[데이터넷] 지난해 12월 닐 웨인버그(Neal Weinberg)는 IT 전문지 <네트워크월드>에 ‘VPN은 죽었다. 제로 트러스트는 영원하다’는 제목의 글을 싣고 “모든 사람을 동등하게 신뢰하지 않음으로써 더 똑똑하고 안전하게 네트워크에 접근하도록 하는 기술이 전통적인 VPN을 대체할 것”이라고 주장했다. 제로 트러스트 개념을 탑재한 솔루션 기업들은 이 글을 인용하면서 “VPN은 이제 사라져야 할 기술”이라고 역설한다.

그러나 가트너가 6월 발간한 ‘제로 트러스트 네트워크 액세스(ZTNA)를 위한 시장 가이드’ 보고서에 따르면 “VPN을 교체하기 위해 ZTNA를 검토하는 기업이 많지만, ZTNA가 VPN을 완전히 대체하는 경우는 거의 없다. ZTNA를 통해 전반적인 위험을 크게 줄일 수 있지만 모든 위험을 완전히 제거할 수 없다”고 지적했다.

ZTNA가 VPN의 대안으로 부상한 것은 맞지만 ZTNA가 VPN을 완전히 대체할 수는 없다는 설명이다. 케이토네트웍스 조사에 따르면 코로나 기간 동안 VPN 사용자가 4.6배 증가해 VPN이 여전히 신뢰할 수 있는 통신으로 인정받고 있다는 것이 증명됐다.

신기욱 F5코리아 상무는 “VPN은 원격접속을 지원하는 오랜 기간 검증된 가장 안전한 기술이다. VPN의 보안성과 편의성은 쉽게 대체할 수 있는 것이 아니다. 다만 VPN에 존재하는 취약점을 발견하고 제거하는 활동, 멀티팩터 인증을 통해 사용자 인증을 강화하는 조치 등은 반드시 필요하다”고 말했다.

VPN은 건재하다

VPN이 건재하다는 것은 VPN 전문기업들이 여전히 최신 솔루션을 출시하면서 강력한 영향력을 드러내고 있다는 사실에서 알 수 있다. 코로나19로 재택근무에 돌입하는 기업들이 급증하면서 국내 VPN 솔루션 기업의 장비 공급이 크게 늘어났다. 또한 네트워크 방화벽 기업들은 자사 솔루션 구입 고객엑 VPN 라이선스를 무료로 제공하는 프로모션을 펼치면서 VPN 시장 장악력을 높이고자 했다.

VPN 전문기업 펄스시큐어는 VPN을 기반으로 한 ZTNA 솔루션을 새롭게 출시하면서 VPN에 요구되는 변화를 적극 수용한다. ‘펄스 제로 트러스트 액세스(PZTA)’는 CSA의 SDP 아키텍처를 준수하며, 신원·기기 인증 기능 통합하고, 제어와 데이터 플레인을 분리했다. 중앙화된 세부 정책 관리과 더불어 단체 비인증 액세스와 공격을 차단할 수 있는 마이크로 세그먼테이션을 제공한다.

또한 가트너 CARTA 프레임워크를 채택해 사용자·계정 행위 분석(UEBA)을 내장, 맥락과 신원을 중심으로 하는 정책을 강화한다. 이는 모든 세션을 모니터링, 분석하고 자체 개발한 리스크 스코어링 알고리즘을 적용해 규정을 준수하지 않는 악성의 변칙적 움직임을 식별하고 위협을 완화할 수 있는 조치를 즉각적으로 취한다.

이 솔루션은 펄스시큐어의 원격, 모바일, 네트워크 액세스 솔루션 포트폴리오와 함께 사용할 수 있다. 각 사용자는 통합형, 멀티 터널 형태인 클라이언트를 활용해 SDP, VPN, NAC 등 액세스 기법에 구애받지 않고 투명성, 연속성, 동시성이 확보된 애플리케이션, 리소스 액세스를 즐길 수 있다. 또한 기업들은 도입성과 운영 효율성, 투자 보호 능력, 도구 통합을 통해 전반적인 총 소유 비용을 낮출 수 있다.

