가트너(Gartner)는 지난 23일, ‘2024년 제로 트러스트 도입 현황’을 통해 전 세계 기업의 63%가 제로 트러스트 전략을 완전히 또는 부분적으로 도입했고, 제로 트러스트 전략을 구현한 기업의 78%는 제로 트러스트 전략에 사이버 보안 예산의 25% 미만을 투자하고 있다고 발표했다.

보안 책임자를 대상으로 실시된 지난 2023년 4분기 설문조사에 따르면, 56%가 제로 트러스트 전략이 업계에서 모범 사례로 꼽혔기 때문에 이를 추진한다고 답했다.

존 왓츠(John Watts) 가트너 VP 애널리스트 겸 KI 리더는 “기업이 제로 트러스트를 신뢰하고 있음에도 이를 구현하기 위한 모범 사례가 무엇인지에 대해서 확신하지 못하고 있다”며 “대부분의 기업에서 제로 트러스트 전략은 보안 환경의 절반 이하만을 커버하고 있으며, 사이버 위협의 25% 이하만을 완화하고 있다”고 설명했다.

▲ '제로 트러스트가 커버하는 환경의 비율'.(출처 : 가트너 제공)

가트너는 보안 책임자들의 성공적인 제로 트러스트 전략 구현을 위한 주요 권장 사항으로 ▲제로 트러스트 전략 범위 조기 설정 ▲제로 트러스트 전략 및 운영 지표 활용 ▲인력 및 비용 증가 예측을 제시했다.

첫째로, 기업이 제로 트러스트를 성공적으로 구현하기 위해서는 제로 트러스트가 적용되는 보안 환경의 범위, 도메인별 포함 여부, 완화할 수 있는 리스크 범위를 조기에 파악해야 한다.

제로 트러스트 전략 범위는 일반적으로 기업의 전체 보안 환경을 포함하지 않는다.

반면, 설문조사 응답자의 16%가 제로 트러스트가 조직 환경의 75% 이상을 커버할 것으로 보고 있으며, 단 11%만이 보안 환경의 10% 미만을 커버할 수 있을 것으로 보고 있다고 응답했다.

왓츠 VP 애널리스트는 “적용 범위는 제로 트러스트 전략에서 가장 중요한 결정”이라며 “기업 리스크는 제로 트러스트 전략 범위보다 더 광범위하며, 기업 리스크를 완화하는 것에는 한계가 있다. 그러나 리스크 감소 효과를 측정하고 보안 태세를 개선하는 것은 제로 트러스트 전략의 핵심 지표다”고 덧붙였다.

둘째로, 보안 책임자는 제로 트러스트 전략 및 운영 지표를 통해 성과를 상부에 전달해야 한다.

제로 트러스트를 완전히 또는 부분적으로 도입한 조직의 79%는 진행 상황을 측정하는 전략 지표를 갖고 있으며, 이 중 89%는 리스크 측정 지표도 갖고 있다.

보안 책임자는 제로 트러스트 이니셔티브의 59%가 CIO, CEO, 대표이사, 이사회 등 고위 간부의 후원을 받고 있다는 점을 고려해 관련 지표를 분석하고 전달해야 한다.

왓츠 VP 애널리스트는 “제로 트러스트 지표는 결과물에 맞게 설정돼야 한다. 엔드포인트 탐지 및 대응 효과 측정과 같이 다른 영역에 사용되는 지표를 재활용하는 것은 지양해야 한다”며 “제로 트러스트 모델은 네트워크 내 멀웨어의 확산을 억제시키는 등 특정한 결과를 도출해 내지만 기존의 사이버 보안 지표로는 포착하기 어렵다”고 설명했다.

마지막으로, 보안 책임자는 제로 트러스트 도입에 필요한 비용과 인력 증가를 예측하되, 도입이 지연되지 않도록 해야 한다.

설문조사에 따르면, 기업의 62%는 제로 트러스트 구현으로 인해 비용이 증가할 것으로 예측했으며, 41%는 인력의 요구도 증가할 것으로 예상했다. 35%만이 제로 트러스트 전략 구현 시 이를 방해하는 장애물을 경험했다고 답했다.

그러나, 기업은 지연을 최소화하기 위해 제로 트러스트 정책의 효과를 측정하고 운영 지표를 개요로 하는 제로 트러스트 전략 계획을 수립해야 한다.

왓츠 VP 애널리스트는 “제로 트러스트 전략 도입이 기업 예산에 주는 영향은 제로 트러스트 적용 범위와 초기 전략을 얼마나 견고하게 수립했는지에 따라 다르다”며 “제로 트러스트 도입은 기업이 위험 기반 및 적응형 제어로 정책의 성숙도를 올리기 위해 체계적이고 반복적인 접근 방식을 취함으로써 기업의 예산과 운영 부담을 높인다”고 설명했다.

<김동기 기자>kdk@bikorea.net