[디지털데일리 이종현기자] 어느샌가 정보기술(IT) 업계에서는 제로 트러스트(Zero Trust)라는 단어가 유행처럼 쓰이는 중이다. 실제로 아시아태평양 지역 조직의 50%는 제로 트러스트 이니셔티브를 시행 중인 것으로 나타났다.

20일 ID 및 액세스 관리(IAM) 기업 옥타(Okta)의 벤 굿맨(Ben Goodman) 옥타 아태지역 수석부사장은 아시아태평양(APAC) 지역 제로 트러스트 보안 현황을 조사한 보고서와 시장 트렌드를 공유하는 미디어 브리핑을 진행했다.

제로 트러스트는 ‘아무것도 신뢰하지 말고 항상 확인하라’는 의미의 보안 방법론이다. 클라우드의 이용이 활성화되면서 전통적인 경계 중심의 보안이 한계에 직면한 데 대한 대안으로 등장한 개념이다. IAM은 제로 트러스트 구현을 위한 첫걸음으로 꼽힌다.

굿맨 부사장은 “코로나19로 인해 전 세계적으로 디지털 전환이 가속화됨에 따라 옥타의 성장 역시 가팔라졌다. 팬데믹 기간 동안 직원들이 보다 안전하게 원격·재택근무를 할 수 있도록 하는 데 기여했다. 그리고 팬데믹이 진정세에 접어든 지금도 기업들이 곳곳에 분산돼 있는 직원들의 모빌리티를 지원하는 데 관심을 쏟고 있어 성장세를 이어가는 중”이라고 말했다.

실제 이와 같은 인식에는 대부분의 조직이 공감하는 것으로 보인다. 옥타의 조사에 따르면 2022년 아시아태평양(중국을 제외한) 조직 중 49%는 제로 트러스트 보안 정책을 도입한 것으로 나타났다. 전년대비 18% 증가한 수치다. 96%의 응답자가 제로 트러스트 보안 정책을 적용 중이나 올해 내 도입을 계획 중인 것으로 파악됐다.

다만 북미 지역 기업의 제로 트러스트 보안 정책 평균 도입률 증가 수치인 31%에 비하면 크게 밑도는 수준이다. 또 제로 트러스트 보안 전략에서 아이덴티티가 비즈니스에 반드시 필요하다는 비율도 15%에 그쳤다. 북미 지역 기업의 36%에 크게 못미친다.

굿맨 부사장은 이를 아시아태평양 지역 기업들과 글로벌 기업들의 보안 전략에 따른 차이로 해석했다. 아시아태평양 지역 기업의 절반 이상은 사용성보다 보안성을 우선시하는 것으로 나타났는데, 보안을 강화하기 위해서는 사용자의 불편함을 감수하는 문화인 만큼 보안을 강화하는 동시에 편의성을 높이겠다는 IAM에 대한 필요성을 덜 느끼고 있다는 것이다.

이는 패스워드리스(Passwordless) 액세스를 도입한 기업들의 비율에서도 확인 할 수 있다. 아시아태평양 기업 중 0.5% 만이 패스워드리스 액세스를 도입했고, 12~18개월 내 구현하겠다고 답한 기업은 10%다. 북미 지역 기업 중 3%는 이미 패스워드리스 액세스를 도입했고, 12~18개월 내 구현하려는 기업은 15%가량이다.

굿맨 부사장은 “한국은 글로벌하게 인지도 높은 기업들이 많은 곳이다. 보고서에서 확인된 아시아태평양 평균치보다는 더 빠르게 전환될 것으로 예상된다. 그리고 이는 앞으로 12~18개월 동안 더욱 가속화될 것”이라고 전망했다.

기업들은 제로 트러스트 구현 과정에서 인재와 스킬 부족 등의 어려움을 겪는 것으로 나타났다. 이와 관련 굿맨 부사장은 “조직들이 추가적인 예산이나 인력, 교육 리소스가 필요치 않으면서 제로 트러스트를 구현하기 위한 솔루션을 찾게 될 것이다. 이는 옥타에게 기회가 될 것”이라고 밝혔다.

옥타는 현재 IAM 시장을 이끌ㄹ고 있는 리더 기업으로 평가된다. 마이크로소프트(MS)의 애저(Azure) 액티브 디렉토리(Active Directory, 이하 AD)가 주요 경쟁자다.

굿맨 부사장은 애저 AD와 비교했을 때 옥타가 가지는 가장 큰 강점으로 특정 벤더에 종속되지 않는 중립성을 꼽았다. 애저 AD의 경우 MS의 클라우드인 애저 환경에 친화적인데, 멀티 클라우드 사용이 일상화된 현재 독립 소프트웨어 벤더(ISV)로서 가지는 이점이 있다는 설명이다.

국내에서는 연초 삼성전자가 해킹조직 랩서스(Lapsus$)에 의해 공격당해 대규모 소스코드가 유출된 사건 이후 보안에 대한 관심이 높아진 상태다. 옥타 역시 랩서스에 공격당한 기업 중 하나인데, 세부적인 권한 부여 및 다중인증(Multi-Factor Authentication, MFA)으로 피해를 막아냈다.

굿맨 부사장은 “전 세계적으로 사이버공격이 활발하게 이뤄지고 있는 가운데 호주에서는 흥미로운 변화가 나타나고 있다. 기업이 MFA 기술을 적용했다면 사이버보안 관련 보험료를 낮춰준다. 위험에 대한 리스크가 낮다고 판단하는 것”이라며 “랩서스와 같은 조직의 활동이 여러 방면에 영향을 끼치고 있는데, 앞으로 옥타의 기술에 대한 수요도 점차 늘어날 것”이라고 피력했다.