[데이터넷] 클라우드는 원격·비대면 업무를 가장 쉽게 도입할 수 있게 한다. 클라우드에서 필요한 애플리케이션과 서비스를 선택해 비용을 지불하면 사용할 수 있는데, 개발자, 마케터, 번역가, 디자이너 등 전문가들도 클라우드를 통해 제공 받을 수 있다. 이들은 클라우드에 연결된 환경에서 업무하며, 업무 결과 혹은 시간을 기준으로 임금을 받는다.

IT 리소스와 서비스는 물론 전문 인력까지 연결해주는 클라우드는 실제 접속한 사용자와 기기가 정당한지 보장하지 못한다는 맹점이 있다. 클라우드를 통해 연결된 그 사람이 정당한 권한을 부여받은 당사자인지 권한을 탈취한 공격자인지 알 수 없으며, 연결된 기기가 공격자에 의해 점령당한 것인지 파악하지 못한다.

외부에서 기업 내 네트워크로 안전하게 접속하기 위해 VPN을 사용하는데, VPN은 애플리케이션에 접속한 후 인증하기 때문에 인증 권한을 탈취한 공격자의 접근을 막지 못한다. 정상 사용자의 접근이라도 기기가 감염됐을 때, 사용자가 VPN을 통해 네트워크에 접근하면 악성코드도 함께 접속해 내부 네트워크를 장악할 수 있다. VPN 서버 취약점을 악용한 공격도 자주 발생하는 상황이다.

VPN의 한계를 해결하고 보다 안전한 사용자·기기 접속을 위해 ‘제로 트러스트 네트워크 액세스(ZTNA)’가 등장했다. ZTNA는 특정 솔루션이 아니라 개념에 대한 선언이다. 보호해야 할 애플리케이션을 인터넷에 직접 노출시키지 않으며, 적응형 신원인증을 통해 정밀한 접근제어 정책을 적용받는 사람과 기기만이 애플리케이션에 접속할 수 있도록 한다. 애플리케이션 접속 후에도 지속적으로 모니터링해 이상행위가 발생하지 않는지 확인한다.

사용자·기기 보안 인증 및 안전한 연결 지원

멀티 클라우드 진화로 인해 사용자와 단말의 가시성을 확보하지 못하게 되면서 ZTNA에 대한 관심이 높아졌다. ZTNA 전문기업들은 대규모 네트워크·통신·보안업체에 인수되고 있으며, 전통적인 보안 기업들은 접근제어와 네트워크 보안 기술을 기반으로 ZTNA 아키텍처 기반의 새로운 솔루션을 출시하면서 경쟁에 뛰어들고 있다.

ZTNA는 사용자·기기 인증과 안전한 연결의 두 요소로 구성되며, 엔드포인트 관점에서 접근하는 모델과 서비스 관점에서 접근하는 모델이 제안된다. 엔드포인트 모델은 정밀한 보안 정책을 적용할 수 있으며 지능적 위협 방어 효과도 뛰어나다. 그러나 엔드포인트에 에이전트를 설치해야 해 관리 복잡성이 높아진다는 문제가 있다. 서비스 관점의 ZTNA는 에이전트 없이 동작해 편의성이 높지만 SSH·RDP 등 웹 애플리케이션과 프로토콜 접근 방식에 제약이 있다.

일부 ZTNA 벤더들은 두 모델을 결한 하이브리드 모델을 지원한다. 엔드포인트 관점의 ZTNA를 운영하되, 에이전트 설치가 어려운 경우 서비스 관점의 모델을 적용하는 방식이다.

ZTNA 운영의 핵심 요구사항은 사용자·기기에 대한 최소 액세스 권한을 부여해 과도한 권한을 기반으로 한 위협을 제거해야 한다. 접속 전은 물론 접속 중에도 지속적으로 인증하고 모니터링 해야 하며, 사용자 권한 및 업무 특수성에 따른 세밀한 액세스 제어 방안이 마련돼야 한다.

애플리케이션 세그멘테이션 지원

지스케일러는 자사 클라우드 보안 플랫폼을 기반으로 한 ‘ZPA’로 ZTNA 이상을 구현한다. ZPA는 인증된 사용자를 인증된 앱으로만 연결하는 애플리케이션 세그멘테이션을 제공한다. 내부 애플리케이션은 비인증 사용자가 볼 수 없으며, 인터넷은 종단 간 암호화 된 TLS 터널을 통해 새로운 보안 네트워크로 통신한다.

아카마이는 지능적인 엣지 플랫폼을 통해 ZTNA를 구현하는 ‘엔터프라이즈 애플리케이션 액세스(EAA)’를 제공한다. EAA는 엣지에 ZTNA 정책을 적용해 인증된 사용자만 해당 애플리케이션에 접속하도록 통제한다. 퍼블릭 인터넷 상에서 애플리케이션을 볼 수 없게 해 애플리케이션 직접 접속을 원천 차단한다.

