그는 이제 CERT에서 근무하고 있습니다.그는 CERT를 운영하고 있고 우리 모두 CERT가 뭔지 알고 있죠?카네기 멜론으로 갔어요.그런데 그가 제게 전화를 해서 말했죠. 존, “사람들이 제로 트러스트를 왜 그렇게 복잡하게 들리나요?”제가 말했더니 우리는 그를 제로 트러스트 장군이라고 부릅니다.그래서 제가 말했죠. “이런 장군님, 모르겠어요.

0:32:55.0 존 킨더백: 사람들이 왜 복잡하게 들리는지 모르겠어요.”다른 사람들이 이에 대해 쓴 글을 읽었기 때문이죠.그리고 저는, 와, 저도 이걸 아직 하지 않았다면 겁이 날 것 같았어요.그렇죠?그리고 사람들과 말다툼도 해봤어요.네트워킹 행사에서 제로 트러스트에 대해 어떤 남자와 논쟁을 벌였는데 그는 제가 누구인지 알고 있었지만 그는 논쟁을 벌이려 했어요. 왜냐하면 그는 제로 트러스트에서 박사 학위를 받고 있으니까요.제가 이랬는데, 뭐라고요?왜 박사학위가 필요하죠?그냥 나가서 해봐그렇죠?하지만 그는 수업에서 듣거나 읽은 것들 때문에 저랑 논쟁을 벌였어요.제가 말했죠. 아뇨, 아뇨, 아뇨, 아뇨, 아뇨, 아뇨, 아뇨, 그건 옳지 않아요.아뇨, 하지만 제가 말했죠. 해본 적 있으세요?글쎄요, 아니요.좋아, 그럼 해봐야겠어.

0:33:37.4 존 킨더백: 이것은 경험적입니다.우리의 전체 비즈니스는 경험적입니다.저희는 학술 사업을 하고 있지 않습니다.패킷이 A 지점에서 B 지점으로 안전하고 효율적으로 이동하지 못한다면 실패한 것입니다.패킷이 무엇을 해야 하고 무엇을 하지 말아야 하는지에 대해 우리가 작성한 내용은 중요하지 않습니다. 중요한 것은 패킷이 그 역할을 했거나 하지 않았다는 사실입니다.그래서 중요한 건 노트북을 열어보라는 거예요.노트북이라는 아이디어도 제게는 아직도 미쳤어요. 왜냐하면 제 첫 컴퓨터가 K Pro 484였기 때문이죠. 왜냐하면 제 첫 컴퓨터는 운반이 가능하고 금속으로 만들어졌고 무게가 약 25파운드에 달했고 여기저기 옮길 수 있기 때문이죠.그리고 14.4 보드 모뎀이 들어 있었고 40메가바이트의 하드 드라이브가 있었습니다. 40메가바이트였죠.와우.그게 최첨단이었어요.이 모든 것이 아주, 아주 빠르게 진행되었으니, 나가서 해내야 합니다.한 번도 자동차 작업을 해본 적이 없는 정비사가 여러분의 차를 수리하는 걸 바라지는 않을 겁니다. 하지만 그들은 자동차 역학 박사 학위를 가지고 있으니 정말 끔찍할 거예요.아, 이런, 점화 플러그가 여기 있을 줄 알았는데여기, 이 책에 있다고 적혀 있던데요.그렇죠?그리고 넌, 그래, 손 더럽혀라, 이러고 있잖아.

0:35:02.3 라구 난다쿠마라: 그게 정말 마음에 들어요. 왜냐하면...당신은 제로 트러스트 이론을 근본적으로 만들었을 뿐만 아니라 수년간의 연습을 통해 실제로 다듬은 사람의 경험을 바탕으로 말씀하시는 것입니다.그리고 말씀하셨듯이, 실수를 저지르고 나서 이를 통해 교훈을 얻어 채택을 더 쉽게 할 수 있는 좀 더 세련된 모델을 개발하는 거죠.그렇죠?그리고 의심할 여지 없이, 점점 더 많은 실무자들이 제로 트러스트 전략을 도입하고 있기 때문이죠?이는 시간이 지남에 따라 계속 발전할 것입니다.그리고 오늘날 우리가 생각하는 전략이 내일은 아닐 수도 있습니다.자, 이제 그걸로 넘어가죠.

