Cappuccino sapiens

2019년 7월, 미국의 대형은행인 캐피탈 원(Capital One)은 해킹으로 1억 6백만명의 고객정보가 유출되었다고 자사홈페이지를 통해 공개하였으며, 이로 인해 약 1,773억원의 피해가 발생한 것으로 추정하고 있습니다. 유출된 고객정보에는 이름, 주소, 전화번호 등 신상정보와 신용점수 및 한도 등 금융정보까지 방대한 정보를 포함하고 있으며, 특히, 8만개 계정, 14만개 사회보장번호, 그리고 1백만개 캐나다 사회보험 번호가 노출되었습니다.

해커는 아마존의 시스템 엔지니어로 근무(2015년~2016년)했던 Paige A. Thomson이었습니다. Paige는 AWS에 설치된 오픈소스 WAF (Web Application Firewall)가 SSRF (Service-Side Request Forgery) 공격을 탐지하지 않도록 설정(default)되어 있다는 점을 이용해, S3데이터베이스에 접근할 수 있는 인증정보를 획득하였습니다.

캐피털 원은 많은 다른 선진 기업들이 클라우드로 이전한 전략을 받아 들여 디지털 혁신을 주도하고자 했으나, 결과적으로는 클라우드에 대한 충분한 이해 부족으로 더 많은 혼란을 겪게 되었습니다.  

비정상 접근시도 모니터링 및 차단

외부에서 접근이 가능한 웹서버를 통해 방화벽(Firewall)을 우회하여, 내부 시스템으로 접근할 수는 SSRF공격은 퍼블릭 클라우드의 가장 위험한 공격 중 하나 입니다. SSRF와 같은 공격을 방어하기 위해서는 화이트리스트 기반의 접근통제로 신뢰하는 연결만 허용하며, 비정상적인 접근이나 새로운 내부로의 접근시도에 대한 탐지와 차단을 수행 합니다.

감사로그 분석을 통한 비정상적인 행위 탐지

클라우드 서비스 제공자(CSP)는 네트워크와 사용자 계층에서 데이터의 가시성을 제공하는 감사로그 툴을 제공하기도 하지만, 데이터가 광범위하고 다루기가 쉽지 않습니다. 감사로그를 분석하고 비정상 행위를 탐지할 수 있는 전용 솔루션을 도입하여, 데이터 침해사고에 대한 예방과 대응을 수행합니다.  

클라우드 서비스 제공자(CSP)의 네이티브 환경 이해와 공동 대응

사용자는 CSP가 제공하는 Anti-DDoS, F/W, WAF 등과 같은 네이티브 앱과 운영환경에 대한 충분한 이해를 기반으로 사용여부를 결정하고, 서비스 설계시 반영 합니다. 또한, CSP와 협조하여 공동의 선제적인 침해사고 방어 대책을 세우도록 합니다.   

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

2019년 5월 20일, 테크크런치는 인도 뭄바이에 위치한 소셜 마케팅업체 치트르박스(Chtrbox)가 운영하는 데이터베이스에 패스워드 없이 접근이 가능하며, 이로 인해 인스타그램 인플루언서를 포함한 4,900만개의 계정정보가 노출됐다고 보도했습니다. 계정정보에는 이용자 전화번호와 이메일 주소를 포함해 프로파일 이미지, 팔로워 수, 공유 게시물 수 등 활동 지표가 포함되어 있었으며, 데이터는 유명인들을 포함한 최신의 데이터라고 전했습니다.

이러한 소식이 전해지자 치트르박스는 즉각적으로 데이터베이스와 연결된 인터넷을 차단했습니다. 이후, 인스타그램은 자체 조사를 통해 치트르박스가 가진 정보에는 개인정보가 포함되어 있지 않으며, 이미 공개된 정보라는 주장한바 있습니다.

인스타그램은 2년전에도 개발자 API의 버그문제로 인해 유명인들의 계정을 포함해 6백만개의 계정이 유출된 이력이 있습니다. 해당 계정에는 핸드폰 번호, 이메일 주소 등이 포함되어 있었으며, 정보를 탈취한 공격자들은 해당 정보 검색용 유료사이트(1건당 10달러)를 개설하기도 했습니다.

