[데이터넷] 제로 트러스트가 유행하며 많은 정의와 구현 방법이 제안되고 있다. 이 주장들의 공통된 사항은 ‘인증’과 ‘모니터링’이다. 사용자와 기기가 정상 계정과 권한으로 정상 상황에서 접근을 요청하는지 확인 후 인가하고, 접속 후 이상행위가 발생하지 않는지 지속적으로 모니터링 하는 것이 제로 트러스트의 핵심 원칙이다.

또한 업무 시스템과 애플리케이션은 공격자가 침투 시도를 위해 스캔하지 못하도록 안전하게 보호해야 하며, 업무 시스템과 애플리케이션에서는 사용자·엔티티 행위분석으로 정상 권한 사용자라도 이상행위를 찾아내며, 지속적인 인증과 모니터링으로 권한탈취 사용자의 수평·수직이동을 막아야 한다.

간편하고 강력한 추가인증

제로 트러스트를 위해 필요한 첫 번째 항목인 ‘인증’은 접속하려는 사용자·기기의 계정과 권한, 상황 정보를 확인하고 접속 허가-차단을 결정하는 단계다. 최소 권한 원칙에 따라 한 계정에서 접근 가능한 시간과 범위를 최소화해 정상사용자로 위장한 공격자가 이상행위를 할 수 있는 범위를 최소화한다.

잦은 인증 요청으로 인한 불편을 줄이기 위해 무자각 지속인증이 도입될 수 있다. 예를 들면 스크린의 카메라를 통해 일정 시간 단위로 얼굴인증을 하면, 사용자는 모니터를 보고 일하는 것만으로도 인증절차를 끝낼 수 있다. 재택·원격근무 환경에서 다른 사람이 대신 작업하거나, 공격자가 사용자 모르게 악성 행위를 하는 것도 찾아낼 수 있다.

인증을 강화하기 위해 2차인증·다중인증(2FA·MFS)을 사용하는 것도 필요하다. 최근 MFA는 스마트폰을 이용하는 경우가 많은데, 스마트폰이 자체적으로 갖고 있는 생체인증·간편 비밀번호 인증 등을 통해 본인을 확인한 후 업무를 이어가게 한다.

RSA ‘시큐어ID’는 강력한 MFA와 OTP 기술로 제로 트러스트 환경의 인증 보안을 담당한다. RSA는 암호 분야의 선구자이면서 OTP 원천기술을 가진 기업이다. 모든 종류의 디바이스, OS·웹·앱 환경, 가장 강력한 보안으로 보호되는 전용앱을 통해 OTP와 MFA를 지원한다. 다양한 인증 및 권한관리 기술과 유연하게 연동될 수 있으며, 쉽게 구축·관리·사용이 가능하다.

계정탈취공격 막기 위한 ID 관리 솔루션 필수

계정관리와 접근관리는 제로 트러스트 시작을 위한 중요한 기술이다. 사용자·기기에 계정을 발급하고, 상황에 따라 회수·제거하는 자동관리 시스템은 퇴사자, 삭제된 기기 등 사용 종료된 계정이나 변경된 계정을 효과적으로 관리할 수 있게 한다.

공격자들이 계정을 탈취해 권한 사용자로 위장해 접근하기 때문에 계정관리는 매우 중요하다. 최근 심각한 수준으로 번지고 있는 크리덴셜 스터핑, 계정탈취 공격 등이 위험성을 알려준다. ADT캡스 조사에 따르면 올해 상반기 가장 많은 침해사고가 크리덴셜 스터핑(32.5%)이었으며, 무차별 대입공격이 23.6%로 그 뒤를 이었다.

크리덴셜 스터핑을 막기 위해서는 여러 계정에서 너무 많은 잘못된 접속 시도가 발생하거나, 다크웹 등에서 판매되는 계정을 이용한 접속 시도를 차단하는 등 고도화된 모니터링 기술을 사용한다. 그러나 계정탈취 공격을 막은 가장 좋은 방법은 계정을 안전하게 관리하는 것으로, MS AD, 옥타 등이 계정관리(IM) 분야의 선두주자로 꼽힌다. 멀티·하이브리드 클라우드 지원, 다양한 애플리케이션 및 접근제어·MFA 솔루션과의 연동을 지원한다.