VPN 교체 없이 SDP 구현

제로 트러스트가 보안 시장의 핫이슈가 되고 있지만, 기대만큼 확산되지는 못하는 것이 사실이다. 그 이유 중 하나가 기업이 VPN을 교체하는데 부담을 갖는다는 점이다. 새로운 사업을 시작하거나 클라우드를 도입할 때 작은 규모로 ZTNA 혹은 SDP를 사용하는 사례는 어렵지 않게 찾아볼 수 있지만, 시장의 기대만큼 대규모 사업이 일시에 진행되지는 못하고 있다.

VPN 보안 문제를 해결하기 위해 VPN에 다중요소인증(MFA)을 추가하는 임시방편을 주로 사용하지만, RDP·텔넷과 같이 MFA를 지원하지 않는 프로토콜이나 애플리케이션의 경우 문제를 해결하지 못한다.

기존 VPN 환경에서 SDP를 구현하는 솔루션이 이러한 문제를 해결해 줄 수 있을 것으로 주목받고 있다. 페트로누스가 국내에 공급하는 이스라엘 보안기업 세이프티의 ‘존제로’는 사용중인 VPN 인프라를 사용하며 에이전트 설치 없이 제로 트러스트 전략을 도입할 수 있게 한다.

PAO(Perimeter Access Orchestration) 플랫폼인 존제로는 기존 VPN 보안을 강화시키거나, VPN과 애플리케이션에 MFA를 추가하는 경우, 쉽게 SDP 아키텍처를 채택해 ZTNA를 구현하려는 경우에 활용될 수 있다. 특히 VPN 사용자별로 허용된 리소스로만 접근할 수 있는 세분화 정책을 제공해 ZTNA 이상을 만족할 수 있다.

ZTNA도 완벽하지 않다

가트너는 ZTNA가 모든 위협을 완전히 제거할 수는 없다고 지적했다. ZTNA 브로커가 장애를 일으키거나 공격을 받았을 때 서비스가 중단될 수 있다. 접근 전 인증하고 접근 후 모니터링하는 과정에서 병목현상과 리소스 과다 사용으로 인한 서비스 품질 저하가 발생할 수 있다.

VPN 최대 약점은 ‘도난당한 계정 사용’은 ZTNA에서 똑같이 적용된다. 정상 사용자 계정을 이용해 로그인하는 지능적인 범죄자를 가려내는 것이 쉽지 않다. 더불어 관리자 계정이 공격에 취약하다는 점도 가트너는 지적한다.

ZTNA 역시 완벽한 솔루션은 아니기 때문에 다른 솔루션과의 연동이 필요하다. 시스코는 클라우드 보안 플랫폼 ‘엄브렐라’를 통해 보안 솔루션을 연동함으로써 ZTNA 보안 한계까지 해결할 수 있다고 설명한다. 시스코는 엄브렐라 DNS 서비스와 VPN을 함께 사용해 원격·재택근무를 보호할 수 있다고 소개하는 한편, 다중인증 플랫폼 듀오를 연계해 제로 트러스트 보안을 구현한다.

F5는 ‘빅IP APM’의 ID 인지 프록시 기술을 적용해 모든 접속 시도마다 인증하고 검증해 이상행위를 차단하고 안전한 연결을 보장한다. 컨텍스트 인지 정책을 지원하며, 애플리케이션 중요도와 민감도에 따른 사용자 재로그인을 요청한다.

액세스 권한이 부여되기 전에 세션 전체에 걸쳐 사용자 기기와 위치 등을 분석하고 액세스 승인을 확인한다. 원격 접속 요청 뿐 아니라 사내에서의 접속 요청까지 애플리케이션별로 통제정책을 적용하며, 접속 후 일어나는 모든 행위를 모니터링해 ZTNA의 모든 요건을 만족시킨다.

신기욱 상무는 “F5의 ZTNA는 빅IP 플랫폼에서 간단히 관련 기능을 켜기만 하면 된다. 장비를 새로 구축할 필요도 없으며 추가 라이선스만 부담하면 즉시 사용할 수 있다. 안전한 SSL VPN와 투팩터인증이 함께 적용되며 지속적인 사용자 모니터링을 제공해 모든 업무환경의 사용자를 보호하고 제어할 수 있다”고 말했다.