옥타 “갈 길 먼 기업 ‘제로트러스트’…‘아이덴티티 우선’ 접근 필요”
[무료 웨비나] 개발자를 위한 클라우드플레어를 소개합니다
◎ 일시 : 2025년 2월 6일 (목) 14:00 ~ 15:00
[무료 웨비나] 중동의 ICT 및 테크 기업 생태계 – 사우디 아라비아, UAE를 중심으로
◎ 일시 : 2025년 1월 23일 (목) 14:00 ~ 15:10
많은 아시아태평양(APAC) 지역 기업들이 비즈니스에서 ‘ 제로트러스트(ZeroTrust) ’가 반드시 필요하다고 생각하지 못하는 것으로 나타났다. 중요성 자체는 인식하고 있지만 계정 관리 등을 통한 제로트러스트를 실천하는 수준이 타 지역에 비해 부족한 상황이다.
제로트러스트는 ‘어떤 것도 믿지 말고 항상 확인하라’는 철학 아래 네트워크와 애플리케이션에 접속하는 사용자나 기기의 신뢰성과 안전성을 검증하는 개념이다.
아이덴티티 및 액세스 관리(IAM) 전문기업 옥타(Okta)의 벤 굿맨(Ben Goodman) APAC 지역 수석 부사장 겸 제너럴 매니저는 지난 19일 한국 기자들과 만나 “제로트러스트는 더 이상 이론적인 개념이 아니”라면서도 “많은 조직이 제로트러스트의 이점을 활용하기 위해서는 아직 갈 길이 멀다”고 말했다.
옥타가 주력하고 있는 계정은 사용자의 정체성(아이덴티티)을 나타내 제로트러스트를 구현하는데 있어 필수기술로 지목되며 최근 더 부각되고 있다. 계정이 탈취되면 자산 전체 보안이 뚫리는 것이나 마찬가지라 끊임없는 관리와 검증이 이뤄져야 한다. 하지만 우리나라를 비롯해 아시아태평양(APAC) 지역 기업의 아이덴티티를 활용한 제로트러스트 노력은 상대적으로 부족하다.
옥타가 내놓은 ‘2022년 아시아태평양 지역 제로트러스트 보안 현황’ 보고서에 따르면 제로트러스트 보안 전략에서 아이덴티티가 중요하다고 생각한 APAC 지역 기업은 83%였고, 15%만이 비즈니스에 반드시 필요하다고 답했다. 북미(NA) 지역 기업 36%가 비즈니스에 반드시 필요하다고 답한 것과 비교해 낮은 수치다. 제로트러스트 모델을 도입한 APAC 지역 기업 비중은 2021년보다 18%p 늘어 50%에 도달하긴 했지만, 이 또한 글로벌 평균(55%)에는 미치지 못했다.옥타는 제로트러스트 성숙도를 5단계로 구분한다. APAC 기업들은 76%가 다중인증(MFA)을 도입하고 70%가 한 번의 인증으로 다양한 앱에 접속하는 싱글사인온(SSO)을 구현한 것으로 나타났다. 성숙도 5단계에서 1~2레벨에 속하는 ‘전통적 단계’와 ‘새로운 시도 단계’ 수준에 속한다.
3단계는 직원 프로비저닝·디프로비저닝을 자동화하고 클라우드 인프라에 대한 특권권한관리(PAM)를 수행하는 ‘성숙 단계’다. APAC 지역 응답자들은 향후 1년 반 동안 이를 수행할 예정인 것으로 나타났다.
고도화 수준인 ‘상승 단계’와 ‘진화 단계’까지는 갈 길이 멀다. 기존 기술을 폐기하고, 최신 액세스 기술과 엣지(Edge) 보안을 수용하는 수준을 말하는데 아직 APAC 기업의 0.5% 만이 패스워드리스(Passwordless) 액세스를 도입했고 1년 반 내에 구현을 계획한 기업도 10%에 그쳤다.
굿맨 부사장은 또 “전 세계적으로 정부 조직은 제로트러스트 측면에서 다른 산업에 앞선 것처럼 보일 수 있지만 APAC 지역에는 이러한 추세가 반영되지 않는다”면서 “APAC 지역의 정부 부문 응답자 중 제로트러스트를 시행하고 있다고 답한 응답자는 절반이 채 되지 않는다”고 말했다.
옥타는 APAC 지역 전반이 제로트러스트를 시행하기 위해 해결해야 하는 과제로 ▲스킬 부족 ▲인식 부재 ▲이해관계자의 동의 부족 등을 꼽았다. 31%가 인재 및 스킬이 부족하다고 답했고, 이해관계자 설득 부재 및 제로트러스트 보안 솔루션에 대한 인지도 부족 역시 각각 18%가 문제로 지적했다.
하지만 APAC 지역의 제로트러스트에 대한 인식은 보다 고도화된 계정 보호를 위한 기회로도 작용할 수 있다. 전 세계 기업 간에는 제로트러스트의 아이덴티티 우선(identity-first)’ 접근이 중요할 뿐만 아니라 필수라는 공감대가 형성되고 있다는 게 옥타의 설명이다.
굿맨 부사장은 “조직들은 추가적인 예산이나 리소스가 필요하지 않으면서 제로트러스트 진행에 도움이 되는 솔루션을 모색해야 한다”며 “이러한 솔루션을 기존의 보안 인프라에 통합하면 과제를 해결할 수 있다”고 강조했다. 옥타가 제공하는 IAM 솔루션을 다른 보안 솔루션과 통합해 유저, 디바이스, 데이터 및 네트워크 액세스를 관리하는 중앙 컨트롤러로 활용할 수 있다는 게 그의 생각이다.
한편 이번 보고서는 옥타가 펄스 Q&A에 의뢰해 글로벌 조직에 소속된 보안 의사 결정권자 700명 대상 설문을 바탕으로 제작됐다. 옥타의 솔루션은 SK C&C, 쿠팡, 아모레퍼시픽 등의 대기업군을 비롯해 작은 스타트업 다수에서 사용되고 있다. 대표 제품인 ‘옥타 워크포스 아이덴티티’는 다양한 사용자 인증과 IAM 서비스를 제공한다.
굿맨 부사장은 “한국은 글로벌 브랜드가 많은 시장으로, APAC 지역의 다른 국가보다 빠르게 (제로트러스트 보안 전략으로) 전환될 것으로 예상한다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network