0:35:41.5 존 킨더백: 글쎄요, 사실 거기에 한 가지 의견이 있습니다.제로 트러스트에는 전략과 전술이라는 두 가지 큰 영역이 있다는 것을 기억하세요.거창한 아이디어의 전략도 마찬가지입니다.저는 그게 바뀔 거라고 생각하지 않아요.

0:35:53.0 라구 난다쿠마라: 네.

0:35:54.8 존 킨더백: 무슨 말이냐면 전술, 우리가 하는 방식인 것 같은데요, 그렇죠?제 멘토 중 한 분이 공군 대령이었는데 1차 걸프전의 수석 전략가이자 수석 전략가였는데 전략과 이에 대해 어떻게 생각해야 하는지를 가르쳐 주셨어요. 다들 전략과 전술을 혼동했다고 하더군요.그들은 자신들이 전략적이라고 생각하지만 전술적이라고 생각해요.이해해야 할 중요한 점은 전략이란 무엇이고 전술은 무엇인가입니다.전술은 여러분이 하는 것이죠, 그렇죠?그러니까 기술을 접할 때는 전술적이죠, 그렇죠?그게 핵심이죠.전술이죠.느낄 수 있어요.전략이란 사명 목표나 원대한 전략을 달성하기 위한 기본 원칙이 있는 아이디어입니다.따라서 이를 이해하는 것이 매우 중요합니다.그리고 제로 트러스트의 성공은 전략과 무관하지 않습니다.저는 단지 상용 기술을 사용하고 있었을 뿐인데, 정부 지도부, 군 지도부, 기업 지도부 등 그 지도부가 임무 목표나 원대한 전략적 목표를 달성하는 데 필요한 사이버 보안 시스템을 개발하는 방법을 이해할 수 있는 방식으로 사용하고 있었습니다.

0:37:16.1 존 킨더백: 군인 출신인 누군가가 존이 사이버 보안과 제로 트러스트에 도입한 가장 큰 성과는 이전에 아무도 이야기하지 않았던 대전략이라는 개념이라고 쓴 적이 있습니다.사람들이 항상 그리워하는 것이 바로 이것입니다.“저는 이 일을 영원히 해왔습니다.저는 다단계 인증을 사용해 왔어요.”물론, 이미 사용하셨지만 왜 사용하셨는지는 몰랐죠?그래서 '왜요? '라는 질문에 답하는 거죠.단지 사람을 인증하고 싶어서 그런 게 아니라 이런 특정한 비즈니스 성과가 특정 방식으로 제 비즈니스를 성장시키는 방식으로 이루어지길 원하기 때문이죠.

0:37:52.4 라구 난다쿠마라: 네, 동의합니다.그리고 말도 중요하죠.당신 말이 맞아요.일종의 전술은 시간이 지남에 따라 발전할 수 있다는 뜻이에요. 하지만 전략은, 대전략은 여러분이 정의한 것과 같아서 전체적으로 상당히, 상당히 일정해야 한다는 거죠.이제 앞서 말씀드린 내용으로 넘어가겠습니다. 전 세계 여러 정부가 중점적으로 다루고 있고 미국이 가장 두드러진 분야인데, 말씀드렸듯이 다른 예로 싱가포르, 호주, 영국을 언급했습니다.우선, 제로 트러스트 전략을 채택하고 그것을 실제로 체계화하는 움직임을 촉발시킨 것은 무엇일까요?우리는 엄청난 수년간 이런 대규모 사이버 사고와 사이버 침해를 겪어왔습니다.그렇다면 미국 정부가 지난 2~3년 동안 제로 트러스트를 그렇게 심각하게 받아들일 수밖에 없었던 이유는 무엇일까요?

0:38:51.8 존 킨더백: 글쎄요, OPM 데이터 유출, 스노든, 매닝, 텍세이라와 같은 것들이 아주 큰 피해를 입혔습니다.이로 인해 정부는 정신을 차리고 이렇게 말했습니다. “아, 사이버 보안은 여러 면에서 스파이 행위에 대항하는 역할도 합니다.”그래서 영화 줄거리 시나리오를 보았고, 이제 현실로 돌아가고 있습니다.현실에서는 그들이 어떻게 바라보는지에 대해 알아봐야 합니다.양자 내성 암호화 분야에서는 많은 연구가 이루어지고 있습니다. 실제로 존재하지 않는 것, 즉 양자 컴퓨팅에 맞서려고 하는 그런 것이죠.하지만 일단 그런 일이 발생하면 우리가 이에 대비하지 않으면 단기적으로 엄청난 피해를 입게 될 거라는 걸 그들은 이해하고 있습니다.그래서 저는 기술이 주는 교훈 중 하나는 최악의 시나리오에 대비하는 것입니다. 최악의 시나리오가 발생한 후 훨씬 늦게 대비하는 것과는 대조적으로 말이죠.

