가트너가 ‘2024년 제로트러스트 도입 현황’ 보고서를 통해 성공적 제로트러스트 운영을 위한 권장사항을 발표했다. 

25일 보고서에 따르면, 제로트러스트는 전세계 기업의 63%에서 활용될 정도로 기업 보안의 기본 전략으로 자리매김하고 있다. 하지만 이 전략을 바탕으로 기업 보안 수준을 한 단계 더 향상시키는 데에는 어려움을 겪고 있다.

제로트러스트를 통해 완화하는 사이버위협이 25%에 미치지 못하면서 제로트러스트 보안 효과 극대화에는 실패하고 있는 것이다. 

존 왓츠 가트너 VP애널리스트는 “대부분의 기업에서 제로트러스트 전략은 보안 환경의 절반 이하만을 커버하고 있다”면서 “기업들은 제로트러스트를 신뢰하고 있음에도 이를 구현하기 위한 모범사례가 무엇인지에 대해서 확신하지 못하고 있다”고 지적했다. 

가트너는 성공적 제로트러스트 전략 구현을 위해 ▲제로 트러스트 전략 범위 조기 설정 ▲제로 트러스트 전략·운영 지표 활용 ▲인력·비용 증가 예측을 제시했다.

제로 트러스트가 적용되는 보안 환경의 범위, 도메인별 포함 여부, 완화할 수 있는 리스크 범위 파악은 제로트러스트 전략의 성패를 결정짓는 요인이다.

제로트러스트 전략 범위가 기업 전체의 보안을 포함할 수 없는 만큼 제로스트러스 커버 범위와 개선 가능한 목표를 설정하고, 그 외 범위를 커버할 수 있는 보완 방법을 마련해야 하는 것이다. 

왓츠 VP애널리스트는 “적용 범위는 제로 트러스트 전략에서 가장 중요한 결정”이라며, “전략 범위보다 기업 리스크가 더 광범위하기 때문에 제로트러스트로 리스크를 완화하는 데 한계가 있지만 리스크 감소 효과를 측정하고 기업 내 보안 태세를 개선하는 것이 핵심지표”라고 설명했다. 

범위 설정 후에는 운영지표를 통해 성과를 전달해야 한다. 제로트러스트 이니셔티브의 59%가 CIO, CEO, 대표이사, 이사회 등 고위 간부의 지원으로 실행됨을 고려하면 관련 지표의 분석·보고는 반드시 이어져야 할 조치라는 게 가트너의 설명이다.

보고서는 제로트러스트 도입에 필요한 비용·인력의 증가치를 예측하는 것도 필수요소로 꼽았다.

제로트러스트는 보안 정책의 성숙도를 올리기 위해 체계적이고 반복적인 접근 방식을 취하는데 이는 예산과 운영 부담을 높이는 요인으로 작용할 수 있다. 즉, 증가 규모를 사전 예측해 지연을 최소하면서 제로트러스트로 보안 강화 효과를 얻을 수 있게 해야 하는 것이다. 

왓츠 VP 애널리스트는 “제로트러스트 전략 도입이 기업 예산에 주는 영향은 제로트러스트 적용 범위와 초기 전략을 얼마나 견고하게 수립했는지에 따라 다르다”며, “지연을 최소화하기 위해 이 정책의 효과를 측정하고 운영지표를 개요로 하는 전략 계획을 수립해야 한다”고 조언했다.