신원 기반 리소스 제어로 제로 트러스트 이상 완성
[데이터넷] 코로나19 확산으로 비대면 환경 수요가 높아지면서 클라우드 전환 속도가 빨라지고 있다. 한국IDC 전망에 따르면 국내 퍼블릭 클라우두는 2019년 25.2% 성장했으며, 2020년은 클라우드 도입 범위가 훨씬 더 넓어질 것으로 보인다.
클라우드는 IT를 넘어 IoT, 스마트시티 영역까지 확대되고 있으며, 기업은 클라우드를 통해 속도, 확장성, 민첩성의 삼박자를 모두 갖춘 보안을 실현할 수 있어야 한다. 이를 위해 새로운 기술에 최적화된 새로운 보안 접근 전략을 수립해야 한다.
그러나 전세계적으로 유일하게 강력한 내부 네트워크 보호를 위한 망분리 환경을 구축한 국내의 기존 온프레미스 환경에서 일시에 클라우드로 전환할 수 없다. 코로나19로 원격·재택·모바일 근무 요구가 늘어나면서 클라우드 도입 수요가 늘어날 것이며, 상당 기간 하이브리드 클라우드를 유지할 것으로 보인다.
클라우드 보안 위한 7가지 선택 기준
① 접근권한 있는 관리자를 철저히 감시하고 있는가
② 법적 책임을 준수하는지 여부
③ 데이터의 물리적 위치(정보 소유권)
④ 철저한 데이터 관리 여부 파악
⑤ 데이터 복원 가능성
⑥ 불법 행위 드에 대한 조사 지원 여부
⑦ 기업의 지속성
(자료: 가트너)
신원기반 리소스 액세스 제어
소프트웨어 정의 경계(SDP)는 신원을 기반으로 리소스 액세스를 제어하는 보안 프레임워크다. 네트워크 장치와 단말의 상태, ID를 확인해 권한 있는 사용자와 기기만 인프라에 액세스 권한을 부여하는 모델이다.
단말과 서버 사이 연결을 데이터 채널과 제어 채널로 분리하고, 인증 받지 못한 단말은 어떠한 서비스 연결 정보도 얻지 못하게 된다. 인증과 인가(허가)가 되기 전에는 DNS 정보나 IP 주소를 알 수 없는 블랙 클라우드 네트워크로 동작하며, 온프레미스, 하이브리드, 클라우드 환경에서 제로 트러스트 구현을 위한 완벽한 네트워크 보안을 제공한다.
SDP는 단일 패킷 인증, 장치 검증, 상호 전송 계층 보안, 동적 방화벽과 애플리케이션 바인딩의 5개 계층의 보안제어로 구성되며, 이러한 프로토콜들은 공격자가 보호된 응용프로그램에 접근하는 것을 어렵게 만든다.
2014년 한국, 미국, 중국, 러시아 등 전 세계의 해커들이 참가한 5일간의 해커톤 대회에서 100억개 이상의 패킷이 SDP를 공격했으나, 그 누구도 SDP 5단계 정보보호 계층 중 첫 단계인 SPA(Single Packet Authorization protocol) 조차 뚫지 못했다.
SDP의 특징은 다음과 같다.
- 민첩성(Agility)
MPLS, SD-WAN, VPN등의 네트워크와 보안 환경 변경 시 위치, 장비, 서비스 제공자 등의 제약조건이 발생하며, SDP는 사용자는 ID 중심으로, 서버 부분은 애플리케이션 중심으로 구성돼 민첩하게 보안 환경을 변경하고 관리·유지할 수 있게 한다. - 은폐성(Stealth)
SDP는 서버, 애플리케이션, 데이터 등 중요 정보자원을 게이트웨이로 은폐해 보호하는 방식이며, 사용자는 단말에 설치된 에이전트를 통해 신원과 장비를 컨트롤로부터 인증 받은 후에만 게이트웨이에 접속정보를 전달받아 접근할 수 있다. 게이트웨이, 에이전트, 컨트롤로 구성되는 소프트웨어 모듈로 구축이 간편하다. - 차세대 VPN
VPN은 ‘선 접속 후 인증’ 방식으로 원격지 접속 서버 정보가 노출 될 뿐만 아니라 VPN접속이후 내부 네트워크 상의 다른 네트워크 자원에 접근이 가능하게 되는 보안의 위협요소를 내포하고 있다. SDP는 ‘선 인증 후 접속’ 방식으로 접속 서버가 노출되지 않으며, 접속 후에도 앱 바인딩을 통해 지정된 서비스에만 접속하게 돼 기존 VPN을 대체할 수 있다. - 제로 트러스트 네트워크 액세스(ZTNA)
기업이 기존 레거시 시스템에서 일시에 제로 트러스트 기반의 네트워크 환경을 구성하는 것은 어려운 일이다. 복잡하게 얽혀 있는 IT환경과 레거시 시스템들을 일시에 전환하는 것은 쉽지않지만, 클라우드로 전환을 꾀하는 시점에서는 충분히 가능한 상황이며, 소프트웨어 정의 경계 아키텍처는 ZTNA 도입에 큰 기여를 할 수 있다. ZTNA에 가장 근간인 신원 기반으로 화이트 리스트의 사람과 장비만 허용하고, 대상 서비스를 숨길 수 있다.
- 신원기반 네트워크 접속 통제
다양한 임무를 수행하는 조직 구성원들은 PC, 노트북 등 뿐만 아니라, 모바일, 태블릿, RFID 리더, POS 단말 등 다양한 엔드포인트 장치를 통해 조직 서비스망에 접속을 하게 되고, 업무 상황에 따라 빈번하게 임무와 조직구성이 변경되고 있다. 그리해, 네트워크 및 보안 담당자들은 기존 레거시 시스템에서 빠르게 변화하는 환경에 맞게 시스템 설정을 변경하는 것 조차 엄청난 업무과중과 스트레스에 시달리게 됐다.
SDP는 신원을 기반으로 네트워크 접속을 통제하므로, 이 문제를 손쉽게 해결할 수 있다. 단순히 사용자와 서비스를 연동하는 정책 설정 과정만으로 접속 가능한 서비스를 제공하고, 과도한 권한을 가질 수 없도록 제한할 수 있어, 대규모 인사이동이 발생하더라도 인사시스템과 연동해 즉시 정책이 변경이 되고, 권한을 부여하거나 회수할 수 있다.
모든 환경에 적용 가능한 SDP
SDP의 활용은 그 범위와 영역에 상관없이 많은 가능성이 열려 있다. 기업에서는 비즈니스 컴퓨팅을 위해 장소와 경계에 무관하게 적용이 가능하며, 각종 장비의 보안 통신을 가능하게 한다. 전국에 설치돼 있는 현금인출기나 카드 결제 단말기, POS 시스템, 보험설계사용 단말기 등 민감한 고객정보를 다루는 기기에도 적용이 가능하고 와이파이, 3G, LTE 그리고 5G 등 인터넷이 가능한 환경이라면 어느 곳에서나 산업용 드론이나 자율자동차 등의 통신에도 안전한 보안을 제공한다.
급변하는 비즈니스의 환경변화에 따라 전세계적으로 보안의 패러다임이 크게 바뀌고 있으며 SDP가 핵심적인 중요한 보안 기술 중의 하나임은 분명하고 이에 대한 관심과 사고의 전환이 필요한 때이다.