클라우드 환경에서 패스워드의 부적절한 설정이나 보안에 대한 충분한 이해 부족으로 인해 발생하는 이러한 침해사고는 지속적으로 발생하고 있습니다. 치트르박스와 같은 단순 실수로 인한 사고는 외부로 부터의 인지 이후에나 깨닫게 되는 경우가 많습니다. 아직까지 클라우드를 운영하는 많은 기업들은 효과적인 보안설정, 컴플라이언스 모니터링, 데이터 유출 탐지, 보안 인식제고 등에 있어 충분한 준비가 되어 있지 않습니다 . 

충분한 통찰력 내재화 및 조직의 보안역량 강화

빠르게 변하는 기업의 서비스와 기술요건 충족을 위해, 컴퓨팅 인스턴스와 스토리지 또한 시의적절하게 변경이 필요합니다. 하지만, 성급한 인프라의 변화로 인해 강한 패스워드 적용, 다중인증 구현, 주기적인 키 변경, 최소권한 할당 등 중요한 보안요소들에 소홀 할 수 있습니다.  따라서, 클라우드 계정, 워크로드, 컨테이너 인프라에 대한 충분한 이해를 기반으론 환경설정 오류, 미흡한 보안정책 적용, 데이터 침해사고로 이어질 수 있는 간과하기 쉬운 요소들에 대해 점검하고 정정할 수 있는 능력을 키워야 합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

페이스북의 가장 큰 장점 중에 하나는 외부에서 제공되는 매력적인 다양한 앱들을 제공한다는 것입니다. 하지만, 페이스북 사용자 입장에서는 새로운 데이터 침해 경로가 추가되는 셈입니다. 외주 제작의 앱들의 경우, 페이스 북과 동일한 수준의 보안관리 또는 데이터 관리를 하지 않는 경우가 있습니다. 보안 전문업체인 UpGuard에 따르면, 멕시코의 디지털 미디어 회사인 Cultura Colectiva는 AWS 서버 보안관리 실수로 인해 5억 4천만명 이상의 페이스북 사용자 정보를 유출시켰습니다. 이들 레코드에는 상세한 프로필 정보를 포함해, 사용자 ID, 계정 이름 등도 포함되어 있었습니다.

유사한 기간에 “At the Pool” 이란 앱을 통해 약 22천개의 패스워드가 AWS S3에서 유출됐으며, 유출 당시 S3는 보안이 적용되지 않았으며, 패스워드 역시 암호화 되지 않은 상태였습니다. 사용자는 한번 세팅한 패스워드는 여러 사이트에서 재사용하기 때문에, 패스워드는 다크웹에서 흔히 거래되는 아이템으로 크리덴셜 스터핑에 사용되기도 합니다. 다행인 것은 “At the Pool”은 최근 5년동안 운영이 되지 않았기 때문에, 패스워드의 유효성은 낮았을 것으로 판단됩니다. 이렇듯, 보안이 허술한 기업과의 연동은 또 다른 보안 홀을 만들 수 있습니다.

위와 같은 침해사고에 대한 대책으로는 다음과 같습니다.

보안설정 값 진단 및 관리

네트워크 및 보안장비, WEB/WAS/DB 서버, PC, 어플리케이션 등의 중요한 보안 설정이 올바로 설정되어 있는지를 진단하는 것처럼, IaaS 설정 또한 보안 요구조건을 만족하고 있는지를 주기적으로 점검하고 수정합니다.  

환경설정 오류 예방 및 불충분한 변경제어 관리

접근권한 관리, 디폴트 값 변경 등의 설정을 진행하는 과정에서 발생할 수 있는 오류 및 설정 값들 사이의 불일치성에 대해 확인하고 수정하며, 주기적인 관리감독이 필요합니다. 컴플라이언스 진단도구와 같은 비용효과적인 편리한 관리도구를 활용하여 네트워크 인프라, 하드웨어, ID 관리에 대한 설정 값들을 주기적으로 확인하고 보안 모범사례를 적용합니다.