0:39:49.7 라구 난다쿠마라: 그래서 저는 여러분이 제로 트러스트와 정체성에 관한 대통령에 대한 권고 사항인 CISA NSTAC 보고서에 관여했거나 매우 많이 관여했다는 것을 압니다.그리고 네 가지 결론의 결론 중 두 가지를 꼽아볼까 합니다.이 두 가지 결론에 대해 논의하거나 의견을 듣고 싶습니다.그 중 하나는, 미국 정부가 제로 트러스트를 수십 년 동안 지속적이고 일관되고 혁신적인 전략의 토대가 아니라 수년 단위로 측정된 단절된 기술 보안 프로젝트의 모음인 불완전한 실험이 될 위험을 감수한다는 내용입니다.그렇다면 이런 작은 실험들이 갖는 어려움은 무엇일까요?이제 제로 트러스트에 대해 그런 통일된 접근 방식을 취하려는 의도인가요?

0:40:31.6 존 킨더백: 사람들이 그런 방향으로 나아가게 하려는 의도인 것 같아요.저는 우리가 모두 같은 방향으로 향하고 있거나 북반구에 있다면 북극성 쪽으로, 대체로 북극성 쪽으로 향하고 있는 것처럼 이야기합니다.남반구에 있다면 남십자 쪽으로 가죠.하지만 여러분이 모두 같은 방향으로 가고 있다면, 비록 병렬화가 많이 이루어지더라도 결국 같은 장소에 있게 될 것이고 결국에는 수렴하게 될 것입니다.그래서 제가 흥미롭게 생각하는 것은 우리 모두가 같은 방향으로 가고 있다는 것입니다.NSTAC 보고서는 우리가 어디로 가야 하는지에 대한 일종의 북극성 같은 것이죠.사실 제가 생각했던 것만큼 분열이 많이 벌어지지는 않고 있습니다.저희는 이 보고서를 22년 2월 20일, 2월 23일에 전달했습니다.그렇죠?

0:41:18.6 존 킨더백: 그리고 우리는 원래 2월 22일에 배송했습니다.그러니까 2/22/22라고 할 수 있겠네요.그리고 수정이 필요했죠.그래서 2/23/22가 되었죠.하지만 어쨌든, 그건 다른 누구도 흥미롭다고 생각하지 않는 이상한 일이에요.하지만 제가 알아낸 것은 그 이후로 모든 연방 정부 기관에는 제로 트러스트 프로그램 관리 사무소와 제로 트러스트 프로그램 책임자가 있다는 것입니다.그래서 이건 대단한 운동이에요. 헌신적으로 일하는 사람이 있다는 거죠. 바로 이 일을 해내야 한다는 거죠.그래서 1년 정도 만에 인센티브 구조를 바꾸셨군요.다시 말씀드리지만, 인센티브는 매우 중요합니다.Charlie Munger의 이야기를 다시 말씀드리자면, 사람들은 인센티브를 받는 방식에 따라 행동할 것입니다.그리고 인센티브도 마련되어 있습니다.따라서 결과는 궁극적으로 올바른 방식으로 이루어질 것입니다.10년이 걸릴까요?

0:42:13.7 존 킨더백: 3년이 걸릴까요?모르겠어요.저는 오랫동안 이 문제에 대해 오랫동안 게임을 해왔습니다. 적어도 제 생각에는 인터넷이 한동안은 존재할 거라는 걸 깨달았기 때문이죠.그렇죠?그러니까 아무데도 안 갈 거예요.죽거나 그런 일이 생기기 전에 서둘러 고칠 필요가 없어요.제 나이에는 서둘러 문제를 해결해야 할 때가 아니에요.그렇지 않으면 일찍 오지 않을 수도 있으니까요.그러니까 인터넷은 저보다 오래 살게 될 거예요.그리고 제로 트러스트는 저보다 오래 살 거예요.하지만 사람들이 데이터와 자산, 애플리케이션, 서비스를 보호할 방법을 찾고 나아갈 수 있는 북극성이 되었으면 좋겠습니다.개념적으로 레퍼런스 아키텍처로서 일반적으로 어떻게 하느냐가 중요한 것이 아닙니다.

