제로트러스트 창시자로 알려진 존 킨더바그(John Kindervag)가 수석 에반젤리스트로 일하고 있는 침해 격리 전문 기업 미국 일루미오(한국지사장 양경윤)가 한국 보안시장 공략에 드라이브를 건다. 

회사는 12일 킨더바그와 데이브 셰퍼드(Dave Shephard) 아태(APAC) 영업총괄 부사장, 양경윤 한국지사장이 참석한 가운데 서울 강남에서 기자간담회를 개최, 자사 솔루션과 한국시장 공략 계획을 설명했다.

킨더바그는 사이버보안 분야에서 25년 이상의 실무 및 업계 분석 경력을 보유한 세계 최고 권위의 사이버보안 전문가 중 한 명이다. 오늘날 글로벌 사이버보안의 표준 패러다임으로 자리잡은 제로트러스트(Zero Trust) 모델의 창시자로 알려져 있다. 포레스터 리서치(Forrester Research) 재직 시절, 보안 및 리스크팀 부사장 겸 수석 애널리스트로 8년 이상 활동하며 제로 트러스트 개념을 처음으로 정립했다. 이번에 처음으로 한국을 방문했다. 1960년생이고, 그의 아버지는 한국전 참전용사이기도 하다. 19세때 참전했다.  

이날 간담회에서는 공격자의 이동 경로에 대한 가시성을 확보하고, 침해 확산을 막기 위한 영역 분할 기능을 제공함으로써 이 같은 위험에 대응하는 일루미오의 플랫폼을 소개했다.

알루미오 플랫폼은 AI 보안 그래프를 기반으로 구현돼 조직이 하이브리드 및 멀티 클라우드 환경 전반에 걸쳐 측면 이동을 식별하고, 차단할 수 있도록 지원한다. 알루미오 플랫폼은 두 핵심 기능으로 구성됐다.

첫째, 일루미오 인사이트(Illumio Insights)로, 이는 트래픽 흐름, 보안 정책 준수 및 예상치 못한 측면 이동에 대한 실시간 가시성을 제공해 사전 예방 및 사후 대응을 가능하게 해준다. 둘째, 일루미오 세그멘테이션(Illumio Segmentation)으로, 이는 정책 기반의 마이크로세그멘테이션을 통해 네트워크 변경 없이 모든 환경에서 침해를 차단하고 최소 권한 액세스를 적용한다.

특히, 마이크로소프트(Microsoft)는 기업 IT 환경 전반에 일루미오 인사이트와 세그멘테이션을 구축했다. MS의 이고르 치간스키(Igor Tsyganskiy) 글로벌 CISO는 "마이크로소프트에 이러한 기능을 도입해야 했을 때, 일루미오는 마이크로소프트 규모에 맞춰 작동하고 우리 환경에서 최적의 결과를 제공할 수 있는 유일한 세그멘테이션 솔루션이었다“고 평가했다.

회사는 일루미오가 혁신 기술로 세계적으로 인정받고 있다면서, 2024년 3분기에 '포레스터 웨이브: 마이크로세그멘테이션 솔루션(Forrester Wave: Microsegmentation Solutions)' 부문에서 선도 기업에 선정됐다고 밝혔다.

■ 사이버보안 비대칭...비용 지출 증가하는데 범죄 손실도 증가

일루미오는 기업의 사이버 보안 관련 비용 지출과 사이버 공격으로 인한 손실 증가 사이의 불균형이 심화되고 있다는 점을 지적했다. 업계 데이터에 따르면 전 세계 보안 지출이 2028년까지 3천5백억 달러를 넘어설 것으로 예상되는 반면 사이버 범죄 관련 손실은 계속해서 증가하고 있다고 설명했다.

이 같은 데이터는 모든 공격을 막는 데 초점을 맞춘 예방 우선 보안 모델의 구조적 한계를 나타내는 것이며, 그보다는 방어 실패 시 피해를 최소화하는 데 중점을 둬야 한다는 부분을 강조하고 있다.

■ 양경윤 한국지사장 한국 상황 전해

이날 양경윤 한국지사장이 한국 상황도 짚었다. 2025년 9월에 시행한 국가망보안체계(National Network Security FRAMEwork, N2SF)는 공공 부문의 네트워크 망분리 의무화를 종식하고, 제로 트러스트 원칙에 부합하는 위험 기반 데이터 분류 모델로 대체하겠다는 핵심 내용을 담고 있다.

