Zero Trust를 위한 준비
지난 몇 년 동안 사이버 보안이라는 주제는 IT 부서의 문제에서 경영진의 문제로 바뀌었습니다. 지정학적으로나 경제적으로 불확실한 요즘의 분위기에서 사이버 공격의 위협은 그 어느 때보다도 거세졌고 규모와 산업을 막론하고 모든 기업에서 그 영향을 체감하고 있습니다. 심각한 피해를 초래하는 랜섬웨어 공격이 발생할 가능성에서부터 중요한 소비자 정보가 손상될 수 있는 데이터 유출에 이르기까지 사이버 공격의 위험은 실재하며, 막대한 피해를 초래할 수 있습니다. 조직에서는 사이버 보안과 관련하여 회복력을 키우고 대비를 강화할 필요성이 있음을 깨닫고 있습니다. 공격이 발생했을 때 대응하는 것만으로는 부족합니다. 회사에서는 사이버 보안 전략을 세울 때 필연적으로 발생하게 될 사건에 미리 대비해야 합니다.
최근 몇 년 사이에 가장 힘을 얻은 보안 전략은 Zero Trust라는 개념입니다. Zero Trust의 기본 원칙은 단순합니다. 아무것도 신뢰하지 말고 모든 것을 확인하라는 것입니다. 최신 Zero Trust 아키텍처가 떠오른 이유는 오늘날의 디지털에 분산된 환경에서는 기존의 경계 기반(성과 해자) 보안 모델만으로는 부족하기 때문입니다. 조직에서는 네트워크와 데이터에 액세스하는 모든 사용자, 기기, 시스템의 ID와 신뢰도를 인증하는 방식에 기반을 둔 전체적인 보안 전략을 도입해야 합니다.
Zero Trust가 기업 리더와 경영진의 관심을 끌기 시작한 후로 상당한 시간이 지났습니다. 그러나 Zero Trust는 이제 그저 논의 중인 개념이 아니라 필수가 되었습니다. 원격 근무나 하이브리드 근무가 일상화되고 사이버 공격이 더욱 격화되면서 기업에서는 보안에 대한 접근 방식을 근본적으로 바꾸어야 한다는 것을 깨닫게 되었습니다. 하지만 전략에 상당한 변화가 생길 때는 언제나 그렇듯이, Zero Trust를 구현하는 것은 까다롭기도 하거니와 노력이 지지부진할 수도 있습니다. 많은 기업에서 Zero Trust 방식과 기술을 구현하기 시작했지만, 일부 기업에서만 조직 전체에 완전히 구현하는 데 성공했습니다. 대부분 대기업의 경우, Zero Trust 이니셔티브가 구현 단계에서 멈춰 있는 것이 현실입니다.
새로운 리더십 역할의 등장
그러나 사이버 보안이라는 퍼즐 속에서 모든 것을 바꿀 만한 한 조각이 빠져 있었다면 어떨까요? 그건 바로 "최고 Zero Trust 책임자(CZTO)"라는 역할입니다. 이 역할은 내년 쯤이면 대규모 조직에서는 점점 보편화될 새로운 직책입니다.
기업에서 최고 Zero Trust 책임자라는 역할을 만든다는 생각은 작년에 Cloudflare의 현장 CTO 팀원과 미국 연방 정부 기관 사이의 대화에서 출발했습니다. 이와 유사한 직능이 처음 언급된 것은 백악관 각서로, 이 각서에서는 연방 기관에서 "Zero Trust 사이버 보안 원칙"으로 변경하도록 지시하고 30일 내로 “조직 내에서 Zero Trust 전략 이행 책임자를 지정하고 확인"할 것을 요구했습니다. 정부에서는 이런 역할을 대개 "차르"라고 부르지만, 기업에서는 "최고책임자"라는 직책이 더욱 적절합니다.