0:43:00.4 존 킨더백: 조직에 있는 이 특정 데이터 유형에 대해 구체적으로 어떻게 처리하느냐가 관건입니다.그런 다음 다음 데이터 유형, 즉 다음 응용 프로그램으로 넘어갑니다.그리고 점진적으로 하고, 반복해서 하는 거죠.그리고 이런 작은 단위로 사이버 보안을 취합해서 작은 소모품으로 쪼개서 처리하면 큰 문제죠.자, 이제 여러분은 이 모든 것을 파괴하지 않도록 만들었습니다.망치면 대부분의 사람들이 알아차리지도 못할 정도로 아주 작은 물건도 망가뜨리게 됩니다.그리고 저한테는 그게 장점이라고 생각해요. 두려워하지 않아도 된다는 거죠.커리어 내내 저는 초기 워크숍과 초기 토론을 몇 번 해봤을 때 성공하리라는 것을 알고 있었습니다.그리고 그 일에 대해 아주 세게, 열심히, 거의 전투를 촉발시키고 싶어할 정도로 싫어하는 사람이 항상 있을 거예요.

0:43:51.0 존 킨더백: 그리고 침착하게 그들의 질문에 침착하게 대답하고 모든 것을 헤쳐나가는 법을 배워야 했어요.하지만 찰칵 소리를 내며 전구를 볼 수 있는 순간은 언제나 있었습니다.그리고 갑자기 그 사람이 몇 분 전에 맞서 싸웠던 것을 가장 강력하게 옹호하는 사람이 되었죠.한 컨퍼런스에서 제가 플립차트 앞에 서서 다른 사람을 위해 무언가를 그리고 있는 걸 봤어요.누군가 다가갔다가 가는데, 그게 완성된 거예요. 뭐든 말이에요. 그들이 한 불쾌한 댓글이라고 해봅시다.그래서 저는 “아, 그래, 어떻게 생각해?”그리고 제가 그 그림을 그려주던 사람이 방금 그 말을 했더니, 페이지를 뒤집어서 말했죠. “아니, 이해가 안 돼요.”그리고 그는 마치, 왜냐면 제가 방금 똑같은 대화를 나누고 있었기 때문이죠.그래서 저는 제로 트러스트를 옹호하고 이 사람에게 제로 트러스트가 왜 효과가 있었는지 보여주고 다른 누군가에게 그것이 왜 효과가 있는지를 보여주는 것이었죠.그렇죠?

0:44:42.5 라구 난다쿠마라: 네.

0:44:44.8 존 킨더백: 그래서 시간이 지나면서 그 작은 전구들이 계속해서 켜지는 것을 볼 수 있었습니다.그리고 그것이 부분적으로는 제가 다른 일을 배워야 한다는 두려움이었다는 걸 깨달았죠.제 직업이 바뀔 거예요.저는 변화가 싫어요.부분적으로는...저는 항상 이런 말을 들었어요. “우리가 항상 해오던 방식은 아니에요.”제 대답은 “글쎄요, 우리가 항상 해왔던 방식으로는 별로 효과가 없었죠, 그렇죠?”그리고 세번째로, “새로운 일이나 그 이상은 하고 싶지 않아요. 더 열심히 일하고 싶지 않아요.”그리고 제가 그걸 더 쉽게 할 수 있게 해준다는 걸 보여줄 수 있다면 말이에요.그는 한 사람이 제게 이렇게 말했습니다. 최초의 제로 트러스트 네트워크를 구축하는 데 걸린 시간보다 제로 트러스트에 대해 논쟁을 벌이는 시간이 더 길었죠.그는 이렇게 말했습니다. “너무 빨리 일어난 일이에요.

0:45:33.3 존 킨더백: 그리고 너무 안정적이어서 그 후 바로 휴가를 떠났어요.”사람들이 제가 휴가를 간다는 걸 믿지 못했다는 거예요.제가 말했죠. “네, 휴가 가도 돼요. 효과가 있어요.”문제가 생기면 저한테 전화할 수 있어요. 하지만 어떻게 고쳐야 할지 직관적으로 알아낼 수 있어요.그게 중요한 순간이었어요. 여러분이 가시는 선에서 이런 점들이 있었죠. 아, 각각의 문제는 달랐지만 원칙을 비즈니스 문제에 적용하고 성공을 거둘 수 있었던 여러 조직과의 개인적인 경험을 통해 그림이 그려지기 시작했습니다.