데이터 흐름 통제 및 암호화

데이터 경로 분석 및 통제, 비즈니스 파트너 심사, 데이터 보존 기한 심사 등 강력한 데이터 보안통제를 통해 보안사고 발생시 내·외부의 영향력을 최소화 시킵니다. 또한, 데이터 암호화를 통해 침해사고로 인한 데이터 유출을 차단합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

지난 2019년 한해는 클라우드 보안에 있어 정말 험난한 한해였으며, 서비스 측면에서 중대한 변화가 요구되는 시기였습니다. 최근 가트너는 클라우드 보안에 대한 재평가를 통해 ”고객의 실수로 인한 클라우드 보안장애가 99%에 달할 것이다.“ 라고 경고한 바 있습니다. 이는 조금 과장되었기도 하지만, 클라우드가 미래 경제의 핵심이라는 부정할 수 없는 상황에서, 클라우드 보안은 진일보적인 기술로의 진화를 견고히 하기 위한 필수 요소임을 강조한 것이라고 볼 수 있습니다.

데이터는 과거의 그 어느 때보다도 많이 축적되어 가고 있으며, 클라우드는 이러한 데이터의 무한한 증가를 부축이고 있습니다. 이러한 데이터의 증가로 인해 보안 이벤트 또한 기하급수적으로 증가하고, 이는 기존의 보안기술로 해결하기에는 역부족임을 깨닫게 합니다.

가트너는 이러한 현상에 대해 ”퍼블릭 클라우드 사용을 통제하지 못하는 조직 중 90%는 민감한 데이터를 부적절하게 다루고 있다“ 고 이야기 하고 있습니다. 불행히도 이러한 회사들은 자사 브렌드에 치명적인 악영향을 주게 될 것이며, 법적인 책임 또한 무겁게 짊어지게 될 것입니다.

국제적으로 데이터의 중요성과 개인정보 침해에 대한 이해도가 높아짐에 따라, 각 정부는 시민들의 권리를 보장하기 위한 법적인 규제를 더욱 강화하고 있습니다. 따라서, 데이터가 모여있는 클라우드 보안은 필연적인 과제이며, 향후에도 지속적으로 문제를 도출하고 해결방안에 대해 고민이 필요합니다. 우선적으로 지난 보안사고를 되짚어 보고, 어떻게 해결 했는지에 대한 모범사례에 대해 학습할 필요가 있습니다.

지난해 발생한 대표적인 5가지 보안사고는 아래와 같으며, 각 보안사고에 대해 어떻게 대응했는지 살펴 보도록 하겠습니다.

  1. 4월 2일, 페이스북 (Cultura Colectiva)

   - 침해 규모: 540,000 레코드 (146 GB)

  2. 4월 25일, Docker Hub

   - 침해 규모: 190,000 accounts

  3. 5월 20일, Instagram (Chtrbox)

   - 침해 규모: 49 백만 레코드

  4. 7월 29일, Capital One

   - 침해 규모: 8만 은행 계좌, 1백만 이상 정부ID

  5. 9월 13일, Autoclerk

   - 침해 규모: 10만 명의 예약자 정보(약 179 GB)

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

매년 Cloud Security Alliance (CSA)는 클라우드에 대한 핵심 보안위협과 취약점들에 대한 이해를 돕고 보안경각심을 고취하고자 “Top Threats to Cloud Computing”을 발간하고 있습니다. 최근 버전인 ” Top Threats to Cloud Computing: Egregious Eleven”에서는 11개의 주요 클라우드 보안위협과 보안대책에 대해 소개하고 있습니다.

보고서에 따르면, 기존의 클라우드 서비스에서 발생하는 DDoS, 기술 취약점, 데이터 손실 등과 같은 보안문제는 감소한 반면, 사용자의 운영과정에서 발생하는 환경설정 오류, 불충분한 접근통제 등으로 인한 보안사고가 증가하고 있는 것으로 나타났습니다.

디지털 트렌스포메이션을 가속화하기 위해 클라우드는 필수 불가결한 서비스로서, 이제는 클라우드의 보안위협에 대해 충분히 이해하고 준비할 필요가 있습니다. 다음은 ”Egregious 11“에서 소개된 11가지의 클라우드 보안위협 중 상위 6가지의 보안위협에 대해 살펴보겠습니다.

1. 데이터 침해 (Data Breach)

평균 데이터 침해의 평균 비용은 3.92백만달러에 달하며, 클라우드로 데이터가 집중 됨에 따라 개인정보를 포함한 데이터 관리에 있어 가장 큰 클라우드 보안위협으로 대두되고 있습니다.

2. 환경설정 오류 및 불충분한 변경 제어 (Misconfiguration and Inadequate Change Control)

과도한 접근권한 부여 및 디폴트 값 미변경 등을 포함하며, 데이터 수정·유출 등 침해와 서비스 정지 등의 원인이 됩니다. 클라우드의 동적인 특성으로 인해 이러한 환경설정 및 변경제어를 어렵게 하는 경향이 있습니다.

