제로 트러스트의 경제학: '쉬운' 경로가 더 많은 비용이 드는 이유

작성자: 네이트 브래디 - 클라우드 보안 아키텍트

2025년 7월 17일 5 1분 읽기

사이버 보안 업계에서는 Zero Trust Network Access (ZTNA)를 노후화된 VPN 인프라를 직접 대체하고, 중단을 최소화하며, 시간이 지남에 따라 정책을 점진적으로 마이그레이션하는 등 흥미로운 공감대를 형성해 왔습니다. 조직의 복잡한 변화를 피하면서 최신 보안 이점을 얻을 수 있다는 메시지는 설득력이 있습니다. 하지만 경제적인 측면에서는 다른 이야기가 나올 수 있습니다.

이 '쉬운' 길을 택하는 조직은 단기적인 중단을 최소화하기 위한 접근 방식이 실제로는 장기적인 비용을 최대화한다는 사실을 알게 될 것입니다. 반면, ZTNA 마이그레이션을 근본적인 IT 혁신의 기회로 여기는 조직은 운영 효율성 측면에서 땀의 결실을 보게 될 것입니다. 저는 빠르고 쉬우며 좋은 3요소를 굳게 믿고 있으며(이 중 두 가지만 선택할 수 있음), 이 블로그에서는 ZTNA 도입에 이 3요소가 어떻게 적용되는지 설명하겠습니다.

애플리케이션 인벤토리 위기

이 역설의 근원은 대부분의 기업이 공유하고 있지만 거의 인정하지 않는 사각지대에 있습니다. 즉, 어떤 애플리케이션을 보유하고 있는지, 누가 어떤 데이터로 사용하는지, 어떤 비즈니스 가치를 제공하는지 실제로 알지 못한다는 것입니다. 수년간의 유기적인 IT 성장, 인수, 부서별 이니셔티브로 인해 애플리케이션 포트폴리오는 쉽게 분류할 수 없을 정도로 방대해졌습니다.

기존의 VPN 인프라는 이러한 불투명성을 가능하게 했습니다. 광범위한 네트워크 접속 정책은 실제 애플리케이션 사용 패턴을 모호하게 만듭니다. 직원들이 '네트워크의 모든 것'에 접속할 수 있다면 특정 애플리케이션의 존재 이유나 접속이 필요한 사용자를 정당화할 필요가 없습니다. VPN은 근본적인 거버넌스 격차를 가리는 편리한 추상화 계층이 됩니다.

ZTNA-as-VPN 대체 접근 방식은 이러한 역학 관계를 지속시킵니다. 공급업체는 조직의 혼란을 최소화하면서 기존 액세스 패턴을 복제할 수 있다고 약속합니다. 암묵적인 메시지: 보호 대상에 대한 이해의 불편함 없이 제로 트러스트 보안을 달성할 수 있습니다. 이는 복잡성을 보상하고 합리화를 피하는 시장 인센티브 구조를 만듭니다.

경제적 영향을 고려하세요. 조직은 원래의 사업적 타당성이 만료된 애플리케이션을 일상적으로 유지 관리합니다. 사용자 수가 감소하는 소프트웨어에 대한 라이선스 비용을 지불합니다. 통합하거나 폐기할 수 있는 시스템에 인프라 리소스를 할당합니다. VPN 교체 모델은 이러한 비효율성을 방지하는 동시에 새로운 기술 비용을 추가합니다.

"위험 완화"의 잘못된 경제학

조직이 의사 결정의 틀을 짜는 방식을 살펴보면 아이러니는 더욱 심화됩니다. 애플리케이션 인벤토리 및 합리화 프로세스는 '위험'한 것으로 특징지어지는데, 실수로 중요한 것에 대한 액세스를 제한하면 어떻게 될까요? 애플리케이션 소유자가 정당화 요건에 대해 반발하면 어떻게 할까요? IT 포트폴리오가 생각보다 더 혼란스럽다면 어떻게 해야 할까요?

이러한 우려는 진정한 조직의 역학 관계를 반영하지만 위험 계산은 거꾸로 되어 있습니다. 실제 위험은 IT 환경에 대한 끊임없는 무지에 있습니다. 보안팀은 이해하지 못하는 애플리케이션에 대해 효과적인 제어를 구현할 수 없습니다. 규정 준수 노력은 실질적인 위험 관리가 아닌 문서화 작업으로 변질됩니다. 비즈니스 연속성 계획은 증거가 아닌 가정에 의존합니다.

시장은 이러한 잘못된 인센티브에 대해 예측 가능한 반응을 보였습니다. 복잡성을 줄이는 것이 아니라 관리하는 컨설팅 생태계가 등장했습니다. 기업들은 수백 개의 애플리케이션을 ZTNA 플랫폼으로 마이그레이션하기 위해 고가의 전문 서비스를 이용하면서 해당 애플리케이션이 애초에 존재해야 하는지에 대한 의문을 제기하지 않습니다. 이러한 '위험 완화'를 위한 비용은 적절한 합리화를 통해 절감할 수 있는 비용을 초과하는 경우가 많습니다.

제로 트러스트 배당금

전환 경로를 선택한 조직은 적절한 제로 트러스트 구현이 오랫동안 방치된 IT 포트폴리오 최적화를 위한 강제 기능을 생성한다는 예상치 못한 사실을 발견하게 됩니다. 모든 애플리케이션에 식별된 소유자, 정당한 비즈니스 목적, 분류된 데이터 흐름이 있어야 정리 작업이 유기적으로 이루어집니다.

