[데이터넷] VPN의 접근 방식에 취약점이 있는 것은 사실이지만, 그렇다고 해서 당장 사라질 기술은 아니다. VPN을 대체할 솔루션이라며 ‘제로 트러스트 네트워크 액세스(ZTNA)’를 강조하는 목소리도 높지만 가트너의 ‘제로 트러스트 네트워크 액세스를 위한 2020년 시장 가이드’에서는 “ZTNA도 완벽하지 않다”고 설명한다.

특히 VPN 취약점으로 지목한 ‘탈취한 계정’ 문제는 ZTNA에서도 근본적으로 해결하지 못한다. VPN 진영에서는 ZTNA가 VPN과 대치되는 지점에 있지 않다고 강조하며, VPN으로 연결하되 사용자 인증과 모니터링을 강화하는 방향으로 발전시키고 있다.

VPN 전문벤더 펄스시큐어는 소프트웨어 정의 경계(SDP) 아키텍처를 준수하는 ‘제로 트러스트 액 세스(PZTA)’를 출시하고 안전한 원격인증의 새로운 모델을 제안한다. MS 애저를 통해 서비스되는 PTZA는 엄격한 인증·허가 절차를 거친 후 허가된 애플리케이션으로만 접속 시키며, 암호화 애플리케이션 트래픽은 클라이언트와 게이트웨이 사이에서만 움직여 데이터 프라이버시와 데이터 주권을 확보할 수 있다. 사용자·계정 행위 분석(UEBA)을 내장하고 있어 모든 세션을 분석하고 리스크 스코어링으로 높은 수준의 위험 정황을 알린다.

펄스시큐어는 보안 연결을 위한 다양한 솔루션을 공급하고 있는데, 그 중 EDR·IoT·OT 지원 기능을 강화한 NAC 솔루션 ‘펄스 폴리시 시큐어(PPS)’도 비대면 업무 환경에 도움을 줄 수 있다. 이 솔루션은 EDR 벤 더와 연계해 기기 보안을 강화하며, IoT·OT 벤더와 연계해 모든 종류의 엔드포인트 가시성을 확보하면서 보안 연결을 할 수 있게 한다.

통합 플랫폼 기반 비대면 업무 지원 기술 제안

VPN의 약점을 보완하고 장점을 살리기 위해 다른 솔루션과 연계하는 것이 반드시 필요하다. 포티넷은 차세대 방화벽 포티게이트에서 제공하는 VPN 기능과 포티스위치, 포티AP를 통해 유무선 네트워크 상에서 안전한 원격접속을 지원한다. 이동근무자를 위해서는 포티게이트 VPN 게이트웨이와 2차 인증 솔루션 ‘포티 클라이언트 VPN 포티토큰’, 사용자 인증 ‘포티 어센 티케이션을 제공한다.

이창운 포티넷코리아 이사는 “VPN을 대신할 수 있 는 안정적인 원격지 보안 연결 솔루션은 없다. VPN은 다른 원격접속 솔루션보다 효율적이고 편리하며 보안성이 높다”며 “포티넷은 VPN 연결을 원칙에 두되, 고객 환경에 따라 적합한 솔루션 구성으로 원격·재택근무를 지원한다”고 말했다.

그는 “보안을 위해 사용자 편의성을 해치면 안된다. 생산성·효율성과 보안성을 동시에 만족할 수 있는 보안 정책이 필요하다. 단 하나의 기술만으로는 해결할 수 없으며, 여러 솔루션을 유기적으로 연결하고 통합 관리할 수 있어야 한다”며 “포티넷 보안 패브릭에 통합되는 원격근무·이동근무자를 위한 제품군이 이러한 요구를 만족시킨다”고 말했다.

국내 VPN 기업들도 VPN을 보완하기 위해 다양한 노력을 기울이고 있다. 에스지앤은 지니언스와 협력해 엔드포인트와 네트워크 보안을 동시에 수행한다. 에스지엔의 ‘시큐어가드 VPN’과 지니언스 PC 보안수준 진단 솔루션 ‘지니안 GPI’를 연동해 단말 보안성이 확 보된 경우에만 내부 네트워크에 접속할 수 있도록 한다. 양사는 NAC, EDR로 협력을 확대해 재택·원격근 무자에 대한 보안을 한층 강화할 계획이다.