0:46:08.8 라구 난다쿠마라: 존, 난 그냥...제가 말씀드리고 싶은 건, 맞아요, 거의 5분 정도 지난 것 같아요. 전략이 왜 중요한지, 전략적인 관점에서 전략에 어떻게 접근해야 현실적인 진전을 이룰 수 있는지를 아주 멋지게 요약하신 것 같아요.그리고 조금 아하 순간, 전구를, 상대방이 빛을 발하는 순간을 가지면 그들은 거의 여러분의 가장 강력한 지지자가 될 것입니다. 그렇죠?제 생각에 이 에피소드에서 다른 이야기를 듣지 않는다면 그 5분이면 충분히 소화해야 할 것 같아요.자, 이제 다른 이야기로 넘어가고 싶어요.또 다시 말씀드리지만, 지난 글에서 문화에 대해 말씀하셨잖아요.

0:46:48.2 라구 난다쿠마라: 그리고 저는 당신의 친구인 조지 피니가 작년에 제로 트러스트에 관한 책을 썼다는 것을 압니다. 당신이 오히려 앞서서 쓴 것 같아요. 그는 문화에 대해 많이 이야기합니다.다시 말씀드리지만, 이것이 NSTAC 보고서의 또 다른 결론 중 하나입니다. 제로 트러스트를 향후 10년 및 그 이후에 걸쳐 사이버 보안 성과를 의미 있게 변화시키는 진정한 전략으로 실현하기 위한 것입니다. 미국 정부는 이제 제로 트러스트 문화를 제도화하기 위해 일련의 정책 조치를 취해야 합니다.그렇다면 제로 트러스트 문화란 무엇을 의미할까요?이것이 무엇을 상징할까요?

0:47:20.8 존 킨더백: 글쎄요, 이것이 의미하는 첫 번째 의미는 제로 트러스트를 사용하여 이 원대한 전략적 목표를 달성하기 위해 사람들을 하나로 모으는 것입니다.그래서 저는 한 대기업에서 초창기 제로 트러스트 워크숍을 진행했던 기억이 납니다.17개 부서에서 온 70명의 직원이 있었습니다.17개 부서 모두 서로를 싫어했어요.그들은 회사 내에서 라이벌이었어요.그리고 그들은 모두 저를 싫어했어요.그리고 그들은 그곳에 있어야 한다는 사실이 싫었어요.그 일이 끝날 무렵 우리는 그 많은 장벽을 허물었습니다.그리고 우리는 협업적인 것을 만드는 방법을 알아냈죠.저는 항상 사람들이 제로 트러스트 센터 (Zero Trust for Excellence Center) 에 따라 기술뿐 아니라 리더도 영입할 수 있는 무언가를 만들자고 제안합니다.

0:48:07.3 존 킨더백: 그 지도자들은 이렇게 말할 수 있으니까요. “좋아, 내가 이렇게 해야 한다는 건 알지만 무서워, 내가 잘못하면 어쩌지?”제가 해고당할까요?하지만 리더가 와서 꼭 해야 한다고 말한다면 그 부담에서 벗어날 수 있고 올바른 인센티브를 얻을 수 있습니다.그래서 한번은 최고 법무 책임자를 워크숍에 초대했는데 다들 “왜 이 사람이 여기 있는 거지?”글쎄요, 그 사람이 맡은 일은 회사의 지적 재산권, 즉 수억 달러의 수익을 창출한 특허를 보호하는 것이었습니다.그리고 그는 그 방법을 전혀 몰랐습니다.그래서 그가 3일간의 워크숍을 마쳤을 때는 이제 하루로 줄어들었습니다.하지만 그 당시에는 제가 좀 더 장황하게 말했던 것 같아요. 솔직히 말해서, 알아내려고 노력했었죠.