3. 클라우드 보안 구조 및 전략설정 미흡 (Lack of Cloud Security Architecture and Strategy)

사이버 공격을 방어할 수 있는 클라우드 보안구조나 보안전략에 대한 준비 없이 성급한 클라우드로의 이전은 전방위적인 데이터 손실을 유발할 수 있습니다. 또한 클라우드 보안 책임공유모델에 대한 불충분한 이해 또한 침해사고에 대한 준비 부족의 원인이 됩니다.

4. 불충분한 신원, 자격증명, 접근, 키 관리 (Insufficient Identity, Credential, Access and Key Management)

클라우드 환경에서 사람 뿐만 아니라 응용프로그램 및 기기에 대한 인증을 포함하는 특권자격에 대한 증명은 절대적으로 강력한 요소이며 공격의 주요 타깃이 되고 있습니다. 일단 공격자가 특권 인증정보를 얻게 되면, 클라우드의 민감정보를 포함해 모든 데이터에 접근이 가능하며 모든 통제권을 갖게 됨을 의미합니다.

5. 계정 탈취 (Account Hijacking)

공격자는 클라우드의 특권 사용자 계정을 탈취하기 위해, 지속적으로 취약점을 분석하고 피싱 등의 공격을 통해 목적을 달성하려 합니다. 탈취된 계정을 통해 서비스 접근이 가능하며, 데이터 삭제는 물론 서비스 운영에 중대한 장애의 요인이 됩니다.

6. 내부자 위협 (Insider Threats)

악의적인 내부자는 임직원, 퇴사자, 외주인력 등 현재의 시스템에 접근이 가능하며, 자신의 권한을 이용해 조직에 해를 끼치는 사용자를 의미합니다. 내부자는 합법적인 접근권한을 소유하고 있기 때문에 누가 위협원이 될지를 사전에 판단하는 것은 쉬운 일이 아니며, 이를 판단하기 위해 많은 비용이 수반됩니다. Ponemon 연구보고서에 따르면, 내부자 보안위협으로 인한 피해액은 최근 2년 동안 31%나 증가했으며, 약 11.45백만달러에 달한다고 합니다.

그 외 보고서에서 소개된 클라우드 보안위협은 다음과 같습니다.

7. Insecure Interfaces and APIs

8. Weak Control Plane

9. Metastrurcture and Applistructure Failures

10. Limited Cloud Usage Visibility

11. Abuse and Nefarious Use of Cloud Services

※ 원문: The Egregious 11: Examining the Top Cloud Computing Threats

내부자 위협은 의도적이든 의도적이지 않든 회사의 자산에 불법적으로 접근하여 피해를 주는 것을 말합니다. 내부자는 현재 직원만을 의미하지 않으며, 퇴사자, 외주 인력, 파트너사 직원 등 회사의 시스템 또는 데이터에 접근할 수 있는 누구나를 의미합니다.

연구결과에 따르면, 내부자 위협은 기업의 데이터 침해사고의 약 60% 정도로 상당히 많은 부분을 차지하고 있으며, 그 비용 또한 외부자에 의한 피해비용 대비 높은 것으로 알려졌습니다. Ponemon의 ‘2018 Cost of Insider Threats’에 따르면, 연평균 내부자 위협의 비용은 $8.76백만달러로, 같은 기간 데이터 침해사고의 연평균 비용 $3.86백만 달러 대비 약 2.3배나 높게 나타났습니다.

내부자들은 이미 합법적인 내부 정보에 접근이 가능하며, 어디에 중요한 데이터가 있는지, 그리고 어떻게 권한상승을 하는지 등 오랜 기간의 관찰과 경험을 통해 잘 파악하고 있기 때문에, 내부자 위협을 사전에 발견하고 대응하는 일은 쉬운 일이 아닙니다. 보안전문가들에 따르면 내부자의 기본적인 행위에 대한 파악이 부족하고, 특권사용자에 대한 관리부족으로 인해 발생하고 있다고 말합니다. (2019, SANS report on advanced threats)

내부자 위협은 침해동기, 보안 인식, 접근 등급, 의도에 따라 분류될 수 있으며, 가트너는 위협을 제공하는 내부자를 졸개(Pawn), 저능아(Goof), 협력자(Collaborator), 단독범(lone wolf)으로 구분하였습니다.

