규모와 분야를 막론하고 모든 조직에서 신뢰도가 떠러낮아지면 큰 비용을 치러야 할 수 있습니다. 신뢰를 구축하고 유지하려면 조직에서는 보안을 사후 조치 대상으로 고려하는 것이 아니라 운영의 핵심이 되어야 하는 근본적인 요소로 인식해야 합니다.
조직에서는 디지털 변환의 이점과 기회를 모두 누리고 있습니다. 하지만 이로 인해 조직은 사이버 위협과 공격에 더 취약해졌습니다. 데이터 도난, 랜섬웨어 공격, 공급망 침해, 기타 형태의 위협은 금전적 손실을 초래할 뿐만 아니라 고객 신뢰도 무너뜨립니다. 이러한 사고는 고객, 직원, 파트너, 벤더 등 다양한 이해관계자와의 비즈니스 관계에 영향을 미칩니다. 조직에서는 보안 침해가 금전적인 영향뿐만 아니라 평판과 신뢰에도 해를 끼쳐 고객과 상업적 기회에 영향을 미친다는 사실을 인식해야 합니다.
최근 여러 보고서에서는 사이버 위협과 공격이 조직에 미치는 부정적인 영향이 강조되고 있습니다. IBM과 Ponemon 연구소의 2023년 데이터 유출 비용 연구에 따르면, 전 세계 데이터 유출 건당 평균 비용이 445만 달러로 사상 최고치를 기록했습니다. 이는 조직에서 보안에 우선순위를 두고 사이버 위험을 완화하기 위한 사전 조치를 취해야 할 필요성이 시급함을 의미합니다.
보안 우선 문화는 보안을 모두의 책임으로 여기는 문화입니다.
조직에서 변화하는 위협 환경에 효과적으로 대응하고 신뢰를 높이려면 조직 내에서 이러한 문화를 조성해야 합니다. 게다가 많은 조직에서는 사이버 공격의 피해를 입게 되면 영업권, 매출, 고객과의 신뢰를 잃을 수 있다는 두려움 때문에 이를 공개하는 것을 주저합니다.
첫 번째 단계는 직원들에게 사이버 보안 원칙을 교육하는 것입니다. 직원들은 교육을 통해 피싱 이메일을 식별하고, 소셜 엔지니어링 기법을 인식하며, 강력한 비밀번호와 데이터 보호의 중요성을 이해해야 합니다. 사이버 보안에 대한 인식과 지식을 심어줌으로써 조직에서는 직원들이 사이버 위협에 대한 1차 방어선이 될 수 있도록 역량을 강화할 수 있습니다. 조직에서는 변화를 주도하고 보안 정책을 준수하며 조직 전반의 투명성을 유지할 수 있는 전담 사이버 보안 책임자를 채용하여 여러 부서에 배치해야 합니다.
보안 우선 문화는 처음에는 어려울 수 있지만, 장기적으로는 조직에 도움이 됩니다.
Zero Trust는 기존의 경계 기반 보안 아키텍처의 대안입니다. Forrester Research에서 처음 만든 용어로, '절대 신뢰하지 않고 항상 확인한다'는 원칙을 바탕으로 합니다. Zero Trust 보안은 네트워크 경계 안팎에서 프라이빗 네트워크의 리소스에 액세스하려는 개인과 장치의 신원을 엄격하게 검증하는 IT 보안 아키텍처입니다.
Zero Trust 네트워크 액세스(ZTNA)는 Zero Trust 아키텍처와 관련된 주요 기술이지만, Zero Trust는 네트워크 보안에 대한 전체적인 접근 방식으로, 몇 가지 원칙과 기술을 통합한 것입니다. 이 방법을 이용하면 네트워크 내에서 내부망 이동 가능성을 제한하는 보호 계층을 추가하여 보안 침해의 영향을 최소화할 수 있습니다.