0:48:44.4 존 킨더백: 그리고 그는 모든 것을 꿰뚫어 보았어요.그러자 그는 이렇게 말했습니다. “좋아, 내가 챔피언이 될게, 자금을 찾을게, 너희들은 나가서 해봐.그리고 당신이 회사의 특허를 보호하기 위해 최고 법률 책임자를 위해 뭔가를 한다면 곤경에 빠질 일은 없겠죠.그렇죠?”그래서 에어 커버를 찾거나 뭐든 할 수 있는 거죠.대통령이 내린 행정명령이 그들에게 준 것이 바로 이것입니다.미국 연방 정부가 기관 간 제로 트러스트 거래소를 운영하고 있는 것처럼 말이죠. 이 거래소는 미국의 CISO 그룹이죠.모범 사례를 공유하기 위해 모인 미국 연방 정부는 스스로 문화를 만들어 냈습니다. 그들이 공통의 북극성을 가졌다는 사실을 바로잡아야 했기 때문입니다. 공통의 임무 목표였기 때문에 문화를 파악해야 했습니다.

0:49:30.2 존 킨더백: 우리는 이런 상황을 계속해서 목격하고 있습니다.새로 발표된 호주 사이버 보안 전략 문서에는 제로 트러스트에 대한 언급이 하나 있습니다. 하지만 여기에는 제로 트러스트 문화를 만드는 방향으로 나아가야 한다고 적혀 있습니다.맞아요.그 중 많은 부분이 교육, 경험, 실험실 작업, 다른 사람들과의 대화, 그리고 주로 보호해야 할 것이 무엇인지 알아내는 데서 비롯됩니다.따라서 이는 혁신적인 결과를 낳습니다. 이제 환경에 중요한 것이 무엇인지, 무엇을 보호해야 하는지 이해하는 연습을 통해 왜 보호해야 하는지 알게 되고, 무엇을 보호해야 하는지 알게 되면 어떻게 보호할 것인지 파악해야 하기 때문입니다.

0:50:16.5 존 킨더백: 일반적으로 우리는 이 문제에 가능한 한 많은 기술을 투입하고 무언가를 발견하기를 바라려고 노력해 왔습니다. 그렇죠?클라이언트가 한 명인 것처럼 모든 것을 공개하면 클라이언트가 한 명인 것 같아요. 아니면 이전 직장에서는 인터넷에 11홉, 인터넷에 11홉을 사용했는데 모두 보안 기술이었죠. 아무 일도 일어나지 않도록 하기 위해서죠.그리고 나쁜 점은, 그곳은 사용할 수 없는 환경이었다는 것입니다.홉이 11개인 경우 작업을 완료하는 데 얼마나 걸리는지 알고 계신가요?세 개의 방화벽과 두 개의 다른 IP, 그리고 두 개의 서로 다른 웹 콘텐츠 필터링을 거치게 되는 거죠.그리고 여기저기서 WAF도 있고요.그냥, 믿을 수 없는 일이었어요.믿을 수 없는 일이라는 건 알았지만 문제를 어떻게 해결해야 할지 몰랐어요.왜냐하면 그들은 자신들이 무엇을 보호하려고 하는지 몰랐기 때문이죠.그리고 그들은 자신들이 왜 그런 일을 하는지 정확히 알지 못했죠.그들은 단지 더 많이 얻을 수 있다면 더 좋을 거라고 생각했어요.더 많은 것이 항상 더 좋습니다.맞아요.

0:51:17.7 라구 난다쿠마라: 네, 전적으로 100% 입니다.

0:51:19.7 존 킨더백: 바비큐에서도 마찬가지입니다.사이버 보안 분야에서도 마찬가지일 것입니다.

0:51:21.7 라구 난다쿠마라: 아마도 질문에 답하는 것이 가장 쉬울 것입니다. 잘못될 수 없는 것이 무엇일까요?어쩌면 한편으로는 가능하겠죠.그럼, 마무리하기 전에 존 얘기로 넘어가죠?제로 트러스트가 클라우드 도입을 가속화하는 데 얼마나 중요하다고 생각하시나요?뜨거운 주제입니다.클라우드 보안은 사이버 보안의 주요 주제입니다.물론 그렇죠?앞서 이미 다룬 또 다른 한 가지는 제로 트러스트와 제너레이티브 AI의 관련성입니다. 제너레이티브 AI는 두 조직 모두 사용하고 있으며 잠재적으로 공격자들도 사용하는 대규모 언어 모델입니다.이 모든 상황에서 제로 트러스트는 어떤 역할을 해야 할까요?

