전 세계 기업의 80%, "전체 제로 트러스트 보안 전략에 아이덴티티 중요"
옥타는 점점 많은 아시아 태평양(APAC) 지역 기업들이 제로 트러스트 보안 이니셔티브를 도입하면서 오늘날의 역동적인 사이버 위협 환경의 도전을 극복하고 있다고 밝혔다.
옥타의 의뢰로 펄스 Q&A가 발행한 2022년 아시아 태평양 지역 제로 트러스트 보안 현황 보고서에 따르면, 제로 트러스트 보안 정책을 도입한 아태 지역 기업의 비중이 2021년 같은 기간보다 18% 포인트 증가해 약 50%에 도달했다.
아태 지역 기업의 제로 트러스트 도입 비율(전년 대비 18% 증가)이 전 세계 수치(전년 대비 31% 증가)보다는 낮았지만 아태 지역의 거의 모든(96%) 응답자가 명확한 제로 트러스트 보안 정책을 적용 중이거나 2022년에 계획하고 있다.
동 보고서에 따르면 아태 지역 기업들은 점차 고도화되는 사이버 위협에 대응하기 위해 패스워드를 넘어, 보다 강력한 보안과 IAM(Identity and Access Management)이 필요하다는 인식에서 뒤처졌다. 전 세계 기업 중 아태 지역 기업들이 비밀번호가 없는 액세스 도입률이 가장 낮았는데 단 0.5%만 도입한 상태였고 향후 18개월 이내 도입 예정인 기업도 10%에 불과했다.
전 세계 기업 간에는 제로 트러스트의 아이덴티티 우선 접근이 중요할 뿐 아니라 필수적이라는 공감대가 형성되고 있다. 이를 통해 IAM을 다른 중요 보안 솔루션과 통합해 유저, 디바이스, 데이터 및 네트워크 액세스를 지능적으로 관리할 수 있는 강력한 중앙 컨트롤 포인트로 활용할 수 있기 때문이다.
보고서에 따르면, 전 세계 기업의 80%는 전체 제로 트러스트 보안 전략에 아이덴티티가 중요하다고 보고 있으며 추가적인 19%는 아이덴티티가 비즈니스 크리티컬한 요소라고 답했다. 아태 지역 응답자의 경우 아이덴티티가 전체 제로 트러스트 보안 전략에 중요하다고 답한 비율은 83%였으며, 추가적인 15%가 비즈니스 크리티컬하다고 답했다.
데이터, 네트워크, 디바이스 보안이 조사 대상 기업에게 최우선 사항이었지만 점점 많은 기업이 아이덴티티 중심 보안 모델에서 사람의 중요성을 인식하고 있다.
동 보고서는 아태 지역 기업이 직원에 대한 프로비저닝 및 디프로비저닝 자동화와 클라우드 인프라스트럭처에 대한 특권 계정 접근 작업을 향후 18개월 동안 보다 중요하게 보고 있다고 밝혔다. 답변에 따르면 도입율이 각각 22%에서 76%로, 43.5%에서 88%로 증가할 것으로 예측한다.
벤 굿맨(Ben Goodman) 옥타 아태 지역 수석 부사장 겸 제너럴 매니저는 “제로 트러스트 보안을 도입한 기업은 모바일, 원격 근무를 포함한 하이브리드 업무에 따른 도전을 극복할 수 있다. 네트워크와 자원을 액세스하기 위해 전통적 네트워크 경계에 기반한 낡은 보안 모델이 아닌, 아이덴티티 중심의 접근을 택할 수 있기 때문이다”고 말했다.
이어 그는 “우리 리서치에 따르면 아태 지역 기업들이 다른 지역에 비해 제로 트러스트 보안 도입이 늦었지만 98%의 응답자들이 이 접근에 아이덴티티가 중요하거나 미션 크리티컬하다고 인식하고 있다”고 말했다.
제로 트러스트 보안의 개념은 2009년부터 논의돼왔지만 많은 아태 지역 기업과 그 리더들이 그 효과에 대해 충분히 이해하지 못하고 있어 점차 고도화하는 보안 위협 환경에서 위험이 고조되고 있다.
단, 대부분의 아태 지역 기업은 악의적 행위자의 직원 및 시스템 데이터 침해를 중단시켜야 할 필요성에 대해 명확히 인지하며, 다른 지역 대부분의 기업과 달리 응답자의 75%가 비즈니스 크리티컬 애플리케이션 및 자원의 사용성에 비해 보안이 우선한다고 답했다.
아직까지 제로 트러스트 보안 정책을 도입하지 않은 아태 지역 기업 중 38%는 향후 6~12개월 내 도입할 계획이라고 밝혔다. 안타깝게도 여러 ICT 프로젝트와 마찬가지로 세계적 인력 부족이 상당한 난관이다. 아태 지역 기업의 31%가 인재 및 스킬이 부족하다고 답했다. 이해관계자 설득 부재 및 제로 트러스트 보안 솔루션에 대한 인지도 부족 역시 각각 18%의 응답자가 문제라고 지적했다.
동 보고서에 따르면, 아태 지역 기업은 대체로 2021년에 제로 트러스트 보안에 투자하겠다는 약속을 이행했다. 작년에 이 지역 76%의 기업이 제로 트러스트 보안 예산을 다소 혹은 대폭 늘리겠다고 답했으며 올해 조사에서는 아태 지역 기업의 82%가 다소 혹은 대폭 인상을 밝혔다.
제로 트러스트 보안이란 자원에 접속하는 모든 유저, 디바이스, IP 주소가 그렇지 않다고 입증되기 전까지는 위협이라고 가정하는 보안 프레임워크로 이를 도입하는 기업에서는 회사 네트워크에 연결을 시도하는 모든 것을 검증하기 위해 철저한 보안 컨트롤을 적용해야 한다.
모바일, 클라우드, 하이브리드 워크가 급격히 보급되면서 기업은 성(城) 주위에 ‘해자’를 만들어서 지키는 비효율적인 보안 모델을 아이덴티티 중심의 보다 민첩하고 총체적인 접근으로 대체해야 한다는 압력을 받고 있다.
제로 트러스트 보안의 맥락에서 아이덴티티는 사람이든 프로세스든 데이터를 회수, 삭제, 변경 등의 목적으로 액세스하려는 행위자를 뜻한다. 아이덴티티 중심 접근으로 기업은 올바른 사람에게 올바른 자원에 대한 올바른 수준의 접근권을 올바른 맥락에서 부여할 수 있으며 액세스를 지속적으로 평가할 수 있다.
아태 지역 기업의 IAM 성숙도를 평가하고 제로 트러스트 도입 현황을 파악할 목적으로 작성된 2022년 아시아 태평양 지역 제로 트러스트 보안 현황 보고서를 작성하기 위해 펄스 Q&A는 아태 지역 200명의 보안 리더를 대상으로 설문을 진행했다. 설문 문항에는 회사가 적용 중인 제로 트러스트 이니셔티브와 장단기적으로 어디에 우선순위를 둘 계획인지가 포함됐다.
헬로티 서재창 기자 |