김도균 아카마이코리아 웹 사업부 본부장은 “VPN이 사무실에 들어온 사람들에게 모든 애플리케이션 접속을 허용하는 방식이라면, ZTNA는 사용자에게 허용된 방으로만 들어갈 수 있도록 하는 방식이다. 아카마이의 ZTNA는 확장성이 뛰어난 클라우드 엣지를 통해 제공되기 때문에 전 세계 어디에서나, 집이나 출장·이동 중에도 사용자를 지속적으로 검증하면서 허가된 애플리케이션으로만 접속하게 하는 ZTNA 이상을 만족시킨다”고 설명했다.

아루바는 엣지에 AI를 접목시켜 한층 더 지능적인 제로 트러스트 통제가 가능하도록 한다. 아루바 ‘엣지 서비스 플랫폼(ESP)’은 AI를 활용해 통합되고 자동화된 ZTNA를 구현한다. 클라우드 기반 관리도구 ‘센트럴’을 통해 액세스하며, AI를 활용한 네트워크 관리(AIOps)를 제공해 사용자·디바이스 중심 통제 정책을 적용한다.

재택·원격근무에 유용한 SDP

ZTNA 이상을 솔루션으로 상용화 한 모델로 소프트웨어 정의 경계(SDP)가 있는데, 미 국방성의 GIG(Global Information Grid) 프로젝트를 클라우드 보안 연합(CSA)이 상용화 한 것과 구글의 비욘드코프가 설계한 모델을 기반으로 한다. 두 접근 방식은 크게 다르지 않지만, CSA는 엔드포인트에 가깝고 비욘드코프는 서비스에 가까운 편으로 구분된다.

SDP는 서비스 접속을 요구하는 단말과 서버 사이 연결을 데이터 채널과 제어 채널로 분리하고 인증받지 못한 단말은 서비스에 연결되지 못하도록 한다. 사용자는 멀티팩터 인증을 적용해 서비스 중요도에 따라 접속 환경에 따라 각각 다른 수준의 인증을 이용할 수 있게 한다.

서비스 관점에 가까운 비욘드코프는 엔드포인트 통제력을 보다 강화하기 위해 태니엄과 협력해 제로 트러스트 디바이스 역량을 제공할 수 있다고 설명한다. 양사는 비욘드코프 리모트 액세스에 대한 엔드포인트 ID, 상태, 컴플라이언스 데이터를 활용할 수 있는 능력을 지원한다.

SDP는 코로나19로 확산된 재택·원격근무 환경을 위한 솔루션으로 유용하게 사용될 수 있을 것으로 기대를 받고 있다. 이에 국내 기업으로 가장 먼저 SDP 솔루션 ‘티게이트 SDP’을 출시한 엠엘소프트는 하반기 이후 본격적으로 SDP 인지도 제고를 통한 영업 성과를 낼 수 있을 것이라고 기대하고 있다.

엠엘소프트는 다양한 엔드포인트 자산을 관리하고 접근·통제 정책을 제공하는데 탁월한 기술을 가진 기업으로, 2018년 ETRI에서 보안 네트워크 기술을 이전받아 NAC 솔루션 ‘티게이트NAC’과 심리스하게 연동시킨 SDP를 개발했다. 티게이트 SDP는 신원기반 접근제어를 제공하는 프레임워크로 다양한 엔드포인트 환경을 제공해 IoT·OT 네트워크까지 보호할 수 있다.

망분리 환경 개선을 위해서도 SDP가 사용될 수 있다. SDP는 신뢰할 수 있는 사용자와 애플리케이션 사이에 보안터널을 연결하며, 다른 애플리케이션이나 사용자는 접근할 수 없어 원격에서도 안전하게 업무망에 접근할 수 있다.

이무성 엠엘소프트 대표는 “보안의 패러다임을 바꾸는 기술이 SDP다. SDP는 사용자 기기에서 애플리케이션·서버까지 안전한 네트워크를 연결해 보안과 유연성을 모두 다 보장한다. 원격·재택근무뿐 아니라 ATM·POS, CCTV·커넥티드카, 분리된 업무망까지 보안연결을 제공할 수 있으며, 강력한 사용자와 엔드포인트 통제로 VPN보다 강화된 보안을 제공할 수 있다”고 말했다.

엠엘소프트 ‘티게이트 SDP’는 여러 대기업, 제조사 등에서 검토하고 있는 중이다. 다만 공공기관에는 CC인증, 보안 적합성 검사 등 현실적인 규제 때문에 공급에 제한이 있다.

이무성 엠엘소프트 대표는 “SDP는 미국 국방부에서 사용한 보안 프로토콜을 사용해 높은 보안성을 이미 검증받았다. 전 세계에서 가장 강력한 보안 검증을 실시하는 국방성에서 인정한 프로토콜이라면 국내 공공 분야에서도 도입을 검토할 수 있을 것”이라며 “우리나라에서는 규제의 장벽에 막혀 시장 개척이 어려운 상황이다. ‘뉴노멀’ 시대, 패러다임 전환 시대에 반드시 필요한 기술이 규제로 인해 시작도 못하는 현실을 해결할 방법이 필요하다”고 강조했다.