재택·원격근무로 ID 보안 중요성 증가…MFA·SSO 도입 늘어
[데이터넷] 제로 트러스트가 새로운 보안 전략으로 자리잡았다. 거의 모든 기업·기관이 제로 트러스트를 시작했거나 향후 몇 달 안에 시작할 계획을 갖고 있다. 옥타가 전 세계 기업 경영진 700여명을 대상으로 설문조사한 결과를 분석한 ‘제로 트러스트 보안 상태 2022’에 따르면 지난해 제로 트러스트를 시작한 기업이 24%였는데, 올해는 55%로 2배 이상 증가했다.
글로벌 2000 기업과 유럽, 중동, 아프리카(EMEA), 아시아-태평양(APAC), 북미 등 조사 대상 모든 지역에서 응답자의 85% 이상이 제로 트러스트 예산이 연간에 비해 상당히 증가했다고 답했으며, 기업의 규모나 지리적 위치, 업종에 관계없이 제로 트러스트를 계획하거나 시작한 것으로 나타났다.
ID, 제로 트러스트 전략의 기초
제로 트러스트 전략 수립 우선순위로 거의 대부분의 조직이 데이터와 기기(각각 31%)를 꼬았으며, 그 뒤를 이어 네트워크(24%), 사람(20%)의 순으로 나타났다. 그런데 코로나19로 재택·원격근무 증가하면서 사람에 대한 제로 트러스트 우선순위가 높아지고 있다.
보고서는 아이덴티티(ID)가 제로 트러스트 전략의 기초가 되고 있다고 설명하며, 설문조사 응답자의 80%가 이에 동의했고, 19%는 ID가 비즈니스의 핵심 요인이라고 답해 전체 응답자의 99%가 제로 트러스트 주요 요인으로 ID를 지목했다. 특히 포브스 글로벌 2000 회사의 보안 프로젝트에서 ID 및 접근관리(IAM)의 중요도가 더 높았다.
ID 관리에서 MFA와 SSO는 사용 편의성과 보안을 모두 만족할 수 있는 중요한 기술이다. 전 세계 조직의 75%가 내부 애플리케이션·SaaS 앱으로 MFA와 SSO를 확장했다고 답했으며, 내년까지 67%가 완료할 것으로 예상된다.
비밀번호 없는 인증은 제로 트러스트 성숙도가 높은 조직에서 진지하게 검토하는 것으로 보인다. 비밀번호 취약성에 대한 문제는 꾸준히 지속되고 있지만, ‘123456’과 같은 쉬운 비밀번호가 여전히 가장 많이 사용되는 것이 현실이다. 다행인 점은 옥타가 올해 초 발표한 보고서에서는 기업이 MFA 사용을 늘리면서 비밀번호를 대체하고 있다는 것이다. 현재 비밀번호를 사용하는 기업은 84%로 전년대비 10%p 낮아졌고, 푸시인증은 20%p 증가했다.
임직원 및 파트너·계약자에도 제로 트러스트 적용
보고서에서는 제로 트러스트를 조직의 성숙도에 따라 5단계로 나누었는데, 1단계는 클라우드 전환 초기에 있는 조직으로, 직원 디렉토리를 중요도가 높은 클라우드 앱에 연결하기 위해 ID 프로젝트를 진행하며, MFA를 구현해 자격증명 탈취를 예방한다. 거의 대부분의 조직이 이 단계의 ID 프로젝트를 향후 18개월 이내에 완료할 계획이라고 답했다.
2단계는 원격·하이브리드 업무 환경을 구현한 곳으로, 비즈니스 파트너, 계약자 등 외부 사용자를 위한 MFA를 추가하고, 직원과 허가된 애플리케이션을 연결하기 위한 SSO를 구현한다. 절반 이상의 조직이 향후 12개월~18개월 이내에 2단계 프로젝트를 완료할 계획이다.
3단계는 하이브리드 클라우드 인프라를 구축해 비즈니스 역동성을 높이면서도 높은 규제준수 요구사항을 따라야 하는 조직이다. 이 조직은 복잡한 글로벌 인력이 엔터프라이즈 자산에 대해 언제나(24x7) 적절하게 액세스 할 수 있기를 바란다.
글로벌 2000 기업의 절반은 2023년까지 3단계를 완성할 계획이며, 아시아 태평양 지역 기업은 직원 프로비저닝 자동화와 클라우드 인프라에 대한특권 액세스에 집중하고 있다. 이 단계의 조직은 SSO를 모든 인증된 외부 사용자로 확장하며, 엔드포인트와 클라우드 애플리케이션 위협 피드를 SIEM과 통합하는 프로젝트를 진행한다.
4단계에 돌입한 기업은 제로 트러스트 기반을 닦은 상태로, 복잡한 ID 문제를 해결할 도구와 프로세스를 갖췄다고 할 수 있다. 이 기업은 리스크에 따라 사용자 그룹 간 서로 다른인증 요소를활용하며, API 보안 액세스 추가, 컨텍스트 기반 액세스 정책 구현, 보안 조정 기능을 활용해 위협 환경의 변화에 동적으로 대응할 수 있도록 한다.
5단계 기업은 멀티 클라우드를 성공적으로 운영하며, 엣지 보안 자동화에 집중한다. 이 기업은 제로 트러스트 기반 사용자 라이프사이클 관리 최적화와 서버 보안 접근제어, 생체인식 기반 로그인, 비밀번호 없는 액세스 등에 관심을 갖는다. 이 단계에 있는 기업 중 금융사는 22%가 12개월~18개월 이내 비밀번호 없는 액세스를 채택할 계획이라고 답했다.