경제성은 금세 설득력을 얻게 됩니다. 애플리케이션 폐기는 라이선스 비용을 없애고, 인프라 요구 사항을 줄이며, 보안 표면적을 줄입니다. 팀이 동일한 기능을 위해 여러 도구를 유지 관리하고 있다는 사실을 알게 되면 통합 기회가 생깁니다. 더 이상 사용되지 않는 시스템이 보호 익명성을 잃으면 기술 부채가 자연스럽게 감소합니다.

정량화할 수 있는 이점은 종종 경영진을 놀라게 합니다. 라이선스 최적화만으로도 일반적으로 소프트웨어 지출에서 20~40%의 비용을 절감할 수 있습니다. 인프라 합리화를 통해 컴퓨팅 및 스토리지 비용도 비슷하게 절감할 수 있습니다. 패치, 모니터링, 백업할 시스템의 수가 줄어드는 운영 효율성 향상은 시간이 지남에 따라 지속적으로 증가하는 배당금 흐름을 만들어냅니다.

더 중요한 것은 조직이 IT 환경에 대한 실제 지식을 개발한다는 점입니다. 이러한 역량을 통해 더 빠른 사고 대응, 더 정확한 비즈니스 영향 평가, 데이터 기반 기술 투자 결정을 내릴 수 있습니다. 자신이 무엇을 소유하고 있고 그것이 어떻게 가치를 창출하는지 이해하는 기업에게는 경쟁 우위가 꾸준히 축적됩니다.

비즈니스 사례 재구성

기존의 사이버 보안 비즈니스 사례에서는 보안 개선이 직접 수익을 창출하지 않는 위험 감소에 투자하는 필수 비용으로 간주됩니다. 이러한 프레임워크는 보안 팀이 확실한 재정적 수익을 약속하는 이니셔티브와 예산 확보 경쟁을 할 때 체계적으로 불리한 위치에 놓이게 합니다.

애플리케이션 인벤토리 배당은 이러한 역학 관계를 완전히 바꿔놓습니다. 제로 트러스트 구현은 보안 개선이 포함된 IT 포트폴리오 최적화 이니셔티브가 됩니다. 비즈니스 사례는 "이 보안 프로젝트에 얼마의 비용이 들까?"에서 "이 최적화 노력으로 얼마나 많은 비용을 절감할 수 있을까?"로 바뀝니다.

타임라인 고려 사항은 이러한 재구성을 강화합니다. 애플리케이션 합리화 혜택은 즉시 시작되며, 폐기된 애플리케이션은 당월에 비용 발생을 중단합니다. 라이선스 최적화는 다음 갱신 주기에 나타납니다. 인프라 비용 절감은 분기별 클라우드 청구서에 반영됩니다. 이러한 절감액은 일반적으로 12~18개월 이내에 ZTNA 구현을 위한 자금으로 사용되며, 그 이후에는 보안 개선이 기본적으로 무료로 제공됩니다.

이러한 프레임을 수용하는 조직은 제로 트러스트 이니셔티브가 이해관계자의 호응을 얻게 됩니다. CFO는 회의론자가 아닌 동맹자가 됩니다. 사업부 리더는 효율성의 이점을 이해하면 적극적으로 참여합니다. 기술 팀은 수년 동안 누적된 기술 부채를 제거할 수 있는 기회를 높이 평가합니다.

전략적 선택

VPN 수명 종료 위기는 기술 교체를 넘어서는 전략적 변곡점을 제시합니다. 조직은 새로운 도구로 기존의 비효율성을 지속할 수도 있고, 전환 요구 사항을 근본적인 개선을 위한 촉매제로 활용할 수도 있습니다.

'쉬운' 경로는 조직의 안전지대를 유지하지만 기술 복잡성과 비용이 추가됩니다. 혁신 경로는 단기적인 중단이 필요하지만 향상된 IT 포트폴리오 관리, 운영 효율성 및 진정한 보안 기능을 통해 지속 가능한 경쟁 우위를 창출합니다.

경제학은 혁신을 선호하지만, 이는 그동안 회피해왔던 애플리케이션 인벤토리의 현실을 직시하려는 조직에게만 해당됩니다. 이 길을 선택한 기업들은 가장 어려운 문제가 가장 수익성이 높은 솔루션인 경우가 많다는 것을 알게 됩니다. 시장 역학 관계는 이러한 용기에 대한 보상을 제공합니다. 깔끔하고 잘 이해된 IT 포트폴리오를 갖춘 기업은 여러 측면에서 동종 업계보다 뛰어난 성과를 냅니다.

문제는 결국 조직이 애플리케이션 포트폴리오를 합리화할지 여부가 아닙니다. 시장의 압박, 규정 준수 요구 사항, 운영 비용으로 인해 결국에는 이러한 결정을 내리게 될 것입니다. 문제는 현재의 VPN 전환을 기회로 삼아 전략적으로 전환할 것인지, 아니면 위기를 기다렸다가 사후 대응적으로 전환할 것인지입니다.

오늘 이러한 선택을 하는 조직이 내일 지속 가능한 경쟁 우위를 확보하는 조직이 될 것입니다.

블로그로 돌아가기