  - 졸개: 스피어 피싱 또는 소셜 엔지니어링 등으로 인해 악성코드에 감염되어 내부 시스템 및 데이터로 침투경로를 제공하거나 인증정보인 크리덴셜을 탈취당해 2차적인 침해사고를 유발

  - 저능아: 조직의 보안정책에 관심이 없거나 종종 보안정책을 무시하여 편의적으로 시스템을 우회. 약 95%의 직원이 보안통제 우회를 시도하고, 내부자 침해사고의 90%가 이들에 의해 발생

  - 협력자: 경쟁사 또는 정부지원 해커 등 외부 공격자와 협력하여, 외부에서 내부로 접속 할 수 있도록 경로를 개방하여 데이터 유출을 도와 주며, 주로 산업기밀 정보나 고객정보를 탈취

  - 단독범: 외부와의 협업 또는 간섭없이, 조직에 악의적 감정을 가지고 피해를 주기 위해 단독으로 범행을 수행하며, 특히 시스템 또는 DB 관리자 등과 같은 높은 등급의 계정사용자로 변심이 크게 작용

내부자 위협을 방어하기 위해서는 SIEM (Security Information and Event Management) 및  UEBA(User and Entity Behavior Analytics) 등의 솔루션을 통해 데이터 접근기록과 사용자의 행위를  모니터링하고 분석하여 이상행위를 탐지하고 대응합니다. 특히, 멀티 클라우드 및 하이브리드 클라우드 등 시스템의 복잡성이 증가하고 데이터 및 관리포인트가 분산됨에 따라, 데이터 접근에 대한 특권 사용자(API, 응용 프로그램, 계정 등)의 효율적 관리를 위해 IAM (Identity and Access Management) 솔루션을 활용합니다. IAM을 SIEM과 연동할 경우, 내부 사용자의 이상행위를 실시간으로 모니터링하고 즉각적인 대응을 수행합니다.

※ 원문: What Are Insider Threats and How Can You Mitigate Them?

※ IBM Security solution

  - Qradar: 가장 심각한 위협에 대한 인사이트를 제공하는 지능형 보안 분석 플랫폼 - 데이터 위치와 상관없이 클라우드 환경에서 구매 및 배포 가능한 SIEM 솔루션

  - Security Verify Access: 증, 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 싱글 사인온 제공, 다단계 인증 등의 기능을 수행하는 IAM 솔루션

 - Resilient: 기 구현된 보안 및 IT 기술을 쉽고 빠르게 통합하며, 중요한 인텔리전스 및 인시던트 컨텍스트 제공을 통해 복잡한 공격을 민첩하고 정확하게 차단하는 SOAR 플랫폼

이상거래 탐지시스템(Fraud Detection System, FDS)은 전자금융거래를 노린 사기 행위를 사전에 탐지 및 차단하여 금융거래의 안전성을 향상시키고자, 2013년 이후 금융권에서 도입하여 사용하고 있습니다. FDS는 금융거래에 사용되는 단말기, 접속정보, 거래내용 등을 종합적으로 분석해 의심스러운 거래를 찾아내고 차단합니다. 2014년 카드사의 대규모 고객정보 유출 사태로 인해, FDS에 대한 구축은 빠르게 확산되었습니다.

전자금융 거래량의 증가와 간편결제 수단의 다양화와 더불어 고도화되는 사기수법에 따른 보안위협의 증가는 초기 구축된 FDS에 한계를 나타내게 됩니다. FDS 기술의 변천과정은 다음과 같습니다.

  1단계) 추출 표본 대상으로 이상 징후를 포착하는 색출 샘플링(Discovery Sampling) 방식은 거래량 및 거래과정의 복잡도 증가로 인해 이상거래탐지가 어려워 짐

  2 단계) 컴퓨터 기반의 FDS는 전문가의 사전정의 룰에 의존적인 방식으로 동작방식의 한계에 직면

  3단계) 수학, 통계, 머신러닝 등의 알고리즘을 사용한 데이터마이닝 방식은 사기패턴 발견 등을 자동화함으로써 오탐율을 감소시켰으나, 여전히 한계점을 드러냄

  오탐사례) 회사 부서원 10여 명에게 모바일 뱅킹 송금시 거래 정지 (2015년)