랜섬웨어 공격에 대한 이 Gartner 보고서에서 밝힌 인사이트에 따르면, 2025년까지 조직의 60%가 보안을 위한 출발점으로 Zero Trust를 도입할 것이라고 합니다. IDC의 최근 설문조사에 따르면 BFSI 업종에 속한 기업의 77.8%가 이미 소프트웨어 정의 경계를 지원하는 솔루션과 정책을 구현했고, 52.2%는 SD-Branch 구성 요소의 도입 및 투자를 검토 중이며, 54.4%는 Zero Trust 아키텍처를 구현하고 관련 보안 솔루션에 투자할 계획인 것으로 나타났습니다.
기존의 보안 전략은 오늘날의 복잡하고 변화무쌍한 사이버 위협으로부터 조직을 보호하기에 더 이상 적합하지 않습니다. 내부 소스와 외부 소스 모두에서 공격이 발생할 수 있는 세상에서 네트워크 내의 신뢰할 수 있는 주체에 의존하는 경계 기반 보안 접근 방식은 더 이상 실행 가능하지 않습니다. Zero Trust 접근 방식은 생산성, 투명성, 데이터 신뢰성을 높여 직장에서 보안 우선 문화를 조성하는 데 큰 도움이 될 수 있으므로 조직에 이상적입니다.
네트워크 경계 내에 있는 각 직원은 먼저 자신의 신원을 인증해야만 중요한 정보에 대한 액세스 권한이 부여되며, 이에 따라 각 직원에게 책임과 의무가 부과됩니다.
Zero Trust 보안 모델은 기존 보안 솔루션 이상의 다양한 이점을 다음과 같이 제공합니다.
생산성 향상: 기존 모델과 달리 Zero Trust는 중요한 정보에 대한 액세스를 제한하여 디지털 자산 및 자격 증명의 잠재적 손상을 최소화합니다. 이를 통해 팀은 원격으로 작업할 수 있어 생산성이 향상됩니다.
안정성 향상: 기존의 보안 프레임워크의 경우 최신 웹 사이트와 브라우저에서 사용하는 복잡한 알고리즘을 처리하는 데 어려움을 겪는 경우가 많습니다. 반면 Zero Trust 시스템에서는 사용자와 장치를 철저하게 검증하므로 더 원활한 탐색과 더 나은 사용자 경험이 제공됩니다.
투명성: Zero Trust를 통해 조직에서는 모든 단계에서 사용자를 확인하여 비정상적인 행동을 감지하고 잠재적인 데이터 유출을 신속하게 완화할 수 있습니다.
데이터 보호 및 신뢰성: Zero Trust는 공격자가 디지털 자산에 무단으로 액세스하는 것을 방지하고 피싱 시도에 대응하기 위해 확인 계층을 추가합니다.
위험 감소: 엄격한 신원 및 액세스 확인을 통해 Zero Trust 자산에 대한 무단 액세스와 관련된 위험이 크게 줄어듭니다. 또한 보안 침해에 대한 추적 및 평가도 간소화됩니다.
데이터 유출과 사이버 공격이 만연한 이 시대에 조직에서는 소중한 자산을 보호하고 고객 데이터를 보호하며 이해관계자의 신뢰를 유지하기 위해 Zero Trust와 같은 선제적이고 포괄적인 보안 전략이 필요합니다.
Zero Trust를 통해 신뢰할 수 있는 조직을 구축하려면 보안이 모두의 책임이라는 보안 우선 사고방식으로의 문화적 전환이 필요합니다. 이러한 보안 접근 방식을 구현함으로써 조직에서는 보안 태세를 강화하고 이해관계자와의 신뢰를 구축하며 사이버 공격 및 위협으로부터 자체를 더 잘 보호할 수 있습니다. Zero Trust는 지속적인 프로세스이며, 조직에서는 새로운 위협에 앞서 나가기 위해 보안 제어를 업데이트하고 평가하는 데 주의를 기울여야 합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 글은 원래 CIO Influence를 위해 작성되었습니다.
Jonathon Dixon
APJC 부사장 겸 MD, Cloudflare
이 글을 읽고 나면 다음을 이해할 수 있습니다.
Zero Trust로 신뢰받는 조직을 구축하는 데 필요한 변화
보안 우선 문화는 보안을 모두의 책임으로 여기는 문화입니다
기존의 보안 전략은 오늘날의 복잡하고 변화하는 사이버 위협으로부터 조직을 보호하는 데 더 이상 적합하지 않습니다