VPN·RDP 한계 해결하는 ZTNA 보안 모델 부상
[데이터넷] 코로나19로 디지털 트랜스포메이션이 가속화되고 있는데, 이로 인해 공격면이 넓어진다는 문제에 직면하게 됐다. 특히 사이버 공격자들이 혁신적인 IT 기술을 이용해 한층 더 진화한 공격을 펼칠 것으로 예상된다. 올해 주목해야 할 보안 이슈와 대응 방안을 제안한다.<편집자>
2020년 ‘코로나19’와 함께 가장 많이 회자된 보안 용어는 ‘제로 트러스트’다. 전통적인 보안이 ‘내부는 안전하다’는 전제로 외부에서의 공격을 방어하는데 초점을 맞췄다면 제로 트러스트는 ‘내부도 안전하지 않다’는 전제로, 모든 것을 검증하고 모니터링 하는 것에 초점을 맞춘다.
2020년 코로나19가 급속하게 확산되자 많은 기업과 기관에서 재택·원격근무를 급히 시행했으며, 어디서나 일하는(WFA: Work From Anywhere) 업무 형태로 전환하게 됐다. 그러면서 일부 직원들에게만 허용했던 VPN이나 RDP를 이용한 원격접속을 전체 직원에게 허용했다.
원격접속 기술은 접속 전 사용자와 기기를 검증하는 절차가 허술해 권한을 탈취한 공격자가 자유롭게 중요 데이터와 시스템에 접근할 수 있다. 이미 다크웹에서는 VPN·RDP 권한이 절찬리에 판매되고 있는 실정이다.
WFA, 기존 보안 정책으로 보호 못해
재택·원격근무로 클라우드 도입이 빠른 속도로 진행 되면서 방화벽·IPS를 비롯한 기존의 네트워크 보안 장치들도 한계를 드러냈다. 보호해야 할 시스템과 데이터가 사내 데이터센터가 아니라 클라우드로 이동하면서 데이터센터를 보호하는 방화벽·IPS만으로는 보안 문제를 해결할 수 없게 된 것이다.
주니퍼네트웍스가 밴슨본에 의뢰해 CIO와 CISO를 대상으로 실시한 설문조사에서 응답자의 73%는 “팬데 믹 상황에서 가중되는 비즈니스 요구로 인해 조직의 네트워크와 보안에 어려움을 겪고 있다”고 답했다.
이처럼 많은 기업이 재택근무에 돌입하면서 기존의 네트워크 경계 중심 보안 정책은 한계에 부딪혔으며, ‘사람’을 경계로 한 새로운 보안 전략이 필요해졌다. 그 대안 중 하나가 제로 트러스트다. 제로 트러스트 는 데이터, 사람, 기기, 네트워크, 워크로드, 보안 가시성과 자동화 등 보안 전반의 광범위한 범위를 다룬다.
WFA 위한 제로 트러스트 설계 ‘부상’
제로 트러스트는 장기간의 여정인 만큼 한 번에 모든 사업을 완성할 수 없으며 단계별로 진행해야 하는데, 현재 보안 시장에서는 ‘접근’ 영역에 중점을 둔 ‘제로 트러스트 네트워크 액세스(ZTNA)’에 먼저 집중하고 있다.
ZTNA는 현재 원격접속 시스템의 한계를 해결할 수 있도록 애플리케이션에 접속하기 전 사용자와 기기를 검증하고, 인증된 애플리케이션에만 접속하도록 한다. 다른 애플리케이션에 접속할 때 다시 인증을 받도록 하며, 접속 후에는 지속적인 모니터링으로 이상행위가 발생하는지 살펴보면서 공격의 확산을 차단하고 보안을 우회한 침해가 이어지지 않도록 한다.
소프트웨어 정의 경계(SDP)가 ZTNA를 채택한 대표적인 솔루션이며, SDP를 적용한 차세대 VPN도 도입 속도를 높이고 있다. 브라우저의 원격 접속 보안 기술과 권한관리 기술을 접목해 ZTNA를 완성하는 방법도 있다.
제로 트러스트는 특정 솔루션 몇 가지 도입하는 것으로 해결할 수 있는 문제는 아니다. 기존 네트워크 인프라와 일하는 방식을 완전히 바꿔야 하기 때문에 장기간의 계획을 세워 이뤄나가야 한다.
기업·기관이 코로나19로 급히 제로 트러스트 여정을 시작했으나, 이 여정이 쉽게 중단될 것으로 보이지 않는다. 지난 1년 동안 ‘어디서나 일하는 (WFA)’ 환경을 경험한 조직은 일반 사무업무뿐 아니라 중요 시스템의 개발과 유지보수, 보안 관제와 침해대응도 WFA로 전환할 수 있다는 사실을 경험했다.
나아가 ZTNA는 스마트팩토리, 스마트시티, 자율주행차 등 새로운 ICT 환경까지도 확장될 수 있다. 클라우드, 5G, AI, IoT가 적용된 이 환경에서 더 빠르게, 더 안 정적으로, 그리고 더 안전하게 운영하기 위해서는 개별 디바이스와 네트워크에서 스스로 무결성과 기밀성, 안정성을 입증하고 지속적으로 모니터링 할 수 있어야 하며, 지속적인 검증과 자동화된 모니터링을 전 제로 한 제로 트러스트 보안 모델이 필요하다.
