"2년 안에 제로 트러스트 세분화…아이덴티티가 첫 걸음"

"향후 2년 안에 제로 트러스트도 세분화된 영역이 나타날 겁니다. 아이덴티티는 제로 트러스트의 핵심이자 첫걸음이 될 것입니다."

아시아태평양 및 일본지역의 비즈니스를 총괄하는 벤 굿맨 옥타 APJ 수석부사장 겸 제네럴 매니저는 19일 강남파이낸스센터에서 열린 기자간담회에서 '제로 트러스트 보안 현황'에 대해 발표하며 이같이 말했다.

옥타는 최근 아태지역에서 제로 트러스트 관련 연구를 실시해, '2022년 아시아 태평양 지역 제로 트러스트 보안 현황' 보고서를 발표했다. 해당 보고서에는 아태 지역의 보안 리더 200명을 비롯해 전 세계 700명의 보안 리더를 대상으로 한 설문 조사 결과가 담겼다.

■ 아태기업 절반, "아무것도 믿지 마라" 제로 트러스트 도입

제로 트러스트는 "어떤 것도 신뢰하지 말고 항상 확인하라"는 보안 철학이자, 보안이란 자원에 접속하는 모든 유저, 디바이스, IP주소가 입증되기 전까지는 위협이라고 가정하는 보안 프레임워크를 말한다. 성벽을 쌓아 외부의 침입을 막는 전통적인 보안 방식에서 탈피해 방어할 경계가 없는 클라우드 기반 환경에서 모든 엔티티를 신뢰하지 않는 것이 핵심이다.

2022년 글로벌 시장조사기관 포레스터에 따르면 제로 트러스트는 ▲모든 엔티티는 기본적으로 신뢰할 수 없고 ▲최소 권한 액세스를 적용하며 ▲포괄적인 보안 모니터링을 시행하는 것이 세 가지 핵심 원칙이다.

옥타는 "올해 제로 트러스트 보안 정책을 도입한 아태 지역 기업의 비중은 2021년 같은 기간보다 18%포인트 증가해 약 50%에 달했다"며 "아태 지역 기업의 제로 트러스트 도입 비율은 전 세계 수치보다는 낮았지만, 아태 지역의 96% 응답자가 명확한 제로 트러스트 보안 정책을 적용 중이거나 올해 계획하고 있다"고 밝혔다.

옥타는 기업이 제로 트러스트 보안 이니셔티브를 구현할 때 3가지 과제를 겪게 된다고 설명했다. 제로 트러스트를 잘 이행할 숙련된 인재 및 스킬의 부족이 가장 큰 과제였다. 이외에 임원 등 이해 관계자의 동의 부족, 솔루션에 대한 인식 부재도 제로트러스트 전략을 이행하는 데 저해 요소로 작용했다.

■ 가장 많이 도입된 아이덴티티 프로젝트는 '직원 대상 MFA 확장'

벤 굿맨 옥타 APJ 수석부사장은 "기업 보안에 있어서 만병통치약은 없다"며 "보안은 기술도 필요하고 서비스나 기업 문화의 전환까지도 같이 봐야 하는 사안"이라고 강조했다.

이어 "제로 트러스트는 기술이 아닌 전략"이라며 제로트러스트 도입 시 거치는 성숙도를 ▲전통적 단계 ▲새로운 시도 단계 ▲성숙 단계 ▲상승 단계 ▲진화 단계 등 5단계로 설명했다.

전통적 단계에서는 연결되지 않은 디렉터리, 공격 대상의 무분별한 확산, 아이덴티티 기반 공격 등 기본적인 아이덴티티 문제를 겪는 것으로 나타났다.

보고서에 따르면 1단계의 아이덴티티 프로젝트에서는 '직원 대상의 다중인증(MFA) 확장'이 가장 많이 도입된 것으로 나타났다. 설문 조사 결과, 전 세계 응답자의 70% 이상이 이미 1단계를 통과한 것으로 나타났으며, 95%의 응답자가 향후 12~18개월 내에 1단계 프로젝트를 완료할 계획인 것으로 나타났다.

2단계에서는 M&A 활동 등으로 이질적인 시스템 전반에서 활동을 상호 연결이 많이 이뤄지는 상황에서 외부 사용자를 대상으로 MFA를 확장하고, 직원 대상의 싱글사인온(SSO)를 구현한다.

아태지역 기업의 70%가 SSO를 이미 구현한 것으로 나타났으며, 30%는 향후 12~18개월 내 구현할 계획이라고 답했다.

3단계 성숙기에 접어든 조직은 보안 컴플라이언스와 규제 요구 사항의 증가, 하이브리드 인프라 등 복잡한 과제를 해결하기 위해 직원과 레거시 네트워크를 넘어 아이덴티티 액세스 관리(IAM) 프로젝트를 확장해야 한다. 여기에 속한 기업은 클라우드 인프라에 대한 권한있는 액세스 관리(PAM)을 수행하는 데 주력한다.

5단계에 진입한 조직은 이전 단계들에서 제로트러스트 프로젝트 구현을 강조했던 것과 달리 생체 인식 기반 로그인, U2F 보안 키 등 신뢰도가 높은 인증요소를 사용하는 패스워드리스 액세스를 구현하는 쪽으로 바뀌었다.

아태 지역은 패스워드리스 액세스 방식의 도입률이 전 세계에서 가장 낮은 것으로 나타났다. 이 방식을 이미 구현한 응답자는 0.5%에 불과했고, 향후 18개월 내 구현할 계획이라고 답한 응답자도 10%에 그쳤다.

■ 아태 기업 82% "제로 트러스트 보안 예산 늘릴 것"

보고서에 따르면 지난해 제로 트러스트 보안에 투자하겠다고 말한 아태 지역 기업은 대체로 그 약속을 지킨 것으로 나타났다. 지난해 76%의 기업이 제로 트러스트 보안 예산을 다소 혹은 대폭 늘리겠다고 답했으며, 올해 조사에서는 82%의 기업이 다소 혹은 대폭 인상을 밝혔다.

벤 굿맨 옥타 APJ 수석부사장은 "제로 트러스트 보안을 도입한 기업은 아이덴티티 중심의 접근을 통해 모바일, 원격 근무를 포함한 하이브리드 업무에 따른 도전을 극복할 수 있다"고 말했다.

아이덴티티 중심 접근을 통해 기업은 올바른 사람에게 올바른 자원에 대한 올바른 수준의 접근권을 부여할 수 있으며, 액세스를 지속적으로 평가할 수 있다는 설명이다.

이어 그는 "제로 트러스트는 단일한 기술을 가지고 하룻밤에 만들 수 없다"며 "적절한 파트너와 협력해 제로 트러스트 여정의 단계에서 활용할 수 있는 솔루션을 구현하고, 기존 보안 인프라와 통합해 나가야 한다"고 말했다.

관련기사

옥타는 기업 아이덴티티 분야를 선도하는 글로벌 기업으로, 클라우드 기반 IAM시스템과 SSO 아이덴티티 솔루션을 제공한다.

옥타는 SK C&C, 쿠팡, 코빗, 스푼, 아모레퍼시픽 등 다수의 한국 고객을 확보하고 있다. 옥타의 한국 파트너로는 메가존클라우드, 카카오엔터프라이즈, 베스핀글로벌, SK, GS네오텍 등이 있다.