레드햇 “보안 책임 서버로 이동…제로트러스트·제로CVE 자동화가 답” 작성일 05-28 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="6lWEWoPKWv"> <figure class="figure_frm origin_fig" contents-hash="44b1d3dadc87b79263510bf45e06105c558429f3cb84c604f0e594dd4f287011" dmcf-pid="PSYDYgQ9lS" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/28/552796-pzfp7fF/20260528163737063umqk.jpg" data-org-width="640" dmcf-mid="fRRqRFTsWW" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/28/552796-pzfp7fF/20260528163737063umqk.jpg" width="658"></p> </figure> <p contents-hash="56a80e97dc558c8d54a0a8fb5725bb3dcfc5a9433afd52de7113a5e618277e0b" dmcf-pid="QvGwGax2Tl" dmcf-ptype="general">[디지털데일리 이안나기자] 레드햇이 엔터프라이즈 자동화 전환을 위한 거버넌스 기반 운영 전략과 함께 제로 트러스트·제로CVE를 축으로 한 금융권 보안 운영 자동화 전략을 제시했다.</p> <p contents-hash="1d4ba143a63e94c60dcd7bbe9aa8ee0a08ab822aead631d78e52ad37a7716b09" dmcf-pid="xTHrHNMVWh" dmcf-ptype="general">황인수 레드햇 상무는 28일 서울 잠실 롯데월드타워 SKY31 컨벤션에서 열린 ‘레드햇 앤서블 오토메이트 2026’에서 자동화가 팀 단위를 넘어 전사 조직으로 확대될 때 발생하는 문제를 짚었다. 그는 “자동화의 가장 어려운 부분은 기술이 아니라 조직·환경·플랫폼·책임이 분산된 구조”라며 “파편화된 자동화를 하나의 정책, 하나의 관리 체계, 하나의 감사 체계로 연결하는 운영 모델이 먼저 정의돼야 한다”고 강조했다.</p> <p contents-hash="08284acdc6745b1c1760f1dfe359b786d2b19440ab7ad77c2179fd920874380e" dmcf-pid="yQdbd0WISC" dmcf-ptype="general">이 같은 운영 체계가 갖춰져야 자동화의 실질적인 성과도 나온다고 봤다. 황 상무는 경영진이 자동화 팀에 기대하는 KPI는 플레이북 실행 건수가 아니라 서비스 안정성·배포 속도·장애 감소·운영 비용이라고 짚었다. 투자대비수익(ROI) 핵심은 인력 절감이 아니라 반복 작업을 줄여 IT 엔지니어가 더 전략적인 업무에 집중할 수 있도록 시간을 재배치하는 것이라는 의미다. 그는 오픈소스 대비 엔터프라이즈 플랫폼 도입 비용 논쟁에 대해서도 “라이선스 비용보다 거버넌스 부재·보안 사고·중복 개발 같은 숨겨진 운영 리스크가 훨씬 더 큰 비용”이라고 강조했다.</p> <p contents-hash="789a7aec9777bb44b58d5cda4419992a347bc594728af814d3f99506025c7d4c" dmcf-pid="WxJKJpYCTI" dmcf-ptype="general">거버넌스 문제는 보안 영역에서 더욱 두드러진다. 이어 발표에 나선 성희경 레드햇 이사는 금융권 보안 패러다임의 변화를 짚으며 사람 중심의 수작업 대응에서 정책 기반 자동화 체계로의 전환을 강조했다. 성 이사는 지난 3월 정부가 금융소비자에게 의무 설치하던 키보드 보안·백신 등 설치형 소프트웨어를 폐지하도록 금융사에 요청한 것을 언급하며 “단순히 프로그램 몇 가지가 사라지는 것이 아니라 보안의 책임과 패러다임이 소비자 단말에서 운용사 서버로 옮겨진 것”이라고 설명했다.</p> <div contents-hash="6062e53e70897ce88e1e4394a4b74cc8a82349c96ca0db8309d80b84b864f92e" dmcf-pid="YMi9iUGhyO" dmcf-ptype="general"> 새로운 보안 기준으로는 제로 트러스트 아키텍처를 강조했다. 기존 보안 모델은 방화벽 안쪽을 신뢰 영역으로 간주해 한 번 인증을 통과하면 내부에서 자유롭게 이동할 수 있는 구조였다. 