클라우드 플랫폼으로 제로 트러스트 이상 완성

클라우드 플랫폼을 이용해 VPN의 맹점을 보완하고 제로 트러스트의 이상을 실현하는 서비스도 경쟁적으로 등장하고 있다. ‘지스케일러 프라이빗 액세스(ZPA)’는 SDP 아키텍처를 채택해 사용자와 애플리케이션의 보안 연결을 지원한다.

사용자와 단말을 인증한 후 애플리케이션에 연결하도록 하며, 애플리케이션이 클라우드에 있든, 온프레미스에 있든 상관없이 인증된 사용자가 아니면 검색되지 않도록 한다. 사용자는 허가된 애플리케이션으로만, 인증 받은 후 접속 가능하며, 애플리케이션 내에서의 활동은 모두 모니터링 돼 이상행위를 점검한다.

아카마이 ‘엔터프라이즈 애플리케이션 액세스(EAA)’도 제로 트러스트 모델을 채택한 원격접속 솔루션으로, 권한이 부여된 사용자와 디바이스만 애플리케이션에 접속하도록 한다. 애플리케이션이 외부에 노출되지 않도록 보호하며, 데이터 경로를 보호하고, SSO·ID 접속 보호, 사용자와 행위에 대한 가시성을 지속적으로 제공해 위협이 발생하기 전에 탐지하고 대응한다.

완성도 높은 토종 SDP 솔루션

국내에서 SDP 솔루션은 엠엘소프트가 유일하게 완성도 있는 제품을 공급하고 있다. 엠엘소프트는 엔드포인트 보안·관리 전문성을 결합한 SDP 솔루션 ‘티게이트 SDP’를 지난해 출시하고 영업을 전개해왔다. 그러나 공공기관에 공급되는 네트워크·보안 솔루션은 CC인증을 받거나 해당 기관이 보안 적합성 심사를 받아야 한다는 규제 때문에 성장에 한계를 느끼고 있다.

이무성 엠엘소프트 대표는 “SDP는 미 국방성이 개발해 사용하다 민간에 공개한 안전한 프로토콜이다. 미 국방성도 사용하는 안전한 기술을, 우리나라에서는 CC 인증 대상이 아니라는 점 때문에 공공 시장 진입이 불가능한 상태”라며 “신기술 진입 장벽이 되는 규제를 하루빨리 개선해 디지털 트랜스포메이션 환경에 맞는 새로운 보안 기술이 성장할 수 있도록 해야 한다”고 주장했다.

기존 VPN 통해 SDP 제공

한편 SDP는 기존 VPN 인프라를 교체해야 하지만, 인프라 교체가 쉬운 일은 아니다. 오래된 애플리케이션과 레거시 서비스는 제로 트러스트를 지원하지 못하며, MFA를 사용할 수 없는 것도 있다. 페트로누스가 국내에 공급하는 이스라엘 보안기업 세이프티의 ‘존제로’는 사용 중인 VPN 인프라를 활용해 SDP를 구현할 수 있게 한다. VPN 교체 부담 없이 도입 가능해 VPN을 강화하거나 제로 트러스트 보안 모델을 적용하고자 할 때 좋은 대안이 될 수 있다.

최홍준 페트로누스 부사장은 “SDP는 비대면 업무를 위한 최적의 솔루션이지만, 여러 현실적인 한계 때문에 확산이 어렵다. 또한 우리나라에서는 ARIA·SEED 등 국정원 암호화 모듈을 적용한 VPN만이 공공기관에 공급될 수 있기 때문에 SDP는 적용이 제한된다”며 “VPN 교체 없이, 기존 인프라 변경 없이 제로 트러스트를 구현할 수 있는 존제로가 대안”이라고 밝혔다.

최 부사장은 “공공·금융기관은 망분리 규제 때문에 업무 유연성을 높이지 못한다. 그러나 기존 사용하던 VPN을 유지하면서 SDP를 도입할 수 있다면 이러한 문제를 해결할 수 있을 것이라고 본다. 국내 VPN 기업들과 다방면으로 협력해 시장을 확산시킬 것”이라고 덧붙였다.