이 같은 정책 변화는 클라우드, AI 및 외부 서비스의 안전한 도입을 가능하게 하며, 특히 침해 차단 및 측면 이동 방지에 초점을 맞추고 있다. 또한, 2024년 12월에 업데이트된 KISA의 제로 트러스트 가이드라인 2.0은 4단계 성숙도 모델과 실효적인 구현 지침을 도입해 제로 트러스트를 개념적인 이상을 넘어 구체적인 운영 아키텍처로 자리매김하도록 만들었다.

여기에 더해, 2026년 3월 개정돼 오는 9월 시행 예정인 개인정보 보호법 강화는 개인정보 유출 시 부과되는 과징금을 기존 매출액의 3%에서 최대 전체 매출액의 10%까지 상향하고, ISMS-P 인증 심사를 형식적 문서 검증에서 실제 시스템 작동 여부를 검증하는 실효성 중심 방식으로 전환함으로써 침해 격리의 필요성을 더욱 높이고 있다.

경영진 입장에서 이제 침해 격리는 선택이 아닌 필수적인 리스크 관리 수단이 됐다.

한편, 한국제로트러스트보안협회(회장 김인현)는 11일 한국프레스센터 20층 프레스클럽에서 존 킨더바그 초청 간담회를 개최하고, 국가·공공기관, 금융기관, 수요기업 등을 대상으로 미국과 아태지역의 제로 트러스트보안 추진 상황에 관한 정보를 공유하고, 한국에서 제로 트러스트 보안의 확산과 이용 활성화를 위한 협력방안을 논의했다.

기자간담회에서 존 킨더바그는 격리는 침해 발생 시 피해를 최소화하고, 시스템이 시간이 지남에 따라 적응하고 개선될 수 있도록 만드는 기본적인 요소라고 강조하며, 조직을 기본적인 복원력을 넘어 반취약성으로 나아가게 한다고 역설했다.

또한, 자신의 경력 초기에 개발된 이후 오늘날까지 널리 인용되는 5단계 제로 트러스트 방법론을 소개했다. 그는 이 방법론을 한국 기업들이 제로 트러스트 여정의 어느 단계에 있든 적용할 수 있는 실용적이고, 반복적인 접근 방식이라고 설명했다.

이 방법론은 가장 민감한 보호 영역(DAAS: 데이터, 애플리케이션, 자산, 서비스)을 식별하는 것에서 시작해 격리 범위를 점진적으로 확장해 나가는 방식으로 구성돼 있다.

일루미오는 특히 취약점 패치 및 예방과 같은 방어 전략의 한계가 점점 커지고 있다는 것을 강조했다. 공격 속도가 빨라지고 공격자의 초기 접근 권한 확보가 쉬워지면서 보안팀의 전략적 과제는 모든 침입을 차단하는 것에서 침해 발생 후 피해를 최소화하는 것으로 변화되고 있으며, 이는 측면 이동을 제한하고 광범위한 피해를 방지하기 위한 격리의 중요성을 더욱 부각시킨다.

AI가 취약점 발견과 악용 사이의 간격을 단축시키면서 이러한 압력은 더욱 심화되고 있다. 공격자들은 많은 조직이 감당할 수 있는 수준보다 훨씬 빠르게 움직이고 더 큰 규모로 작전을 수행할 수 있게 됐다. 이러한 환경에서 차단은 단순한 복원력 수단이 아니라 신속한 작전 수행을 위한 필수 요건이 되고 있다.

일루미오는 마이크로세그멘테이션 기반의 침해 격리 분야 글로벌 선두 기업으로 조직이 사이버 공격을 차단하고, 운영 복원력을 강화하는 방식을 재정의한다. AI 기반 보안 그래프를 활용하는 일루미오의 침해 격리 플랫폼은 하이브리드 멀티 클라우드 환경 전반에서 위협을 식별하고, 차단해 공격이 재앙으로 번지기 전에 확산을 저지한다. 마이크로세그멘테이션 부문에서 포레스터 웨이브 #1리더로 선정된 일루미오는 제로 트러스트를 구현해 조직의 사이버 복원력을 강화한다.

