제로 트러스트 대중화 주인공 존 킨더바그, "침해 막는 시대 끝, 이제는 격리"

작성일 05-12

<div id="layerTranslateNotice" style="display:none;"></div> 일루미오, 韓 시장 공략 본격화…N2SF·금융규제 모두 마이크로세그멘테이션 지목 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="YTsyNOlwlL">
 <figure class="figure_frm origin_fig" contents-hash="ff437fc140475f680435601558c2fd07ca6703f57d1e333431a869da472902a7" dmcf-pid="GyOWjISrvn" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/12/552796-pzfp7fF/20260512150640600xvpu.jpg" data-org-width="640" dmcf-mid="WIic8naeWo" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/12/552796-pzfp7fF/20260512150640600xvpu.jpg" width="658">
 </figure>
 [디지털데일리 박재현기자] "이제 사이버 공격으로 인한 침해 사고는 불가피합니다. 핵심 축이 '막을 수 있느냐'에서 '확산을 얼마나 빨리 차단하느냐'로 이동했습니다. 예방에 실패했을 때 피해를 최소화하는 것, 그게 현실적인 보안 전략입니다."
 12일 일루미오(Illumio)가 서울 삼성동 아셈타워에서 개최한 기자간담회에서 존 킨더바그(John Kindervag) 수석 에반젤리스트는 이 같이 강조했다.
 존 킨더바그는 제로트러스트 보안 개념을 처음 정립한 창시자로, 현재 일루미오 수석 에반젤리스트로 재직 중이다. 포레스터 리서치 재직 시절 '절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)'는 원칙에 기반한 제로트러스트 아키텍처를 처음 정립했다.
 2015년 미국 인사관리처(OPM) 대규모 데이터 침해 사고를 계기로 전 세계 정부와 기업의 표준 패러다임으로 자리잡았으며, 2021년엔 미국 대통령 직속 국가안보통신자문위원회(NSTAC) 공식 보고서 주요 저자로 참여했다.
 ◆ "신뢰 수준 0"…방어 표면 중심으로 보안 재설계해야=존 킨더바그 수석 에반젤리스트는 이날 과거 오바마 대통령 취임식 당일 비밀경호국의 경호 방식을 비유로 들며 제로트러스트의 핵심을 설명했다.
 경호원들이 대통령이 누구인지, 어디 있는지, 누가 접근 가능한지를 항상 정확히 파악하고 있는 것처럼, 기업도 무엇을 보호해야 하는지를 먼저 정의해야 한다는 설명이다.
 그는 제로트러스트에서 가장 중요한 개념으로 '방어 표면(Protect Surface)'을 꼽았다. 관리 불가능한 거대한 공격 표면 전체를 상대하는 대신, 실제 보호 대상을 데이터·애플리케이션·자산·서비스(DAAS)로 좁혀 집중 방어하는 방식이다.
 경계(perimeter) 혹은 엔드포인트에 통제를 배치하는 기존 방식의 문제도 짚었다. 이 구조는 내부 네트워크를 '2차 공격 표면'으로 만들어, 공격자가 침투 후 수일·수주·수년씩 머무르는 '체류 시간(Dwell Time)'을 허용한다.
 존 킨더바그 수석 에반젤리스트는 "마이크로 경계를 방어 표면 가까이 밀착 배치하면 드나드는 모든 흐름이 가시화되고, 체류 시간 개념 자체가 사라진다"고 설명했다.
