원격·분산환경 위한 ZTNA 부상…다양한 모델로 ZTNA 이상 완성
[데이터넷] 최근 보안 시장에서 가장 주목하고 있는 단어가 ‘제로 트러스트(Zero Trust)’다. 최근 발표되는 거의 대부분의 보안 솔루션이 ‘제로 트러스트’ 원칙을 따르고 있다고 강조하는데, 일부 마케팅 용어로만 사용하는 경향이 있다.
제로 트러스트를 처음 주창한 포레스터가 정의한 바에 따르면 제로 트러스트는 매우 광범위한 영역을 다루며, 장기간의 여정을 통해 이뤄나가야 한다. 그래서 제로 트러스트는 ‘선언’의 의미일 뿐이며, 실체가 없다고 지적하는 시각도 있다.
그러나 제로 트러스트를 그렇게 폄하할 필요는 없다. 일반 업무 환경 뿐 아니라 제조환경에서도 원격·분산 접속이 늘어나면서 VPN에만 의존하는 현재 상황은 한계에 부딪혔다. 완전히 새로운 기술을 사용하지 않더라도, 기존 기술을 적절히 결합해서 모든 접속을 유연하고 안전하게 지원할 필요는 있다.
포레스터의 ‘제로 트러스트’ 정의를 완전히 충실히 따르는 것은 상당한 시간이 걸리며, 기존 인프라를 완전히 교체해야 할 수 있다. 그래서 현재 직면한 원격·분산환경을 위한 ‘제로 트러스트 네트워크 액세스(ZTNA)’로 전환하는데 관심이 모아지고 있다.
공격자 수평이동 강력 차단
ZTNA가 반드시 갖춰야 할 기본 원칙을 간단히 정리하면 다음과 같다.
- 애플리케이션은 인터넷에서 검색되지 않도록 안전하게 보호해 외부 공격자에게 노출되지 않도록 한다.
- 애플리케이션 연결 전 사용자와 단말의 무결성과 접속과 관련된 여러 컨텍스트를 확인해 정상 접근 요청일 때 접속을 허용한다.
- 최소권한 접근 정책을 이용해 사용자와 단일 애플리케이션을 연결한다.
- 한 번 신뢰된 사용자-애플리케이션 접속이라 해도, 다른 애플리케이션 접속 시 다시 검증해 감염된 사용자와 애플리케이션이 다른 애플리케이션에 영향을 미치지 않도록 한다.
- 적응형 인증을 적용해 정밀한 통제 정책을 사용한다.
- 사용자와 기기, 애플리케이션이 어디에 있든지 상관없이 접속할 수 있어야 한다.
- 내부 직원은 물론 파트너, 임시 계약직, IoT·OT 디바이스 등 애플리케이션 접속 권한이 있는 사용자·기기는 제한없이 접속할 수 있어야 한다.
다양한 기술로 구현되는 ZTNA
ZTNA를 구현하는 기술은 다양하게 제안된다. 가트너의 ‘제로 트러스트 네트워크 액세스(ZTNA)를 위한 시장 가이드’에서는 소프트웨어 정의 경계(SDP), 브라우저 기반 원격접속 기술, 원격 브라우저 격리(RBI), 마이크로 세그멘테이션, 특권권한관리(PAM) 등이 ZTNA를 구현할 수 있는 기술이라고 소개한다.
ZTNA를 VPN 대체 기술이라고 생각하기 쉬우며, 많은 벤더들이 그렇게 주장하지만, 모든 ZTNA 기술이 VPN을 제거하지 않는다. SDP의 경우 인증된 사용자와 기기는 VPN을 이용해 접속한다. 그래서 VPN 기업들이 SDP 아키텍처를 채택한 차세대 VPN이 ZTNA라고 주장하기도 한다.
SDP는 미 국방성이 개발한 기술을 클라우드보안연합(CSA)이 이전받아 상용화한 것으로, 엔드포인트 에이전트를 통해 사용자와 기기를 인증하고 통제한다. SDP는 토종 솔루션이 일찍 진출한 영역으로, 엠엘소프트는 20여년간 안정적으로 제공해 온 IT 자산관리·NAC 기술과 ETRI에서 이전받은 네트워크 기술을 이용해 2019년 국내 최초로 ‘티게이트 SDP’를 출시하고 시장 개척에 나섰다.
SDP를 구현하는 기술 중 또 다른 방식으로 구글 비욘드코프의 방식이 있다. 에이전트 없이 웹브라우저 원격접속 기술을 이용하며, 애플리케이션은 외부에 노출되지 않도록 보호하고, 웹브라우저를 통해 컨트롤러에 접속해 사용자와 단말을 인증한 후 인증된 애플리케이션에 접속할 수 있게 한다.
이와 유사한 방식으로 접속하는 솔루션으로 비욘드트러스트 ‘PRA’, 사이버아크 ‘알레로’, 체크포인트 ‘오도시큐리티’, 소프트캠프 ‘실드앳홈(Sheild@Home)’, 에스에스앤씨 ‘EAMS’ 등이 제안되며, 쉽게 구현할 수 있는 ZTNA 솔루션으로 주목받는다.
새로운 방식의 ZTNA 제안
클라우드 기반 ZTNA는 보다 유연하고 확장력있는 접속을 지원할 수 있다. 지스케일러 ‘ZPA’의 경우, ZTNA 컨트롤러를 클라우드 혹은 클라우드 엣지에서 작동하게 하며, 사용자·기기와 가장 가까운 곳에서 일원화된 통제 정책을 적용할 수 있다. 멀티·하이브리드 클라우드와 전국 혹은 글로벌 단위로 분산된 비즈니스 환경에도 적용 가능하다. 전 세계에 분산된 제조시설을 가진 글로벌 기업까지도 확장 가능하며, 코로나19와 같은 예기치 않은 문제로 갑자기 재택·원격근무를 해야 할 때 빠르게 전환할 수 있다.
전혀 새로운 방식의 ZTNA도 등장했다. 프라이빗테크놀로지는 OSI 7 계층에 알파 계층을 추가하는 방식으로 ZTNA를 구현한다. 알파 계층에서 업무상 필요한 애플리케이션만 접근을 허용하며 허가되지 않거나 안전하지 않은 애플리케이션 접속을 원천 차단한다. 애플리케이션을 수정하지 않고 적용 가능해 여러 기업·기관에서 호평받고 있다.
