[제로 트러스트③] “시작은 창대하나 끝은 미약”
상태바
[제로 트러스트③] “시작은 창대하나 끝은 미약”
  • 김선애 기자
  • 승인 2020.11.11 06:00
  • 댓글 0
이 기사를 공유합니다

추상적·선언적 ‘제로 트러스트 전략’, 지양해야
정확하고 구체적인 기술·방법론으로 접근해야

[데이터넷] 현재 시장에서 이해되는 제로 트러스트의 오해와 이해를 설명하면서 가트너는 CARTA 모델 중 ‘적응형 공격 방어 아키텍처(Adaptive Attack Protection Architecture)’와 ‘적응형 액세스 보호 아키텍처(Adaptive Access Protection Architecture)’에 ‘제로 트러스트’를 포함시켜 설명한다.

적응형 공격 방어 아키텍처는 네트워크 관점에서 예방(Prevent)과 탐지(Detect), 대응(Respond), 예측(Predict), 지속적인 가시성과 평가를 진행하는 개념이다. 예방 단계에서 마이크로세그먼트 형태의 제로 트러스트 네트워킹이 필요하다고 소개한다. 충분한 신뢰 수준이 확인되기 전까지 네트워크 연결을 차단할 뿐 아니라 실행될 때 실행코드가 위험한지, 악의적인 행위가 나타나지 않는지 확인한다.

적응형 액세스 보호 아키텍처는 적응형 액세스(Adaptive Access), 사용 검증(Verify Usage), 사용 관리(Manage Usage), 요구사항 발견(Discover Requirements) 등의 측면에서 사용자와 기기, 애플리케이션, 행 위, 데이터 액세스를 지속적을 가시화하고 평가한다. 이 중 적응형 액세스 단계에서 소프트웨어 정의 경계(SDP) 프로젝트를 이용해 제로 트러스트 네트워킹을 구현하며, 접근 후에도 지속적으로 사용자와 계정 행위 분석(UEBA)를 통해 검증한다.

▲가트너 적응형 공격 방어 아키텍처 상 제로 트러스트 위치
▲가트너 적응형 공격 방어 아키텍처 상 제로 트러스트 위치
▲가트너 적응형 액세스 보호 아키텍처 상 제로 트러스트 위치
▲가트너 적응형 액세스 보호 아키텍처 상 제로 트러스트 위치

ZTNA 위한 다양한 기술 등장

포레스터의 ‘제로 트러스트’는 어떻게 보면 추상적이고 선언적이어서 실제 보안 현장에 어떻게 구현해야 할지 모호한 부분이 있다. 이 이상을 구현하기 위해 여러 기술과 솔루션이 제안되고 있지만, 단일 솔루션으로 제로 트러스트를 구현할 수는 없고 여러 기술과 방법론을 사용해야 한다. 그런데 사공이 많으면 배가 산으로 가듯, 정확한 방향과 구체적인 실천전략이 없으면 제로 트러스트 역시 이전의 많은 보안 전략처럼 ‘시작은 창대하나 끝은 미약한’ 프로젝트로 남을 것이다.

가트너는 제로 트러스트를 구현할 수 있는 기술 중 ‘제로 트러스트 네트워크 액세스 (ZTNA)’를 집중 분석한 ‘제로 트러스트 네트워크 액세스를위한 시장 가이드’를 지난 6월 발표했다. 이 보고서에서는 “ZTNA가 VPN의 대안으로 제안되고 있으며, 퍼블릭·멀티 클라우드, WFA 등 보안 경계가 확장된 환경에서 안전하고 편리하게 업무를 진행할 수 있도록 지원하기 위해 검토된다”고 설명했다.

이 보고서에 따르면 현재 상용화된 기술로 소프트웨어 정의 경계(SDP), 특권권한관리(PAM), 원격 브라우저 격리(RBI), DaaS·VDI 등이 있다. 우리나라에서는 망분리 요건을 만족시키면서 제로 트러스트 기반 WFA(Work from Anywhere)를 구현할 수 있는 방법이 추가로 필요하다.

VPN 보안·관리 복잡성 해결해야

VPN 대체 기술의 개념으로 ZTNA를 소개하는 이유는 VPN의 한계 때문이다. VPN을 통해 연결된 사용자는 내부 접속과 같은 수준의 보안 정책을 적용받기 때문에 방화벽을 거치지 않고 사용자 기기에서 업무 시스템으로 연결된다. 악성코드에 감염된 사용자 기기가 시스템에 연결되면 악성코드는 별다른 장애 없이 시스템으로 들어가 공격 행위를 할 수 있다.

사용자 권한을 탈취한 공격자가 사용자 기기 외부에서도 접속할 수 있으며, VPN 서버 취약점을 이용해 원격에서 무단으로 접속하는 것도 가능하다. IoT가 비즈니스 영역으로 들어오면서 모든 사람과 기기가 상시 연결되고 있다. 이에 따라 계정정보가 더 많이 사용되고 탈취될 가능성도 더 높아졌으며, 계정 탈취를 통한 불법 접근 우려도 높아져 VPN을 이용한 원격접 속은 안전하지 않은 것으로 평가되고 있다.

VPN 사용자가 늘어나면서 대역폭 요구가 폭증한다는 것도 걸림돌이다. WFA로 원격접속 업무가 폭증하면서 VPN 증설 요구가 늘어났으며, 증설과 확장에 따른 방화벽 정책 변경도 매우 복잡하고 어려운 일이다.

VPN으로 인해 트래픽 낭비가 심해진다는 지적도 있다. VPN을 이용해 내부망으로 먼저 접속한 후 필요한 애플리케이션으로 다시 라우팅된다. 인터넷이나 클라우드를 사용하는 업무라면 사용자와 가까운 위치의 애플리케이션으로 접속할 수 있지만 VPN을 이용하면 무조건 내부망으로 먼저 접속하기 때문에 불필요하게 트래픽이 낭비되고 사용 속도가 저하된다.

스플릿 VPN이 이 문제에 대한 대안으로 제안되고 있지만, 속도 저하와 관리 복잡성 문제를 해결하지 못한다. 스플릿 VPN은 정책에 따라 인터넷 검색이라면 내부망을 거치지 않고 직접 인터넷에 접근할 수 있게 한다. 이론적으로는 합리적이지만 운영이 복잡하고 속도가 느려지며 가시성을 해결하지 못한다.

또 일부 VPN은 RDP, SSH 등 특정 프로토콜을 지원하지 않으며, 이중인증·다중인증도 지원하지 않는 경 우도 있다. VPN 에이전트를 설치할 경우 에이전트 배포와 관리, 장애 및 충돌 우려에서 자유롭지 못하다.

차세대 방화벽의 VPN을 사용하면 악성코드 탐지와 차단, 사용자와 역할 기반 접근 정책을 적용할 수 있다. 그러나 차세대 방화벽의 여러 기능 중 하나로 VPN을 사용하기 때문에 속도가 저하된다는 문제가 있다. 또한 VPN만을 이용하기 위해 고가의 차세대 방화벽을 사용하는 것은 비용효율적이지 못하다


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.