대규모 조직에서 업무를 효율적으로 추진하려면 강력한 리더가 필요합니다. 기업에서는 최고라는 단어로 시작하는 직책(예: 최고경영자(CEO), 최고재무책임자(CFO))을 가진 사람에게 가장 큰 리더십 책임이 부여됩니다. 이런 직책은 방향을 제시하고, 전략을 설정하며, 중요한 결정을 내리고, 일상적인 운영을 관리하기 위해 존재하며, 전반적인 성과와 실적을 이사회에 보고하는 경우가 많습니다.
Zero Trust를 위한 최고위 경영진이 생긴 이유는 무엇이고, 왜 지금 생겼을까요?
"모든 사람이 일을 담당하면 아무도 책임을 지지 않는다"라는 격언이 있습니다. 우리 관점에서 기업 내에서 Zero Trust를 구현하는 어려움을 생각해 보니 명확한 리더십과 책임의 부재가 심각한 문제로 보였습니다. 문제는 '조직 내에서 Zero Trust를 도입하고 실행할 책임을 맡는 사람이 *정확히* 누구인가?'입니다.
대기업에서는 Zero Trust 여정을 이끌 단 한 명의 책임자가 필요합니다. 이 리더는 명확한 권한을 가져야 하며 기업에 Zero Trust를 도입하는 것 하나에만 집중해야 합니다. 여기에서 최고 Zero Trust 책임자의 개념이 탄생했습니다. "최고 Zero Trust 책임자"는 그저 하나의 직책처럼 보이지만, 그 책임이 막중합니다. 이들은 다른 이들의 주목을 받고 Zero Trust에 대한 많은 장애물을 극복할 수 있습니다.
Zero Trust 도입의 장애물
Zero Trust의 구현에는 여러 가지 기술적 문제가 장애물로 등장할 수 있습니다. 일부 벤더의 복잡한 아키텍처를 이해하고 구현하는 데 시간이 걸리거나, 광범위한 훈련이 필요하거나, 전문 서비스 계약을 통해 필요한 전문성을 확보해야 할 수도 있습니다. Zero Trust 환경에서 사용자와 기기를 식별하고 확인하는 것도 까다로울 수 있습니다. 조직의 사용자 기반, 사용자가 속한 그룹, 애플리케이션과 장치에 대한 정확한 인벤토리가 필요합니다.
조직 입장에서 효과적으로 Zero Trust를 구현하려면 다양한 팀 사이의 협력이 중요합니다. IT, 사이버 보안, 네트워킹 그룹 사이의 사일로를 해체하고, 명확한 커뮤니케이션 채널을 설정하며, 팀원 사이에서 정기적인 회의를 열면 일관되게 보안 전략을 달성하는 데 도움이 될 수 있습니다. 변화에 대한 전반적인 저항도 상당한 장애물이 될 수 있습니다. 리더는 솔선수범, 투명한 커뮤니케이션, 변화 프로세스에 대한 직원의 참여 등의 방법을 사용하여 저항을 완화해야 합니다. 우려 사항을 미리 해결하고, 지원을 제공하며, 직원 교육 기회를 마련하는 것도 전환을 촉진하는 데 도움이 됩니다.
의무와 책임 - 뭐라고 불러도 좋습니다
하지만 조직에 CZTO가 필요한 이유는 무엇일까요? 또 다른 최고위 경영진이 꼭 필요할까요? CISO 조직에서 이미 보안을 관리하고 있는 사람을 할당하는 것은 어떨까요? 물론, 이런 질문은 충분히 나올 만합니다. 이렇게 한 번 생각해 보세요. 기업에서는 회사에 대한 전략적 중요성의 수준에 따라 직책을 할당해야 합니다. 최고 Zero Trust 책임자이든, Zero Trust 책임자이든, Zero Trust 부사장이든, 다른 어떤 직책이 되었든, 사람들의 관심을 끌고, 사일로를 해체하며, 관료적 형식주의를 헤치고 나아갈 수 있는 권한이 있어야 합니다.
