[디지털투데이 황치규 기자] 대부분 보안 회사들이 '제로 트러스트'를 슬로건으로 들고 나오면서  조직 내 보안 팀들 사이에서 혼선이 적지 않다는 후문이다. 모두가 제로 트러스트를 한다 하니 각자 사정에 맞게 현실적인 제로 트러스트 보안 전략을 짜기가 이래 저래 헷갈린다는 것이다. 제로 트러스트가 차세대 보안 패러다임이라는 것에 대해서는 보안 업계 내 공감대가 있지만 오버액션에 가까운 메시지들이 늘어나는 것을 경계하는 목소리가 커지고 있다.

프로토콜 최근 보도에 따르면 제로 트러스트 보안을 핵심 사업으로 키우고 있는 클라우드플레어의 매튜 프린스 CEO는 "말 그대로 모든 업체들이 제로 트러스트를 한다 말하고 있다. 위험한 것은 모두가 제로 트러스트라면 그 때는 아무 것도 아닐 수 있다는 것이다"고 지적했다.

시장 분석 업체 포레스터 헤아스 뮬린스 수석 애널리스트는 "의사할 여지 없이 제로 트러스트는 지금 보안 분야에서 가장 남용되고 가장 오해를 받는 용어"라며 "새로운 사이버 보안 툴을 배치한 고객으로부터 받는 가장 일반적인 질문들 중 하나는 이제 제로 트러스트를 한 것이냐?"라고 전했다.

누구에게 묻느냐에 따라 다를 수 있지만 제로 트러스트는 아키텍처이자 전략이자 목표로서의 속성을 모두 포함하고 있다.

큰틀에서 제로 트러스트는 기업 자원들에 대한 접근을 보다 강하게 통제하고 내부 사용자들이 주어진 역할에 필요한 것 외에 다른 것들은 하지 못하게 막는 환경을 구현해 기업들이 보안을 강화할 수 있도록 하는데 초점이 맞춰져 있다. 

사이버 공격이 늘고 기업 방화벽 밖에서 일하는 직원들이 늘어나는 상황에서 제로 트러스트 아키텍처 구현은 다수 우선순위로 부상했다.  유력 보안 업체들이 이미 제로 트러스트를 차세대 보안을 싱징하는 키워드로 전진배치했다. 클라우드 보안 얼라이언스 최근 조사에 따르면 조직들 80%가 제로 트러스트를 우선순위로 보고 있고, 77%는 내년 제로 트러스트 관련 지출을 늘릴 것이라고 답했다.

하지만 여기 저기에서 너도 나도 제로 트러스트를 외치다 보니 뭐가 뭔지 헷갈려하는 보안 담당자들이 늘고 있다는 지적도 있다. 매튜 프린스 클라우드플레어 CEO는 "제로 트러스트 아이디어에 대한 과장과 남용 때문에 정보보안 실무자들은 매제로 트러스트라는 용어에 매우 번아웃돼 있다"고 꼬집었다.

포레스터 뮬린스 애널리스트는 6월 열린 RSA 보안 컨퍼런스를 예로 들며 "모든 업체들이 일정 정도 제로 트러스트를 마케팅에 활용했다. 이것은 명쾌함 보다는 혼선을 많이 불러일으켰다"고 말했다.

제로 트러스트에 대해 보안 업체들이 공격적인 마케팅을 구사 하다 보니 사용자들 사이에선 냉소적인 반응도 나오는 모양새다.

프로토콜에 따르면 알렉스 웨이너트 마이크로소프트 ID 보암 담당 부사장은 예전에 한 최고정보보안책임자(CISO)에게 제로 트러스트가 무엇인지 물었을 때 테이블 다른 쪽에 있는 사람이 팔려고 하는 모든 것을 의미한다는 답변을 들었던 일화를 소개하기도 했다.

제로 트러스트를 둘러싼 혼란은 제로 트러스트가 한 번에 살 수 있는 패키지 솔루션 성격이 아니라는 점과도 관련이 깊어 보인다. 

아이덴티티(ID) 보안, 접근 관리, 네트워크 분할(network segmentation) 등 조직들이 제로 트러스트 개념을 적용하도록 지원하는 툴들은 점점 늘고 있지만 전체를 커버하는 단일 제품은 없는 상황이다. 그러다 보니 다양한 회사들이 각자 입장에서 쏟아내는 제로 트러스트 메시지들이 범람하고 있는 것이 지금 시장 분위기다.

이같은 상황에선 제로 트러스트가 실제로 무엇을 의미하는지도 그렇지만 제로 트러스트가 아닌 것은 무엇인지에 대한 질문도 유익하다고 프로토콜은 전했다.

프로토콜 보도를 보면 기업 경계(perimeter)를 지원하는 전통적인 방화벽은 제로 트러스트를 지원하기 쉽지 않다. 이와 관련해 제이 차우드하리 지스케일러 CEO는 "기존 네트워크 방화벽과 VPN을 제공하는 회사들 모두 제트 트러스트라고 주장한다"면서 "제로 트러스트는 네트워크 아키텍처를 극복하기 위해 만들어진 게 아니다. 방화벽과 VPN은 근본적으로 제로 트러스트와는 반대"라고 말했다.

매튜 프린스 클라우드플레어 CEO는 "경계에 대해 말할 때는 당신은 아마도 새로운 패러다임이 작동하는 제로 트러스트 모델에 있지 않을 것이다"면서 "전통적인 방화벽 업체들이 제로 트러스트를 한다는 얘기하는 것은 말이 되지 않는다"고 지적했다. 기본적으로 기존 네트워크 보안은 사용자가 신뢰할 수 있는 것에 제한을 두는 것이 아니라 신뢰할 수 있는 근거리 통신망을 정의하는 것에 기반했다는게 그의 설명이다.

크라우드 스트라이크의 카필 라이나 제로 트러스트 마케팅 담당 부사장은 어떤 보안 제품이 제로 트러스트와 관련이 있는지 없는지 판단하기 위해 미국 국립표준기술연구소(National Institute of Standards and Technology: NIST)가 제시한 기준을 체크할 것을 권고한다.

2020년 NIST가 제로 트러스트 아키텍처에 대해 내놓은 자료를 보면 제로 트러스트에서 핵심은 안전한 접근 및 적합한 사람이 접근하고 그렇지 않은 사람들은 접근하지 못하도록 보장하는 것이다. 데이터와 서비스들에 허가 받지 않은 접근이 이뤄지는 것을 막는데 초점이 맞춰져 있다.

라이나 부사장은 대형 보안 업체에 소속돼 있으면서도 보안 업체들이 하는 말보다는 NIST 문서를 보고 판단할 것을 주문해 눈길을 끈다. 그는 "어떤 보안 제품이 NIST 문서 내용과 일치할 경우 제로 트러스트를 이루는데 도움이 된다는 것은 타당한 주장"이라면서도 "보안 산업이 아니라 NIST를 신뢰하라는 것이 내가 할 수 있는 최고의 조언이다. 제로 트러스트 정의에 대해 말하는 벤더들 얘기를 듣지 말라. 그것은 편향돼 있을 것이다"고 말했다.