하이브리드 근무 환경 모델의 인기가 계속 증가함에 따라 조직은 건강한 보안 상태를 유지하기 위해 빠르게 전환해야 합니다. 이 모델이 제공하는 유연성 등의 이점에도 불구하고, 안타깝게도 의도하지 않은 결과를 초래하고 있습니다. 소셜 엔지니어링, 피싱 공격, 랜섬웨어와 같은 새롭고 진화하는 사이버 위협은 새로운 업무 환경에서 일하는 직원들 사이에서 점점 더 보편화되고 있습니다.
사람들이 어디서나 일하는 세상에서 기업은 경계를 늦추지 않으려면 도식화된 보안 관행에 의문을 제기해야 합니다. 지난 몇 년 동안 '제로 트러스트(Zero Trust)' 방법론은 기업과 기업의 운영을 보호하기 위한 바람직한 접근 방식으로 등장했습니다. 제로 트러스트 원칙이란 검증과 인증을 통해 지속적으로 신뢰도를 증명할 때까지 처음에는 모든 사용자와 장치를 적대적으로 취급하는 것을 의미합니다.
실제로 제로 트러스트는 직원들을 염두에 두고 구현하지 않을 경우 일원화된 접근 방식처럼 여겨지고 마찰의 원인이 될 수 있습니다. 따라서 우리는 이런 질문들을 해 봐야 합니다. 보안 관행이 지난 몇 년 동안 정말로 직원들을 더 자유롭게 만들었을까? 아니면 '모든 것을 잠그는' 이전의 방식을 단지 새로운 이름으로 부르고 있을 뿐일까?
제로 트러스트는 왜 재검토되어야 할까?
제로 트러스트 모델 자체는 문제가 되지 않습니다. 대신, 기업들이 어떻게 이 모델에 접근했는지가 문제입니다. 제로 트러스트는 기업이 보안에 대한 세분화된 리스크 기반 접근 방식을 채택하여 직원에게 향상된 유연성을 제공하는 동시에 보안 상태 요구사항의 균형을 유지하도록 지원하기 위한 것이었습니다.
실제로 조직은 정기적으로 중요한 기업 데이터에 액세스하든 그렇지 않든 간에 모든 직원에게 동일한 엄격한 규칙을 적용하는 방식으로 제로 트러스트를 채택하는 경우가 많습니다. 많은 사람들이 위험을 매핑할 때 개별 업무 기능을 고려하지 않기 때문에 아무도 신뢰하지 않습니다. 이는 "안전하거나 덜 위험한" 역할을 수행하는 사람들의 생산성을 상당히 제한할 수 있습니다. 예를 들어, 접근 절차에 특히 시간이 많이 걸리는 경우 소포 배달원이 기업 부사장과 정확히 동일한 기업 보안 표준을 준수하도록 하는 것이 과연 타당할까요?
제로 트러스트는 개별 업무 기능과 사용자 경험, 민첩성 및 혁신에 집중해야 하는 조직의 전반적인 요구 등 비즈니스의 다른 모든 측면보다 보안을 우선시하는 것을 의미해서는 안 됩니다.
일상 속에서 제로 트러스트를 엄격하게 적용하는 조직일수록 직원들의 반발이 커질 수 있습니다. 직원의 업무 기능이 엄격한 보안 통제로 인해 방해받는 경우, 직원들은 이를 해결할 방법을 찾을 것이며, 이는 수많은 새로운 보안 문제를 야기할 수 있습니다.
'제로 트러스트'라는 용어 자체에도 문제점이 있습니다. 특정한 'IT 언어'에 대해 잘 모르는 직원의 입장에서 보면, 자신의 업무를 '신뢰'(또는 신뢰받지 못함)하는 방식에 대해 부정적인 의미로 쉽게 인식될 수 있습니다.
'테일러드 트러스트'의 필요성
이런 점을 고려할 때, 직원의 요구사항을 균형 있게 조정하면서 제로 트러스트 원칙을 수용하기 위해서는 어떻게 해야 할까요?