0:52:10.2 존 킨더백: 제 생각에 가장 중요한 것은, 클라우드에 데이터나 자산 같은 것이 포함되어 있다는 것을 이해할 때, 워크로드, 무엇이라고 부르든, 그것이 중요하고 규제된다는 것입니다.그리고 일반적으로 보호되지는 않습니다.우리가 공동 책임 모델을 가지고 있다는 얘기는 늘 들으시죠.하지만 포레스터에서는 더 나은 용어를 생각해 낸 것 같아요. 제 친구 제임스 스테이튼이 생각해 냈죠.그는 그것을 고르지 않은 악수라고 불렀습니다.네, 그들은 우리에게 기본적인 도움을 주고 있어요.하이퍼바이저가 패치되었는지 확인하고 있어요.그리고 보안을 유지하기 위해 수동으로 사용할 수 있는 도구도 몇 가지 있습니다.하지만 일반적으로 저는 보안 위험을 클라우드 공급자에게 전가하지는 않습니다.저는 단지 데이터를 그곳에 저장하고 있을 뿐입니다.저는 이 회사의 하이퍼바이저를 주로 경제적인 목적으로 사용하고 있을 뿐입니다.

0:53:05.2 존 킨더백: 따라서 저는 여전히 해당 워크로드에 포함된 모든 워크로드의 보안을 책임지고 있습니다.이제 많은 사람들이 그 점을 이해하기 시작했어요.그리고 보통 잘못된 구성이라고 하는 심각한 클라우드 데이터 침해 사례가 몇 가지 있었습니다.이는 다른 날을 위한 또 다른 논의가 될 것입니다.하지만 기존의 기본 제어 기능만으로는 현대적 공격에 충분하지 않습니다. 펜 테스터인 사람들과 이야기를 나눈 것처럼, 일부는 매우 전설적이지만 기본 클라우드 보안 제어를 통과하는 데 아무런 문제가 없습니다. 그리고 관리 구조가 각각 다르기 때문에 멀티 클라우드 환경 전반에서 이러한 제어를 유비쿼터스 방식으로 관리하기가 어렵습니다.따라서 관리, 맞아요, 운영상 보살피고 먹이는 것 말이에요. 보안이 유지되는 모든 일을 하는 것이 가장 큰 비용이죠.

0:54:06.5 존 킨더백: 기술을 습득하는 게 아니라 운반하고 먹여 살리는 거죠?자식들이 있어요. 아시잖아요.애들을 구하는 건 그렇게 비싸지 않았어요.장기 요양 시설을 챙겨주고 먹여주기만 하면 계속 계속되는 거죠.그리고 절대 끝나지 않았죠.네, 그게 더 큰 비용 절감이죠.인수는 쉬웠습니다.작전, 어려운 일이죠.그래서 우리는 그걸 깨달아야 합니다.이것이 클라우드와 관련된 첫 번째 질문입니다.그리고 AI는 정말 정교한 공격을 만들 수 있을지도 모릅니다.하지만 인터넷에는 TCP/IP와 OSI 모델이라는 커다란 가드레일이 있죠?따라서 가능한 범위를 넘어설 수는 없습니다. 네트워크보다 문화적으로 훨씬 더 큰 피해를 줄 수 있습니다. 실제로 우리는 AI 유형의 기술을 사용할 수 있기 때문입니다.

0:55:05.0 존 킨더백: 제가 가장 좋아하는 AI에 대한 정의는 제 수학자 친구가 말한 것입니다. “AI는 통계와 if 문장을 더한 것입니다.”그리고 저는 이 그림이 정말 마음에 들어요. 너무 정확하기 때문이죠.인공지능이 제대로 작동하는 이유는 우리가 정말, 정말 빠른 컴퓨터를 가지고 있고, 함께 더 많은 컴퓨터를 얻을 수 있기 때문이죠. 그래야 우리가 이 일을 할 수 있기 때문이죠.지능적인 것처럼 보이지만 실제로는 계산에 불과합니다.하지만 같은 기술을 사용하여 우리가 할 수 있는 것이 무엇인지 알아낼 수 있습니다...허용되어야 하고 우리를 공격하는 것들에 신속히 대응해야 합니다.따라서 공격자가 우리를 상대로 우위를 점할 수 있을 뿐만 아니라 공격자를 상대할 때도 유리합니다.특히 기본 거부로 시작하는 제로 트러스트 정책을 만든 다음 특정 트래픽이 발생하도록 명시적으로 허용하는 경우에는 더욱 그렇습니다.

