보안 업계, 제로 트러스트를 수용하다
제로 트러스트 프레임워크는 나온 지 10년이 되었고, 상당한 관심을 받아왔지만 정작 제대로 도입되기 시작한 것은 1~2년밖에 되지 않았다. 451그룹의 최근 설문조사에 따르면 불과 13% 정도의 기업만이 제로 트러스트의 길을 걷기 시작했다. 판매업체들이 늦장을 부렸다는 것이 한가지 중요한 이유이다.
제로 트러스트의 갑작스러운 부각은 2014년으로 거슬러 올라간다. 구글이 비욘드코프 구상(BeyondCorp initiative)을 발표한 해다. 구글은 제로-트러스트 시스템을 구축하는데 크게 투자한 것으로 전해졌다. 그러나 기업들은 이를 따르지 않았다. 그들은 구글이 아니었기 때문이다.
그러나 제로 트러스트는 현재 탄력을 받고 있다. 커닝험은 “이제야 눈에 띄기 시작했다”면서 “5 ~7년 전에는 이 접근법을 구현할만한 능력이 없었다. 이제는 가능해졌다”라고 말했다.
오늘날, 판매업체들은 다각적으로 제로 트러스트를 내세우고 있다. 예를 들어, 최근의 ‘포레스터 웨이브 : 제로-트러스트 엑스텐디드 에코시스템’(Forrester Wave: zero-trust eXtended Ecosystem, ZTX) 보고서에는 차세대 방화벽 업체인 팔로 알토 네트웍스(Palo Alto Networks), 매니지드 서비스 공급자인 아카마이 테크놀로지스(Akamai Technologies), 신원 관리 사업자인 오크타(Okta), 보안 소프트웨어 선두 업체인 시만텍(Symantec), 마이크로 세그멘테이션 전문 업체인 일루미오(Illumio), 그리고 특별 권한 액세스 관리 사업자인 센트리파이(Centrify)가 이 생태계에 속한 업체로 이름을 올렸다.
아울러, 시스코, 마이크로소프트, VM웨어 역시 저마다 제로 트러스트 상품을 내놓고 있다. 포레스터 웨이브에 따르면 시스코와 마이크로소프트는 유력 업체로 분류되고, VM웨어는 후발주자이다.
그렇다면, 경계 방어를 구축하고 보강하는데 수백만 달러를 지출해온 기업이 어떻게 갑자기 진로를 바꾸고 있을까? 기업 본사에서 일하는 임원이든, 스타벅스에서 일하는 협력업체이든, 아무도 신뢰하지 않겠다는 모델을 어떻게 도입하고 있을까?
제로 트러스트 모델을 시작하는 법
첫 번째의 가장 명확한 추천안은 작게 시작하는 것이다. 커닝험의 표현대로라면 “바다 전체가 아니라 한 주전자의 물만 끓여보는 것이다. 나라면, 판매 업체와 외부 업체를 다루는 것부터 시작할 것이다”라고 말했다. 다시 말해 네트워크의 다른 부분으로부터 이들을 격리할 방법을 찾는 것이다.
가트너의 애널리스트인 닐 맥도널드 역시 견해를 같이 한다. 그는 출현 중인 3가지 제로 트러스트 응용 분야를 다음과 같이 소개한다. 즉, 공급망 협력업체를 위한 신종 모바일 애플리케이션, 클라우드 마이그레이션 계획, 소프트웨어 개발자에 대한 접근 제어이다.