한편 데이브 쉐퍼드(Dave Shephard) 부사장은 아시아태평양(APAC) 전 지역의 영업 및 시장 개발을 총괄하며, 기업들이 제로 트러스트(Zero Trust) 및 침해 격리(Breach Containment) 전략을 통해 사이버 복원력을 강화할 수 있도록 파트너십을 이끌고 있다.

그는 20년 이상의 업계 리더십 경험을 바탕으로 조직들이 현대적인 보안 아키텍처를 도입하고, 사이버 리스크 관리에 대한 기존의 관행에 도전할 수 있도록 지원하고 있다. 쉐퍼드 부사장은 일루미오 합류 이전, 비트글래스(Bitglass)에서 APJ(아시아태평양·일본) 담당 부사장으로 아시아 지역 사업 운영과 성장을 주도했으며, 태니엄(Tanium), 텔스트라(Telstra), RSA 등 글로벌 보안·통신 기업에서 다양한 시니어 영업 리더십 역할을 수행해 왔다.

그는 이를 통해 엔터프라이즈 보안 시장에 대한 깊이 있는 이해와 광범위한 비즈니스 네트워크를 구축한 경험을 갖추고 있다.쉐퍼드는 현재 일루미오의 APAC 영업총괄 부사장으로서 한국·호주·동남아 등 아시아태평양 전 지역에 걸쳐 고성과(High-Performance) 영업 조직을 구축하고, 채널 기반 성장 전략에 집중하고 있다.

제로트러스트는 "절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"는 원칙에 기반한 보안 아키텍처로 위협은 내부 네트워크를 포함한 어디에서든 위협이 발생할 수 있으며, 침해는 필연적이라는 전제 하에 설계됐다.

제로 트러스트는 개념 발표 초기에 업계의 강한 회의론에 직면했으나, 2015년 미국 인사관리처(OPM) 대규모 데이터 침해 사고를 계기로 정부 및 민간 부문 모두에서 광범위하게 주목받기 시작했다. 이후 제로 트러스트는 사이버보안의 핵심 전략으로 전 세계에 확산됐다.

한편 킨더바그는 2021년에는 미국 대통령 직속 국가안보통신자문위원회(NSTAC) 제로 트러스트 소위원회 위원으로 임명돼 대통령에게 제출된 NSTAC 제로 트러스트 공식 보고서의 주요 저자로 참여한 바 있다. 같은 해 CISO 매거진(CISO Magazine)으로부터 올해의 사이버보안 인물(Cybersecurity Person of the Year)로 선정됐다. 현재는 일루미오의 수석 에반젤리스트로서 제로 트러스트 세그멘테이션(Zero Trust Segmentation)의 인식 확산과 시장 채택 가속화를 이끌고 있으며, 클라우드 시큐리티 얼라이언스(Cloud Security Alliance) 등 다수 기관의 자문위원으로도 활동 중이다.

■킨더바그가 제시한 제로트러스트 5단계

John Kindervag 가 제시한 5단계 제로 트러스트 방법론은 단순한 보안 기술 도입 절차가 아니라, 기업의 보안 철학 자체를 바꾸는 접근법이다. 그는 기존의 보안 체계가 “네트워크 내부는 안전하다”는 전제 위에 구축돼 있었지만, 클라우드와 모바일, 원격근무, SaaS 환경이 확대되면서 이런 방식이 더 이상 유효하지 않다고 봤다. 내부 사용자 계정도 탈취될 수 있고, 내부 시스템 역시 공격자가 이미 침투해 있을 가능성을 전제로 해야 한다는 것이다. 그래서 그는 “절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)”는 새로운 원칙을 제시했고, 이를 조직이 실제로 구현할 수 있도록 5단계 방법론으로 체계화했다.

