[디지털데일리 이종현기자] 코로나19 이후 모바일과 클라우드의 도입이 증가함에 따라 조직의 정보보호 방식이 크게 바뀌었다. 신뢰할 수 있는 ‘내부 네트워크’와 신뢰할 수 없는 ‘외부 네트워크’를 구축하는 방식에서, 그 무엇도 신뢰하지 말고 항상 검증하라는 ‘제로 트러스트(Zero Trust)’ 보안이 확산되는 추세다.

17일 옥타(Okta)는 아시아 태평양(이하 아태) 기업들의 계정접근관리(IAM) 보안 성숙도를 조사한 ‘2021 APAC 지역의 제로 트러스트 보안 현황 리포트’를 공개했다. 아태지역 중 500명 이상이 근무하고 있는 조직의 보안 의사결정권자 300여명을 대상으로 설문조사를 실시한 결과다.

옥타의 조사에 따르면 아태지역 조직들의 77%는 제로 트러스트 보안을 최우선 과제로 삼았다. 각각 76%, 74%인 유럽 및 중동·아프리카(EMEA), 북미 지역 대비 소폭 높은 수치다.

제로 트러스트에 대한 높은 관심에 비해 아태지역 조직들의 제로 트러스트 보안 전략 구현은 다소 낮은 편이다. EMEA 및 미주 지역은 제로 트러스트 보안 전략을 이미 구현한 곳이 20%가량이나 아태 지역은 13%에 그쳤다.

옥타는 아태 지역 기업들이 내년 말까지 IAM의 성숙기 도달을 위해 속도를 낼 것으로 분석했다. 2023년까지 조직의 40%가 컨텍스트 기반의 접근 정책을 구현할 것으로 예상되며 29%는 옥타의 성숙도 곡선에서 2단계로 분류된 애플리케이션 프로그래밍 인터페이스(API)에 대한 보안 접근을 구현할 것으로 전망된다.

제로 트러스트 보안의 핵심 요구사항에 대한 질문에는 아태지역 조직의 44%가 ‘사람’을 꼽았다. 직원, 고객, 파트너, 계약자 및 공급업체를 대상으로 리소스 전반에 걸쳐 강한 인증을 도입하는 등 네트워크 기반에서 보다 개별화된 디바이스 기반의 접근 결정 방식으로 전환하고 있는 것으로 확인됐다.

아태지역 중 일본의 경우 제로 트러스트 보안 도입률이 특히 낮은 것으로 조사됐다. 일본의 82%가 제로 트러스트 보안 우선 순위가 높아졌다고 답했지만 제로 트러스트 보안 전략을 구현했거나 구현할 계획이라고 답한 조직은 68%에 그쳤다. 조직의 32%는 제로 트러스트 보안을 준비하지 않고 있으며, 12~18개월 동안 진행 계획이 없다고 답했다.

옥타는 ▲0단계- 파편화된 아이덴티티 ▲1단계- 통합 IAM ▲2단계- 컨택스트 기반 액세스 ▲3단계- 적응형 인력(Adaptive Workforce) 등 4단계로 IAM 성숙도를 구분했다. 2023년이면 아태지역 기업 67%가 1단계 프로젝트인 통합 IAM을 도입할 것으로 내다봤다.

옥타는 보고서를 통해 “제로 트러스트 보안을 구현하는 데 있어서 모든 문제를 한 번에 해결할 마법 같은 솔루션은 없다”며 “점차 디지털화되는 현대 경제로 인해 보안 위협이 심화되는 상황에서 아이덴티티 기반 보안을 통해 위험을 완화할 수 있을 것”이라고 전했다.