컨텐츠 바로가기

05.29 (수)

“전 세계 기업 63%가 도입…” 가트너가 말하는 제로 트러스트 성공 전략 3가지

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
가트너가 최근 발표한 ’2024년 제로 트러스트 도입 현황‘에 따르면, 전 세계 기업의 63%가 제로 트러스트 전략을 완전히 또는 부분적으로 도입했고, 제로 트러스트 전략을 구현한 기업의 78%는 제로 트러스트 전략에 사이버보안 예산의 25% 미만을 투자하고 있는 것으로 나타났다.
ITWorld

ⓒ Gartner

<이미지를 클릭하시면 크게 보실 수 있습니다>



보안 책임자를 대상으로 실시한 지난 2023년 4분기 설문조사에 따르면, 응답자 56%는 제로 트러스트 전략이 업계에서 베스트 프랙티스로 꼽혔기 때문에 추진하는 것이라고 답했다.

가트너 VP 애널리스트 겸 KI 리더 존 왓츠는 "기업이 제로 트러스트를 신뢰하고 있음에도 이를 구현하기 위한 베스트 프랙티스가 무엇인지에 대해서 확신하지 못하고 있다"라며, "대부분 기업에서 제로 트러스트 전략은 보안 환경의 절반 이하만을 커버하고 있으며, 사이버 위협의 25% 이하만을 완화하고 있다"라고 설명했다.

가트너는 성공적인 제로 트러스트 전략 구현을 위한 주요 권장 사항으로 ▲제로 트러스트 전략 범위 조기 설정 ▲제로 트러스트 전략 및 운영 지표 활용 ▲인력 및 비용 증가 예측 3가지를 제시했다.

첫째로, 기업이 제로 트러스트를 성공적으로 구현하기 위해서는 제로 트러스트가 적용되는 보안 환경의 범위, 도메인별 포함 여부, 완화할 수 있는 리스크 범위를 조기에 파악해야 한다. 제로 트러스트 전략 범위는 일반적으로 기업의 전체 보안 환경을 포함하지 않는다. 그러나 설문조사 응답자 16%가 제로 트러스트가 조직 환경의 75% 이상을 커버할 것으로 보고 있으며, 단 11%만이 보안 환경의 10% 미만을 커버할 수 있을 것으로 보고 있다고 응답했다.

왓츠는 "적용 범위는 제로 트러스트 전략에서 가장 중요한 결정"이라며, "기업 리스크는 제로 트러스트 전략 범위보다 더 광범위하며, 기업 리스크를 완화하는 것에는 한계가 있다. 그러나 리스크 감소 효과를 측정하고 보안 태세를 개선하는 것은 제로 트러스트 전략의 핵심 지표"라고 덧붙였다.

둘째로, 보안 책임자는 제로 트러스트 전략 및 운영 지표를 통해 성과를 상부에 전달해야 한다. 제로 트러스트를 완전히 또는 부분적으로 도입한 기업 79%는 진행 상황을 측정하는 전략 지표를 갖고 있으며, 이 중 89%는 리스크 측정 지표도 갖고 있다. 보안 책임자는 제로 트러스트 이니셔티브의 59%가 CIO, CEO, 대표이사, 이사회 등 고위 간부의 후원을 받고 있다는 점을 고려해 관련 지표를 분석하고 전달해야 한다.

왓츠는 "제로 트러스트 지표는 결과물에 맞게 설정돼야 한다. 엔드포인트 탐지 및 대응 효과 측정과 같이 다른 영역에 사용되는 지표를 재활용하는 것은 지양해야 한다"라며, "제로 트러스트 모델은 네트워크 내 맬웨어의 확산을 억제시키는 등 특정한 결과를 도출해 내지만 기존의 사이버보안 지표로는 포착하기 어렵다"라고 설명했다.

마지막으로, 보안 책임자는 제로 트러스트 도입에 필요한 비용과 인력 증가를 예측하되, 도입이 지연되지 않도록 해야 한다. 설문조사에 따르면, 기업 62%는 제로 트러스트 구현으로 인해 비용이 증가할 것으로 예측했으며, 41%는 인력의 요구도 증가할 것으로 예상했다. 제로 트러스트 전략 구현 시 이를 방해하는 장애물을 경험했다고 답한 응답자는 35%에 불과했지만, 기업은 지연을 최소화하기 위해 제로 트러스트 정책의 효과를 측정하고 운영 지표를 개요로 하는 제로 트러스트 전략 계획을 수립해야 한다.

왓츠는 "제로 트러스트 전략 도입이 기업 예산에 주는 영향은 제로 트러스트 적용 범위와 초기 전략을 얼마나 견고하게 수립했는지에 따라 다르다"라며, "제로 트러스트 도입은 기업이 위험 기반 및 적응형 제어로 정책의 성숙도를 올리기 위해 체계적이고 반복적인 접근 방식을 취함으로써 기업의 예산과 운영 부담을 높인다"라고 설명했다.
editor@itworld.co.kr

편집부 editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.