  사고사례) 카카오뱅크, 1분 간격으로 체크카드 도용해 해외 사이트에서 결제 (2017년)

금융권은 이러한 문제점을 해결하기 위해, 인공지능과 머신러닝 기반의 FDS 도입으로 사기행위 탐지율의 정확도 향상, 오탐율 최소화, 실시간 탐지 및 대응 등 대규모 프로젝트를 진행행하고 있으며, FDS와 SoC를 연계해 실시간 모니터링 및 보안포털과의 연계 등 종합적인 대응시스템을 구상하고 있습니다. 하지만, 이러한 대규모 프로젝트는 몇몇 금전적인 여유가 있는 금융회사를 제외하고는 엄두를 낼 수 없는 상황입니다.  

더구나, 최근에 모바일 금융서비스 토스의 부정결제 사건과 대형 보험사의 신분증 위조를 통한 비대면 계좌개설 등 갈수록 교묘해 지고 고도화 되고 있는 사기수법들은 금융권의 보안에 대한 새로운 해법을 고민하게 합니다. 

※ IBM Frau Protection (Trusteer) 는 사용자 접속 패턴 및 바이오 행위 패턴 학습을 통해 크리덴셜 도용을 방지하고, 인공지능에 의한 판단으로 모바일 뱅킹에 대한 사기를 식별하고 오탐을 최소화 합니다. FDS가 사기행위를 판단하기 이전에, 인증정보인 크리덴셜 탈취 및 위조를 식별하여 디지털 사기를 원천적으로 방지합니다. 이는 디지털 사기 오탐 최소화로 고객불만 또한 획기적으로 감소시킴으로써 운영비용을 절감 할 수 있습니다.

제로 트러스트는 기본적으로 그 어떠한 접근에 대해서도 신뢰하지 않는 다는 개념에서 출발하며, 데이터에 접속을 원하는 어떤 것이든 적절한 인증절차를 통해 신원을 확인하는 것을 말합니다. 시스템의 복잡성 증가, (멀티)클라우드 사용증가, 재택근무 환경 등으로 인해 운영환경과 접근하려는 개체가 불명확해지는 상황에서 제로 트러스트는 보안위협을 줄일 수 있는 가장 합리적인 방안으로 대두되고 있습니다.  제로 트러스트를 통해 기본적으로 회사의 보안을 강화할 수 있으며, 추가적으로 다음과 같은 효과를 볼 수 있습니다.

- 트래픽 감소로 인해 네트워크 성능 향상

- 데이터 침해사고에 대한 탐지시간 단축

- 네트워크 오류 감지능력 향상

- 로깅 및 모니터링 절차 단순화

제로 트러스트를 구현하기 위해 가장 우선적으로 고려할 사항은 네트워크를 세분화하는 것입니다. 이는 민감한 정보를 다루는 호스트와 서비스를 일반 망으로부터 분리하는 것을 의미하기도 합니다. 마이크로 세그멘테이션 또한 네트워크들간의 수평적으로 전파될 수 있는 위협을 방어하는 수단이 되기도 합니다. 다음 단계는 시스템 경계를 정의하고, 네트워크의 모든 단일 포인트에 대한 모니터링을 실시하며, 최소한의 데이터 접근원칙에 따라 접근통제 정책을 수립하여 운영합니다.

기업의 보안강화를 위한 제로 트러스트에 대한 적정한 투자는 어느 정도이어야 할까요? 미국의 North Dakota 주는 70%의 제로 트러스트를 통해 가장 강력한 보안을 구현했다고 이야기 하고 있으며, Lexmark International 사는 제로 트러스트를 구현하기 위해 꼬박 2년이 소요되었다고 하기도 합니다.

현재와 같은 팬데믹 상황에서 가장 필요한 제로 트러스트를 전사에 100% 완벽하게 구현하는 것은 현실적으로 무일 수 있습니다. 하지만, 위험분석을 통해 데이터의 중요도에 따라 우선순위를 정하여 점차 이를 확대해 나간다면, 내부적인 기술역량 축적과 더불어 목적을 달성 할 수 있을 것입니다.   

※ 참고

 - Take a Data-Centric Approach to Zero Trust to Protect Your Most Critical Assets

 - Zero Trust in 2020: More Important Than Ever Before

 -  It’s Time to Take a Fresh Look at Zero Trust