과거에도 새로운 최고위 경영진이 생겨난 사례는 있었습니다. 최근 들어서는 최고 디지털 전환 책임자, 최고 경험 책임자, 최고 고객 책임자, 최고 데이터 사이언티스트 등의 직책이 등장했습니다. 최고 Zero Trust 책임자라는 직책은 영구적이 아닐 가능성이 큽니다. 무엇보다도 이 역할을 맡은 사람은 회사 경영진과 이사회의 지원을 받아 Zero Trust 이니셔티브를 발전시킬 권한과 비전이 있어야 한다는 것이 중요합니다.
2023년의 Zero Trust 도입
이제 Zero Trust 보안의 도입은 많은 기업에 있어 필수가 되었습니다. 기존의 경계 기반 보안 모델로는 오늘날의 지능적인 위협으로부터 보호하기에 충분하지 않기 때문입니다. Zero Trust 구현에 수반되는 기술적, 조직적 문제를 해결하기 위해서는 CZTO의 리더십이 중요합니다. CZTO는 Zero Trust 이니셔티브를 지휘하고, 팀원들을 조정하며, 원활한 롤아웃에 방해가 되는 장애물을 제거하게 됩니다. 최고 경영진에 CZTO의 역할이 신설되면 회사 내에서 Zero Trust가 중요하다는 것이 강조됩니다. 그러면 Zero Trust 이니셔티브가 성공하는 데 필요한 관심과 리소스가 모이게 됩니다. 지금 CZTO를 임명하는 조직이 앞으로는 최고의 자리에 오를 것입니다.
Zero Trust를 위한 Cloudflare One
Cloudflare One은 Cloudflare의 Zero Trust 플랫폼으로, 배포하기 쉬우면서도 기존 도구 및 벤더와 매끄럽게 통합됩니다. 이는 Zero Trust의 원칙을 기반으로 하며 조직에 전 세계적으로 운영되는 종합적인 보안 솔루션을 제공합니다. Cloudflare One은 Cloudflare의 전역 네트워크에서 제공됩니다. 즉, 여러 지역, 국가, 네트워크 공급업체, 기기에서 매끄럽게 작동한다는 것입니다. Cloudflare는 전 세계에 진출해 있으므로 실시간 인터넷 인텔리전스를 사용하여 최신 위협을 차단하고 인터넷 연결 상태가 좋지 않은 곳과 중단된 곳을 피해 트래픽을 라우팅하는 최적화된 백본을 통해 트래픽을 보안, 라우팅, 필터링합니다. 또한, Cloudflare One은 업계 최고의 ID 관리 및 엔드포인트 보안 솔루션과 통합되어, 현재와 미래의 기업 네트워크 전체를 아우르는 완전한 솔루션을 구현합니다. 자세한 내용을 알고 싶다면 여기에 알려주세요. 연락드리겠습니다.
아직 누군가와 대화하는 것을 피하고 싶으신가요? Cloudflare One의 거의 모든 기능은 최대 50명의 사용자가 무료로 사용할 수 있습니다. 많은 대규모 기업 고객이 Free 요금제에서 Zero Trust 제품을 직접 살펴보는 것부터 시작합니다. 여기 링크를 참조하세요.
다른 Zero Trust 벤더를 이용하고 계신가요?
Cloudflare의 보안 전문가는 Zero Trust 아키텍처와 예시 구현 일정을 제공하기 위한 벤더 중립적 로드맵을 구축했습니다. Zero Trust 로드맵 https://zerotrustroadmap.org/는 Zero Trust 구현의 장점과 모범 사례에 대해 자세히 알아보려는 조직에 좋은 리소스입니다. 현재의 Zero Trust 여정에서 정체된 기분이 든다면 최고 Zero Trust 책임자에게 Cloudflare로 문의하도록 하세요!