조직은 제로 트러스트에 대해 맞춤형, 즉 '테일러드 트러스트(Tailored Trust)' 접근 방식을 채택해야 합니다. 이는 제로 트러스트 원칙을 활용하되 리스크 프로파일링과 결합하여 업무 기능을 적절히 반영한 정밀 조사를 통해 사용자 및 장치를 처리하는 것을 의미합니다. 이는 '개인 주도형' 접근 방식으로, 조직뿐 아니라 개인이 절차의 중심에 위치하여 보안에 영향을 주지 않으면서 보다 유연한 환경을 제공합니다.
이 접근 방식에는 몇 가지 주요 요소를 고려해야 합니다. 첫 번째 단계는 직원 개인의 근무일에 접속해야 하는 애플리케이션 및 데이터와 관련해 작업 기능과 관련된 위험을 이해하는 것입니다. 이러한 위험은 위치, 데이터 민감도 또는 사용 중인 장치 등일 수 있습니다.
두 번째 요소는 직원 경험에 큰 영향을 미칠 수 있는 검증의 개념입니다. 식당에 가서 자신의 이름으로 예약을 하고 도착 시 프론트 데스크에서 신분증을 요구 받는 것을 상상해 보세요. 이는 합리적인 방법입니다. 이제 매 5분마다 대기 직원이 여러분에게 신분증을 보여달라고 다시 요청한다고 상상해보세요. 여전히 합리적이라고 생각되십니까?
이것을 사무실 환경으로 바꿔 생각해 보면, 우리는 지속적인 인증 요청이 직원에게 어떤 영향을 미칠 수 있는지 고려해야 합니다. 균형이 있어야 하며, 위험에 따라 적절한 수준이 적용되어야 하며, 특히 이 위험이 변화하는 경우에 더 중요합니다. 식당의 예로 돌아가서, 직원들이 들어온 사람들과 완전히 다르다는 것을 알아차린 경우에만 신분증을 다시 보여달라고 요청하는 경우가 있습니다. 다른 말로 하면, 변화한 것들과 어울리지 않는 것들을 찾아야 합니다. 검증은 꼭 필요하지만 최종 사용자가 불편을 감수해서는 안 됩니다.
이러한 제로 트러스트 접근 방식을 사용하는 고객의 좋은 예로는 선도적인 해충 방제 및 상업 위생 서비스 공급업체인 렌토킬 이니셜(Rentokil Initial)이 있습니다. 보안 팀은 인텔리전스 플랫폼을 사용하여 사용자 행동을 기반으로 위험을 식별하여 프로파일링에 도움을 받을 수 있습니다.
테일러드 트러스트의 연장선상에서 보안 교육에 대한 기업의 접근 방식은 전반적인 보안 상태를 반영해야 합니다. 다른 형태의 교육과 마찬가지로 보안 교육도 특정 직무 기능 또는 수준에 맞게 개인화되어야 합니다. 직원들은 자신과 관련이 없는 보안 교육은 건너뛸 가능성이 높기 때문에 IT 팀에 추가적인 문제가 발생합니다.
많은 조직이 제로 트러스트 보안에 대해 엄격한 접근 방식을 채택하고 있는 것은 놀라운 일이 아닙니다. 사이버 공격의 수가 증가함에 따라 IT 팀은 보안 조치를 강화하고 인프라를 보호하기 위해 필수 규정을 마련해야 한다는 압박을 받고 있습니다. 디지털 플로어플랜(Digital Floorplan) 보고서에 따르면 2022년에는 전년도에 비해 유럽, 중동 및 아프리카 지역의 모든 곳에서 데이터 침해가 더 많이 발생했습니다. 하지만, 우리는 협의점을 찾아야 합니다.
특히 대퇴사(The Great Resignation) 이후, 우리는 사이버 보안이 직원의 경험과 업무 수행 능력을 위협하는 경우 사이버 보안을 최우선으로 여길 수 없게 되었습니다. 분명 제로 트러스트를 원칙적으로 사용하는 것은 나쁜 결정은 아닙니다. 하지만, 숙고를 거쳐 현실적인 방식으로 적용되어야 합니다.