AI스페라, “제로 트러스트에도 사각지대 존재”… ASM 기반 대응 전략 제시

글로벌 사이버 보안 기업 AI스페라(AI SPERA, 대표 강병탁)는 제로 트러스트(Zero Trust) 보안 환경의 구조적 한계와 실제 운영 과정에서 발생하는 보안 공백을 주제로 한 웨비나 ‘강병탁의 진짜 보안 이야기 ep.2’를 오는 2월 25일 오후 2시에 개최한다고 밝혔다.

이번 웨비나는 ‘제로 트러스트, 정말 안전한가? 보이지 않는 구멍의 정체’를 주제로 진행될 예정이다. 제로 트러스트는 내부 접근 통제에는 강점을 보이지만, 외부 노출 자산과 정책 이탈(Policy Drift)까지 자동으로 관리해 주지는 않는다. SaaS 확산과 원격 근무 환경이 일반화된 상황에서 외부에 이미 열려 있는 자산을 실시간으로 파악하지 못한다면 ‘제로 트러스트 도입’은 선언에 그칠 수 있다는 우려가 제기된다.

강병탁 AI스페라 대표는 연사로 참여해 제로 트러스트가 등장한 배경과 함께, 많은 조직에서 기대만큼의 효과를 내지 못하는 원인을 설명할 예정이다. 특히 ▲기존 경계 보안(VPN·방화벽)의 구조적 한계 ▲‘누가·어디에·어떤 조건으로’ 접근을 허용할 것인지에 대한 정책 정의의 어려움 ▲기술은 도입됐지만 정책이 비어 있는 제로 트러스트 운영 현실 등을 중심으로 논의를 전개한다.

또한 제로 트러스트 환경에서도 실제로 발생하는 다양한 ‘보안 구멍’ 사례를 소개한다. 관리자 계정 없이 가동되는 취약 서비스, 방치된 서버·도메인·포트 등 섀도우 IT(Shadow IT), 협력사·외주·클라우드 리소스 노출 사례 등은 제로 트러스트만으로는 통제하기 어려운 영역으로 지적된다.

강 대표는 이러한 문제가 반복되는 원인으로 조직 변화와 신규 SaaS 도입으로 인한 정책 이탈, 업무 중단 우려로 인한 과도한 접근 허용, 제로 트러스트가 다시 경계 보안처럼 퇴행하는 구조적 문제를 꼽을 예정이다.

이와 함께 공격 표면 관리(ASM, Attack Surface Management)가 제로 트러스트 환경에서 수행하는 역할도 중점적으로 다룬다. ASM은 ▲제로 트러스트 정책의 시야(Visibility) 확보 ▲비즈니스 변화로 새롭게 생성된 외부 노출 자동 탐지 ▲‘원래 막혀 있어야 하지만 열려 있는 상태’를 검증하는 현실적인 통제 수단으로 소개될 예정이다. 특히 제로 트러스트가 실제 외부 공격 표면과 연결돼 작동하고 있는지를 검증하는 장치로서 ASM의 필요성을 강조할 예정이다.

강병탁 대표는 “제로 트러스트의 핵심은 ‘아무도 믿지 말라’는 구호가 아니라, 무엇이 실제로 노출돼 있는지를 지속적으로 확인하고 통제하는 것”이라며 “기업 환경은 끊임없이 변하지만 정책은 그 속도를 따라가지 못하는 경우가 많다. 제로 트러스트를 도입했음에도 여전히 불안을 느끼는 조직을 위해, 보안의 현실을 점검하는 방법을 공유하는 자리가 될 것”이라고 밝혔다.

이번 웨비나는 토크아이티 플랫폼의 사전 등록을 통해 누구나 무료로 참여할 수 있으며, 실시간 생방송 토크와 함께 질의응답 세션도 진행된다.

한편, AI스페라는 위협 인텔리전스(Criminal IP TI)를 기반으로 한 보안 분석 및 공격 표면 관리(Criminal IP ASM) 기술을 제공하고 있다.