제로 트러스트 전략 중심에 '아이덴티티 보안' 둬야

기업들은 진화하는 사이버 위기로부터 끊임없이 비즈니스를 보호해야하는 상황을 맞이하고 있다. 특히 업무 환경에 로보틱 프로세스 자동화(RPA)나 물리적 로봇, 사물인터넷(IoT) 시스템과 같이 인간이 아닌 자원들이 증가하면서, 이 아이덴티티들을 보호하기 위해 강력한 아이덴티티 및 액세스 관리 실행이 매우 중요해지고 있다.

대다수의 기업들은 제로 트러스트에 대응하기 위해 싱글 사인 온(SSO)이나 다단계 인증(MFA)과 같은 액세스 관리 및 인증을 사용하는 경우가 많다. 물론 이는 중요한 보안 컴포넌트들이지만, SSO나 MFA만으로는 충분하지 않다. 제로 트러스트에는 조직의 안전과 규정 준수를 보장하기 위해 인간 및 비인간 아이덴티티 전반에 걸친 포괄적인 아이덴티티 및 제로 트러스트 전략이 포함된 전체적인 보안 솔루션이 필요하다. 아이덴티티 보안이 제로 트러스트 보안 아키텍처의 핵심이 되어야하는 이유이다.

제로 트러스트 보안은 그 누구도 신뢰하지 않고 항상 확인한다는 원칙을 기반으로 한 모델로, 아이덴티티 인증이 완료되기 전까지는 그 어떤 사용자나 디바이스, 리소스, 애플리케이션도 신뢰하지 않는 보안 방식이다. 기본적으로 모든 네트워크 트래픽이 신뢰할 수 없는 경우, 아이덴티티를 기반으로 하는 보안 전략만이 유일하게 실행 가능한 보안 전략이 된다.

디멘셔널 리서치가 수행한 최신 리포트에 따르면, 전세계 315명의 보안 및 IT 전문가들에게 기업 보안 및 아이덴티티 실행, 제로 트러스트 모델 도입에 대해 조사한 결과 장소에 관계없이 운영, 클라우드 사용 증가, 보안 위협 증가 등의 원인으로 인해 98%의 기업이 제로 트러스트 보안 모델을 도입하게 되었으며, 이를 통해 가시성 향상, 사전 위협 탐지, 보안 사고 감소, 복원력 향상 등을 기대하고 있는 것으로 나타났다.

이 조사에서 거의 대부분인 97%가 아이덴티티가 제로 트러스트 보안 모델의 중심 컴포넌트임에 동의했으며, 다만 전문성 부족이 제로 트러스트를 채택하지 못하는 주요 원인이라고 답했다.

조직에서 제로 트러스트 전문성과 쉽게 통합되는 솔루션이 필요하다면, 아이덴티티 보안 솔루션에서 무엇을 살펴 보아야 할까?

디지털 수명 주기 전반에 걸쳐 모든 사용자 액세스에 대한 탐지, 관리 및 제어를 자동화하기 위해서는 아이덴티티 솔루션 중심에 인공지능(AI) 및 머신러닝(ML)이 필요하다. 이렇게 되면 조직의 각 아이덴티티가 항상 작업을 수행하는데 필요한 적절한 액세스 권한을 가질 수 있다.

또한 기업이 생산성이나 혁신을 방해받지 않고 액세스할 수 있도록 지원하는 동시에 하이브리드 및 멀티 클라우드 환경, 원격 작업, 멀티 디바이스 등을 포함한 모든 곳에서 비즈니스를 보호할 수 있도록 강력한 아이덴티티 보안 솔루션이 필요하다.

모든 유형의 디지털 아이덴티티에 대한 액세스를 관리함으로써 조직은 조직 및 위협적인 환경 전반에 걸쳐 진행 중인 변화에 적응하고 대응할 수 있는 제로 트러스트 프레임워크를 구축할 수 있다.

이를 위한 주요 원칙 중 하나는 ‘절대 신뢰하지 말고 항상 인증하라’는 것이다. 상황에 맞는 업데이트된 아이덴티티 데이터를 사용해 정확한 액세스 결정을 내릴 수 있다. 단순한 인증 결정을 넘어 권한, 자격, 속성 및 역할을 포함해 각 사용자에 대한 완벽한 아이덴티티 기록을 사용함으로써 조직은 각 직원에게 필요한 액세스 권한을 확인하고 부여할 수 있게 된다.

다음으로는 ‘충분하면서 시기 적절한 액세스 제공’으로, 역할과 함께 복합적인 정책 로직을 사용해 최소 권한을 적용하는 것이다. 액세스에 대해 명확하고 세부적인 역할이 정의된 조직은 액세스를 쉽게 할당, 조정, 제거할 수 있으므로 사용자가 필요한 리소스에만 액세스할 수 있다.