첫 번째 단계는 ‘보호 표면(Protect Surface)’을 정의하는 것이다. 기존 보안은 조직 전체 네트워크라는 거대한 공격 표면을 모두 방어하려 했다. 그러나 킨더버그는 이런 방식은 현실적으로 불가능하다고 판단했다. 공격 대상은 계속 늘어나고 변화하기 때문이다. 대신 그는 조직에서 가장 중요한 자산을 우선 식별해야 한다고 강조했다. 고객 개인정보 데이터베이스, 핵심 금융 시스템, 클라우드 관리자 계정, AI 모델, 산업제어시스템 같은 요소들이 여기에 해당한다. 그는 이를 데이터(Data), 애플리케이션(applications), 자산(Assets), 서비스(Services)의 약자인 DAAS 개념으로 설명했다. 즉 모든 것을 막연히 보호하려 하지 말고, 조직 운영에 치명적인 핵심 요소를 정확히 정한 뒤 그것을 중심으로 보안을 설계하라는 의미다.

두 번째 단계는 ‘트랜잭션 흐름(Transaction Flow)’을 분석하는 과정이다. 보호해야 할 대상이 정해지면, 이제 그 대상과 실제로 연결되는 사용자와 시스템, 애플리케이션, API, 네트워크 흐름을 모두 파악해야 한다. 누가 어떤 시스템에 접근하는지, 어떤 서버가 어떤 데이터와 통신하는지, 어떤 포트와 프로토콜이 사용되는지를 시각적으로 이해하는 단계다. 킨더버그는 “보이지 않는 것은 보호할 수 없다”고 강조했다. 이 단계는 오늘날 마이크로세그멘테이션과 동서(East-West) 트래픽 분석의 기반이 됐다. 

세 번째 단계는 실제 제로 트러스트 아키텍처를 설계하는 단계다. 여기서 킨더버그는 네트워크를 잘게 분리하는 마이크로세그멘테이션(Microsegmentation)을 핵심 개념으로 제시했다. 과거에는 기업 내부 네트워크에 한 번 들어오면 대부분의 시스템에 자유롭게 접근할 수 있는 경우가 많았다. 그러나 제로 트러스트에서는 한 영역이 침해되더라도 공격자가 다른 시스템으로 이동하지 못하도록 네트워크를 세밀하게 분리해야 한다고 본다. 또한 모든 접근은 최소 권한 원칙(Least Privilege)에 따라 허용돼야 한다. 즉 사용자는 자신의 업무에 필요한 최소한의 권한만 가져야 하며, 기본 정책은 ‘허용’이 아니라 ‘거부(Default Deny)’여야 한다는 것이다. 사용자가 내부망에 있다는 이유만으로 신뢰하는 것이 아니라, 매번 인증과 검증을 수행해야 한다는 점이 핵심이다.

네 번째 단계는 정책(Policy)을 만드는 과정이다. 킨더버그는 접근 통제가 단순히 IP 주소나 네트워크 위치만으로 이뤄져서는 안 된다고 봤다. 대신 사용자 신원, 디바이스 상태, 위치, 시간, 위험 수준, 행동 패턴 같은 맥락(Context)을 종합적으로 고려해야 한다고 주장했다. 예를 들어 개발자만 특정 코드 저장소에 접근할 수 있도록 제한하거나, 해외에서의 관리자 로그인은 차단하거나, 특정 시간 외 접근은 추가 인증을 요구하는 식이다. 오늘날의 조건부 접근(Conditional Access), 적응형 인증(Adaptive Authentication), 다중인증(MFA) 개념은 모두 이런 철학에서 발전했다. 중요한 것은 접근 권한이 고정적으로 부여되는 것이 아니라, 상황에 따라 동적으로 판단돼야 한다는 점이다.

마지막 다섯 번째 단계는 지속적인 모니터링과 유지 관리다. 킨더버그는 제로 트러스트를 단발성 프로젝트가 아니라 끊임없이 운영하고 개선해야 하는 살아있는 체계라고 설명했다. 기업 환경은 계속 변하기 때문이다. 새로운 애플리케이션이 추가되고, 직원 역할이 바뀌고, 클라우드 환경이 확장되며, 공격 기법도 계속 진화한다. 따라서 로그 분석, 이상 행위 탐지, 위협 헌팅, 정책 재평가 등을 지속적으로 수행해야 한다. 오늘날의 SIEM, XDR, SOAR 같은 보안 플랫폼들이 바로 이런 지속적 감시 체계를 지원한다. 결국 제로 트러스트의 목표는 단순히 침입을 막는 것이 아니라, 침입이 발생하더라도 공격자가 자유롭게 이동하거나 권한을 확대하지 못하게 만드는 것이다.