 ◆ AI 공격 도구 등장…"기계 속도의 공격, 사람 속도로 막을 수 없다"=AI 공격 도구의 등장은 이 원칙의 시급성을 한 단계 더 끌어올렸다. 공격자들은 수초 안에 네트워크 취약점을 파악하고 익스플로잇을 실행한다.
 앤트로픽의 에이전트형 AI 공격 도구 '미토스(Mythos)'가 대표적 사례다. 존 킨더바그는 이런 모델이 시작에 불과하다고 봤다. 동료 전문가 조슈아 루스의 저서 '에이전틱 AI+제로트러스트'를 언급하며 AI 기반 공격에 맞설 유일한 수단으로 제로트러스트를 재확인했다.
 제로트러스트 구현의 복잡성을 해소해야 한다는 점도 강조했다. 존 킨더바그 수석 에반젤리스트는 방어 표면 정의, 트랜잭션 흐름 매핑, 환경 아키텍처 설계, 정책 수립, 모니터링·유지 등으로 구성된 5단계 제로트러스트 방법론을 소개했다.
 존 킨더바그 수석 에반젤리스트는 "우선 무엇을 보호할지 방어 표면을 정의하고, 둘째 트랜잭션 흐름을 매핑해 시스템 간 관계를 파악해야 한다. 그 다음 이에 맞는 아키텍처를 설계한 뒤, 정책을 수립해야 한다. 마지막으로 지속적으로 모니터링하며 유지해야 한다"고 했다.
 이어 그는 "일루미오로 이직한 이유도 5단계 방법론 중 가장 까다로운 단계인 흐름 매핑을 일루미오가 자동화했고, 세그멘테이션이 제로트러스트의 근간이라고 오래전부터 믿어왔는데, 그것을 가장 잘 구현한 회사가 일루미오였다"고 덧붙엿다.
 일루미오 플랫폼의 핵심은 AI 보안 그래프 기반 마이크로세그멘테이션이다. 일루미오 인사이트는 하이브리드·멀티 클라우드 환경의 워크로드와 연결 관계를 실시간 시각화해 트래픽 흐름을 허용(녹색)·거부(적색)·미설정(주황색)으로 구분한다.
 트래픽 흐름에 정책이 할당되지 않은 주황색 구간이 공격자의 침투 경로가 된다는 게 킨더바그의 진단이다. 마이크로소프트는 현재 이 플랫폼으로 6500만 개 이상의 워크로드를 관리하고 있다.
 ◆ N2SF·금융규제 모두 마이크로세그멘테이션 지목…규제가 시장 만든다=일루미오가 한국을 전략 시장으로 낙점한 배경엔 잇따른 규제 변화가 있다.
 양경윤 일루미오 한국지사장은 KISA 제로트러스트 가이드라인 2.0(2024년 12월), 국가망보안체계 N2SF(2025년 9월 시행), 개인정보보호법 개정(2026년 9월 시행 예정) 등을 거론하며 "세 규제 모두 마이크로세그멘테이션을 핵심 구현 기술로 지목하고 있다"고 강조했다.
 일루미오는 이 같은 규제 수요를 발판으로 금융·공공 부문을 중심으로 국내 시장 공략을 가속화한다는 방침이다. 국내 보안 기업들과의 파트너십 확대도 병행한다. 존 킨더바그의 이번 방한 자체가 한국 시장에 대한 본사 차원의 의지를 방증한다.
 한편, 지난 5월 11일에는 한국제로트러스트보안협회가 존 킨더바그를 초청한 자리를 마련했다. 서울 한국프레스센터에서 열린 이 간담회엔 국가·공공기관, 금융기관, 수요기업 관계자들이 참석해 미국과 아태지역의 제로트러스트 추진 현황을 공유하고 국내 확산 방안을 논의했다.
 김인현 한국제로트러스트보안협회장은 제로트러스트 도입이 필수라면서도 국내 제도·정책 뒷받침이 미흡하다고 지적했다. 협회는 현장 이슈를 지원하기 위한 워킹그룹 운영 계획도 밝혔다.
 </section> 
 </div> 
 Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

이전

“SEO 넘어 GEO 시대로” 어도비, 셈러시 인수 완료…AI 검색 전면전

05-12
다음

충청 U대회 조직위·지자체 간담회…"관중유치·인력지원 논의"

05-12

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

제로 트러스트 대중화 주인공 존 킨더바그, "침해 막는 시대 끝, 이제는 격리"

멤버랭킹

관련자료

멤버랭킹