성 이사는 “한 번 권한이 탈취되면 침입자가 서버와 데이터 사이를 자유롭게 이동하며 피해가 확산된다”며 “제로 트러스트는 내부망도 신뢰하지 않고 모든 접근을 개별 세션 단위로 검증하는 방식”이라고 설명했다. </div> <figure class="figure_frm origin_fig" contents-hash="fabcd5473afaf836ed6f35beea2395d3b7dcc5423285c55a2e22ba539ee1730e" dmcf-pid="GwIoIMKpls" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/28/552796-pzfp7fF/20260528163738413yejp.jpg" data-org-width="640" dmcf-mid="8oAQA93GCT" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/28/552796-pzfp7fF/20260528163738413yejp.jpg" width="658"></p> </figure> <p contents-hash="0db6715bc8fe29b4f1265632fe40479f6cf645762833101bcde3a5c9fefd9cea" dmcf-pid="HrCgCR9UWm" dmcf-ptype="general">다만 제로 트러스트만으로는 부족하다고 짚었다. 2025년 텔스케일이 IT 보안 전문가 1000명을 대상으로 진행한 조사에서 99%가 접근·연결 방식을 재설계하고 싶다고 답했지만 완전 자동화된 접근 통제를 구현한 조직은 22%에 불과한 것으로 나타났다.</p> <p contents-hash="6dfae0d8f401cbca3d4b131b8230d650b90f3d2bcc71d1a891e1b32e2bc19c3d" dmcf-pid="Xmhahe2uCr" dmcf-ptype="general">성 이사는 “정책은 수립했지만 운영 환경에 일관되게 적용할 자동화 수단이 없는 것”이라며 커널·OS 레벨 취약점에 대응하기 위한 제로CVE 체계의 필요성을 함께 강조했다. AI 기반 분석 도구 확산으로 취약점 공개 이후 실제 공격까지의 시간이 수개월에서 며칠, 심지어 몇 시간으로 줄어들고 있다는 점도 근거로 들었다.</p> <p contents-hash="eb4d80f8d71d4d7f118d800899d66371be5f3be910ad71278ee5a92edfdc2efd" dmcf-pid="ZslNldV7vw" dmcf-ptype="general">결국 두 가지 과제를 동시에 지속 운영하려면 자동화가 필수라는 게 성 이사 결론이다. 그는 제로 트러스트와 제로CVE를 아우르는 모델로 ‘제로옵스(ZeroOps)’를 제시하며 “운영에서 사람을 배제하자는 개념이 아니라 반복적인 수작업에서 정책 설계·검증·예외 판단 같은 고부가가치 업무로 사람의 역할을 전환하자는 것”이라고 강조했다.</p> <p contents-hash="cd69628e06f62abac5821c591f4b2afc49032e97421b39aa2a9826d684fc1957" dmcf-pid="5OSjSJfzTD" dmcf-ptype="general">대표적으로 JP모건은 2014년 대규모 보안 사고 이후 제로 트러스트 기반으로 아키텍처를 전환하며 레드햇 AAP를 활용해 38만개 이상 노드 운영 자동화를 표준화했다. 성 이사는 “AI 기반 보안 전환으로 연간 2억5000만달러 규모 손실을 절감했다”며 “제로 트러스트는 실제 운영 환경에서 지속 유지하기 위해 정책과 대응을 자동화할 수 있는 엔터프라이즈 자동화 플랫폼이 필요하다는 것을 보여주는 사례”라고 짚었다.</p> <p contents-hash="7ebde23e0c6cd4db07205cb60e9f13917dd39ee3235f446cf9d56412cbec4460" dmcf-pid="1IvAvi4qWE" dmcf-ptype="general">이어 “금융권은 망분리 정책상 퍼블릭 AI 서비스 사용이 어렵기 때문에 내부 LLM이나 폐쇄망 AI 플랫폼을 구축해 운영 환경에서 함께 사용하려는 검토가 확대되고 있다”며 “AAP가 이벤트 드리븐 앤서블과 결합해 CVE 공지 수신부터 취약 서버 탐지, 패치 자동화, 감사 추적까지 하나의 워크플로우로 처리할 수 있다”고 설명했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 소년체전 51년 만에 처음! 충북 남성중-경북 경산중, 12-12 접전 끝에 공동 우승 05-28 다음 갤S26 공짜에 캐시백까지…치열해진 이통3사 지원금 경쟁 05-28 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
