👍 베스픽의 원픽
美 대통령 취임하자마자 챙긴 ‘제로 트러스트’,
한국은 8% 수준
안녕하세요. 베스픽 구독자 여러분.
4월 한 달간 ‘클라우드 보안’ 이야기를 들려드리고 있습니다.
지난 베스픽에서 옛날 보안과 요즘 보안이 다른 점을 말씀 드리면서 아무도 믿지 않는 ‘제로 트러스트‘에 대해 잠깐 소개해 드렸는데요.
요즘 이 개념이 핫합니다. 오늘 베스픽만 읽어도 한번에 이해되도록 딱딱 핵심만 짚어보겠습니다.
🙅 제로 트러스트란? – 신뢰 개념의 제거, 0에서 시작
제로 트러스트 개념의 핵심 3
- 모든 사용자, 패킷, 네트워크 인터페이스 및 장치에 기본 신뢰 수준인 0 부여
- 최소 권한 액세스 시행
- 포괄적인 보안 모니터링 구현
존 킨더백은 ‘제로 트러스트’가 시스템을 신뢰할 수 있게 만드는 것이 아니라, 보안 전략에서 신뢰 개념을 제거하는 것이라고 설명합니다.
모든 사용자, 패킷, 네트워크 인터페이스 및 장치를 신뢰할 수 없으면 자산 보호가 간단해진다는 것이죠.
그런데 10년 전에 나온 ‘제로 트러스트’가 왜 이렇게 핫할까요?
🇺🇸 바이든 대통령, 취임하자마자 ‘제로 트러스트’ 명령!
바이든 대통령은 ‘제로 트러스트’가 필수라고 말하며 사이버 보안 전략을 강화하고 있습니다.
21년 1월에 구성된 바이든 행정부는 5월에 행정명령을 통해 연방정부와 클라우드 서비스 공급업체가 ‘제로 트러스트’ 보안 정책을 채택하고 이에 따른 원칙과 프레임워크를 준수하도록 했습니다.
연방정부의 사이버 보안을 현대화하고, 클라우드 서비스로의 전환을 가속화하기 위해 제로 트러스트 아키텍처는 필수, 각 기관장은 이를 구축하기 위한 계획을 60일 이내에 수립하도록 명령하고 있죠.
올해 1월에는 Log4j 취약점을 언급하며, 미국 정부가 ‘제로 트러스트’ 아키텍처로 완전히 전환하기 위한 연방 전략도 발표합니다
클레어 마토라나(Clare Martorana) 연방 최고 정보 책임자(CIO)는 “절대 신뢰하지 말고 항상 확인하라”고 강조하고 있습니다. 미 행정부의 보안 로드맵에 따르면 2024년 9월 말까지 모든 기관은 ID, 장치, 네트워크, 데이터, 응용프로그램에 ‘제로 트러스트’ 보안이 충족되어야 합니다.
AWS, 구글클라우드, Azure와 같은 클라우드 서비스 업체는 물론 수많은 SaaS 업체가 미국을 기반으로 서비스를 하고 있는 만큼 ‘제로 트러스트’가 개념이 아닌 실행이 되어야 하는 때가 도래한 것이죠.
🇰🇷한국 기업 8%만 ‘제로 트러스트’ 진행중 – 어떻게 시작해야 될까?
옥타의 ‘2021 APAC 지역 Zero Trust 보안 현황 리포트‘에 따르면 ‘제로 트러스트’ 보안을 현재 진행중인 한국 기업은 8%에 불과했습니다. 2천대 글로벌 기업의 53%라는 수치에 비하면 굉장히 낮은 수준이죠.
리더로 선정된 아카마이(Akamai), 임퍼바(Imperva) 두 곳인데요. 특히 아카마이는 API 보안면에서 더 우수한 평가를 받았다고 하네요.
하지만 82%는 12~18개월 내에 시작할 계획을 가지고 있습니다.
그렇다면 ‘제로 트러스트’를 무엇부터 어떻게 시작해야 할까요?
‘제로 트러스트’는 솔루션이 아니지만 제로 트러스트 기반 보안 인프라는 다양한 솔루션을 사용하여 구현할 수 있습니다. 기존 보안 인프라를 완전히 폐기하기보다는, 전략에 맞는 새로운 도구를 추가하며 구성할 수도 있고요.
✔️ 구체적으로는 정의된 사용자와 등록된 디바이스만,
✔️ 신뢰할 수 있는 네트워크에서 접속 가능하게 하고,
✔️ 업무에 사용하는 모든 앱, 데이터 등은 이 네트워크를 통해서만 접속할 수 있게,
✔️ 그리고 모든 행위에 대한 로그를 저장하고 감사할 수 있도록 보안 환경을 구성해야 합니다.
베스핀글로벌은 클라우드 사용 전 과정의 안전한 보안을 위해 국내 최초로 글로벌 솔루션들과 제로 트러스트 얼라이언스를 구축한 통합 상품을 제공하고 있습니다.
▶️ 사용자 인증(IDP)은 ‘옥타(okta)’
▶️ 네트워크 보안(SASE)은 ‘지스케일러(zscaler)’
▶️ 디바이스 제어 및 관리(MDM)는 ‘마이크로소프트 인튠(Microsoft Intune, Windows용)’과 ‘잼프(jamf, Mac용)’
▶️ 엔드포인트 보안(EDR)은 ‘크라우드스트라이크(CROWDSTRIKE)’와 연계했습니다.
📰 안보면 클나우
금융위, 클라우드 활용·망분리 규제 개선 추진 발표 더보기
금융위가 해외사례를 참고하여 CSP 평가 항목을 간소화하고 절차도 개편하겠다고 밝혔습니다. 망분리도 고객 정보를 다루지 않을 경우 예외로 두겠다고 하네요. 핀테크 업계에서 크게 환영하는 분위기입니다.
메타, 자체 VR 플랫폼에서 크리에이터 대상 수익화 테스트 더보기
2030년까지 메타버스 시장이 $13조 규모로 성장할 것으로 예측되는 가운데, 메타가 메타버스 수익화를 실험한다고 밝혔습니다. 로블록스, 제페토 등도 가상경제 생태계 구축 움직임을 보이고 있습니다.
[기고] 디지털플랫폼 정부, 보안에 성패 달렸다 더보기
러시아-우크라이나 침공을 비롯하여 전 세계적으로 사이버 공격의 빈도와 피해 규모가 점점 늘어나고 있는데요. 베스핀글로벌 이한주 대표가 정책 설계와 전문가 육성 등 클라우드 환경에 맞는 보안 대비책을 마련해야 한다고 권고했습니다.
☁️ 안쓰면 클나우
클라우드 비용의 20%는 이것?
지난 베스픽에서는 클라우드의 ‘미사용 자원’을 줄이는 것만으로 클라우드 비용의 20%를 줄일 수 있다고 소개드렸는데요.
그렇다면 클라우드에서 ‘미사용 자원’이란 무엇이고, 왜 발생하는 것일까요? 곳곳에 숨어있는 미사용 자원을 간단히 찾아낼 수 있는 방법도 함께 알려드립니다.
클라우드 도입 사례, 관리와 비용 절감을 위한 팁은 물론 국내외 IT 업계 소식까지
당신의 클라우드 원픽 뉴스레터 베스픽에서 만나보세요.
뉴스레터를 구독하시면 매주 화요일, 가장 먼저 베스픽을 받아볼 수 있습니다 🙂