0:56:00.9 존 킨더백: 그러니까 존은 내가 구할 수 있는 자원만 얻을 수 있는 거지그리고 제가 할 수 없는 다른 것들도 있어요.그리고 제가 그들에게 연락해야 할 것 같으면 헬프 데스크에 가서 접근 권한을 요청해야 해요.그래서 저는 꽤 갇혀 있는 상태예요.그리고 그건 괜찮아요.그래야 되겠네요.하지만 우리는 아무 이유 없이 너무 많은 데이터에 너무 많은 액세스 권한을 부여합니다.스노든, 매닝, 테이셰이라가 이런 빅 데이터 침해를 저지를 수 있었던 이유는 보안이 근본적으로 나쁘기 때문이 아닙니다.하지만 그들은 자원에 접근할 수 있었기 때문에 절대로 만지거나 볼 수 없었어야 했습니다.그리고 확실히, 그들은 절대로 엑필을 다운로드할 수 없었어야 했어요.

0:56:42.9 라구 난다쿠마라: 자, 존, 이야기를 마치기 전에, 이 대화의 이 팟캐스트에서 가장 중요한 질문입니다.동명의 영화에서 진짜 대부 킨더바그 (Kindervag) 에서 당신을 연기하는 사람은 누구일까요?그리고 감독은 누구죠?

0:56:51.4 존 킨더백: 뭐라고요?우린 그 영화 원하지 않아요.정말, 정말 지루할 것 같아요.제 아내에게 물어보세요.사실 그런 것 같아요. 아무도 영화에서 저를 연기하지 않았으면 좋겠어요.그건 좀 이상할 것 같아요.사람들이 사람이 아니라 아이디어에 집중했으면 좋겠어요.그렇죠?가끔은 방해에서 벗어나고 싶을 때가 있어요.저는 조지 피니가 '프로젝트 제로 트러스트'라는 책을 쓰길 바랐어요.제 소파에서 시작됐어요.그리고 책을 쓸 기회도 있었어요.하지만 현실적으로 모든 것이 저에게서 온 것이라면 메시지는 그다지 중요하지 않습니다.하지만 당신이 아닌 다른 사람들이 그 메시지를 받아들인다면, 그 메시지는 더 강력한 메시지가 됩니다.

0:57:35.8 존 킨더백: 그리고 중요한 것은 메시지입니다.그래서 제로 트러스트의 성공, 랜섬웨어 차단 등에 관한 다큐멘터리가 있었으면 좋겠어요.멋지겠네요.제가 본 모든 것을 보여드리자면, 사람들이 스크린샷을 보내준 곳에서 이 랜섬웨어 트럭이 제 네트워크를 돌아다니려 했지만, 한 대의 컴퓨터에서만 가능했습니다.그 후로는 다른 데로 갈 수 없었죠.그리고 우리는 발견되었어요. 그래서 우리는 모든 원격 측정, 명령과 통제에 사용하려는 모든 핑을 살펴봤습니다.즉시 격리해서 정리할 수 있었죠.그게 바로 다큐멘터리예요.제가 보고 싶은 영화예요.

0:58:13.6 라구 난다쿠마라: 글쎄요, 존, 넷플릭스에서 그걸 의뢰하는 사람을 알고 있을지도 몰라요.

0:58:17.4 존 킨더백: 괜찮아.

0:58:18.1 라구 난다쿠마라: 정말 고마워요, 존여러분과 이야기를 나눌 수 있어서 정말 기뻤습니다. 언제나 밝고, 유익하고, 재미있었습니다.감사합니다.

0:58:23.1 존 킨더백: 고맙다, 친구야.

0:58:27.7 라구 난다쿠마라: 이번 주 세그먼트의 에피소드를 시청해 주셔서 감사합니다.2주 후에 다음 에피소드로 돌아오겠습니다.앞으로 제로 트러스트에 관한 더 많은 자료를 보려면 저희 웹 사이트 www.illumio.com을 방문하셔서 쇼 노트의 링크를 통해 LinkedIn과 X에서 저희를 찾아보시기 바랍니다.오늘은 여기까지입니다.제가 호스트인 라구 난다쿠마라입니다. 곧 더 많은 소식을 전해 드리겠습니다.

‍