"아직도 너무 많은 보안 실무자들이 사이버 보안에 관해 20세기 사고방식에 머물러 있습니다."
'제로트러스트(ZeroTrust)의 아버지'로 불리는 보안 거목의 따끔한 일침이다. 존 킨더바그(John Kindervag) 일루미오 수석 에반젤리스트는 기자의 "많은 보안 담당자들이 어떤 솔루션을 구축해야 제로트러스트를 구현할 수 있는지 헷갈려 한다"는 질문에 이 같이 답했다. 킨더바그는 '아무 것도 믿지 말고 끊임없이 검증하라'는 제로트러스트 개념을 창시한 인물이다.
미국 국립표준기술연구소(NIST)가 발표한 제로트러스트 관련 보안 지침 중 하나인 'NIST 1800-35'를 보면 제로트러스트 구현을 위해 어떤 솔루션을 구비해야 하는지 매핑해놓았다. 이에 기자는 한국 역시 구체적인 가이드라인을 통해 제로트러스트 구현을 앞당길 필요가 있어 제도적 뒷받침이 필요하지 않겠냐는 차원에서 질문을 던졌다.
그러나 킨더바그는 이 질문 자체가 20세기 사고방식이라고 지적했다. 그는 "중요한 것은 본질이다. 보안의 본질은 무엇입니까?"라고 반문했다. 그는 "무엇을 보호해야 하는지 정확히 아는 것. 그것이 보안의 시작"이라면서 "조직이 방어해야 할 자산, 즉 '방어 표면'을 식별하면 어떤 기술이 가장 유용한지 자연스럽게 알게 될 것"이라고 말했다.
이어 "전략은 변하지 않는다. 하지만 전술과 도구, 기술은 시간이 지남에 따라 변한다"며 "도구와 기술에 집중하면 조직을 막다른 길로 이끌 것이 분명하다. 그러나 많은 사람들이 기술에 매몰되고 있다"고 꼬집었다.
그의 말에 따르면 기자는 '우문'을 한 것이였고, 그는 '현답'을 했다. 또 기자의 '우문'처럼 많은 한국 기업들이 제로트러스트에 대해 잘못 알고 접근하고 있기도 하다. 즉, 제로트러스트 구현을 위한 핵심 요소에 집중하면서 '본질'을 놓치고 있는 것이다. 무엇을 지켜야 하는지도 모른채 온갖 보안 솔루션을 갖다 붙이기만 한다고 제로트러스트가 덩달아 구현되는 것은 아닌 것이다.
킨더바그는 "미국 정부의 제로트러스트 관련 지침을 보면 6가지 필라(Pillar, 기둥)을 제시하고 있다"며 "단단히 잘못됐다. 보안 담당자로 하여금 순차적으로 생각하게 만들기 때문이다. 첫 번째 필라를 구현하고, 다음 기둥을 해야 한다는 말인데, 실제로는 한 번에 하나의 보안 대상 영역을 지키는 것이 필요하다"고 지적했다.
제로트러스트 첫 번째 필라는 아이덴티티(identity, 신원 검증)다. 모든 조직이 제로트러스트 구현의 첫 단계라고 해서 신원 검증에만 몰두하고 있다면 그 조직의 신뢰도는 0에 수렴한다는 것이 킨더바그의 견해다. 또한 순차적인 접근에서 나아가 한국 조직들이 방어 표면을 식별하고, 각 방어 표면별로 필요한 보안 조치를 하는 것이 제로트러스트 구현의 지름길이라고 부연했다.
관련기사
- 제로트러스트보안협회, 'ZT 아버지' 존 킨더바그와 간담회2026.05.13
- "미국 가이드라인 맹신 말라"…제로트러스트 창시자의 일침2026.05.12
- 제로트러스트 창시자 "보안 본질, 데이터 유출 방지"2026.05.12
- 정부, 삼성전자에 긴급조정권 발동 시사..."내일이 마지막 기회"2026.05.17
제로트러스트는 미국이 선도하고 있다. 그런데 미국인인 킨더바그가 'K-제로트러스트'를 만들라고 한다. 킨더바그는 "미국의 제로트러스트 관련 지침은 미국 기업, 조직을 위한 것이다. 한국은 한국만의 것을 만들어야 한다"고 역설했다.
'뱁새가 황새 따라가다 가랑이 찢어진다'는 말이 있다. 무리한 모방은 도리어 화를 부른다. 그런데 뱁새의 둥지는 비바람에도 무너지지 않을 만큼 튼튼하다. 한국이 어떤 공격에도 무너지지 않는 '뱁새의 둥지'를 틀었으면 한다.