접근관리는 계정이 가진 권한에 따라 접속 가능한 애플리케이션과 업무 범위를 정하고, 그 범위를 벗어나는 접근 시도를 차단하는 기술이다. 계정관리와 접근관리를 통합한 IAM으로 발전하는 추세를 보이며, 지금까지 국내에서는 엔터프라이즈 온프레미스 환경을 위해 SI로 구축되는 경우가 많았다. 클라우드로 확산되면서 클라우드 범위를 지원하는 IAM 수요가 늘어나 IAM 벤더들의 기술 혁신이 무엇보다 시급한 상황이다.

뜨거운 감자 ‘PAM’

특권권한 계정을 관리하는 PAM이 최근 접근관리 분야에서 뜨거운 이슈로 떠올랐다. 클라우드에서 특권계정은 ‘모든 것을 할 수 있는 권한’을 부여받기 때문에 더 철저한 관리가 필요하다. 멀티 클라우드는 일원화된 관리나 포괄적인 가시성이 부족하기 때문에 특권계정을 악용해 클라우드의 설정을 취약하게 바꾸거나 무단으로 권한 계정을 생성해 데이터를 유출할 수 있다.

그래서 클라우드를 지원하는 PAM에 대한 수요가 높아지고 있으며, 사이버아크, 비욘드트러스트, 퀘스트소프트웨어 원 아이덴티티, 센트리파이 등이 시장의 리더로 꼽힌다. 이 중 가트너 매직쿼드런트 ‘비저너리’에서 리더그룹으로 뛰어오른 퀘스트소프트웨어 원 아이덴티티가 눈에 띈다. 원 아이덴티티의 권한계정 및 세션 관리(PASM) 솔루션 ‘세이프가드’는 비밀번호 관리, 권한 있는 세션 관리, 권한 있는 분석관리 등의 모듈로 구성된다. SUDO 지원, 유닉스·리눅스 지원, 권한상승 및 위임관리(PEDM) 등 PAM에 요구되는 다양한 기술을 지원한다.

한편 퀘스트소프트웨어는 VPN 없이 원격근무가 가능한 ‘세이프가드 리모트 액세스’와 개선된 엔드포인트 특권관리를 8월 새롭게 출시했다. 세이프가드 리모트 액세스는 사용자 시스템이나 접근하고자 하는 리소스에 에이전트를 설치하거나 VPN을 이용하지 않고, 에이전트 설치 없이 안전한 원격접속을 제공한다. 브라우저 기반 연합인증을 사용해 제로 트러스트 네트워크 액세스(ZTNA)를 구현했으며, 사용자뿐 아니라 관리자 생산성 개선이 가능하며, 감사 추적성과 세션 레코딩을 통한 보안 최적화가 가능하다.

클라우드로 확장되는 IAM

피앤피시큐어는 통합 접근제어 솔루션 ‘디비세이퍼’를 클라우드까지 확장한 U-IAM으로 강화된 접근제어를 제공한다. DB·시스템·애플리케이션·OS·개인정보 등 다양한 접근제어와 계정관리를 통합 지원하며 국내에서 사용되는 거의 대부분의 퍼블릭 클라우드를 지원한다.

휴네시온은 통합계정접근관리 솔루션 ‘NGS’로 차세대 IAM 시장을 공략한다. 이 솔루션도 클라우드로 제공 가능하며, 계정과 접근관리를 통합해 관리 편의성과 보안성을 높인다. 더불어 휴네시온은 NAC 솔루션 ‘세이프NAC’으로 제로 트러스트 네트워크 액세스(ZTNA)를 구현한다고 소개한다. ZTNA는 시스템·애플리케이션에 접속하기 전 사용자와 기기의 무결성과 접속 환경의 안전성을 평가하는데, NAC는 사용자와 기기의 보안상태를 확인한 후 접속을 허용하기 때문에 ZTNA의 이상을 완성할 수 있다고 주장한다.

‘세이프NAC’은 에이전트·에이전트리스 혹은 혼합 방식으로 사용할 수 있으며, 비정상 트래픽을 지속적으로 차단하고 통신을 제어한다. 유연하게 네트워크를 시각화하며, 네트워크에 연결된 자산정보를 파악하고 최적의 정책 설정이 가능하다.

NAC 기술로 ZTNA를 구현한다는 제안은 여러 NAC 기업들이 소개하는 것이기도 하다. 엠엘소프트는 NAC·IT 자산관리 기술과 ETRI에서 이전 받은 네트워크 기술을 결합해 소프트웨어 정의 경계(SDP) 솔루션을 개발했으며, 지니언스는 SDP 아키텍처 기반으로 NAC를 설계한 ZTNA 솔루션 출시를 예고했다.

또 다른 NAC 기업인 스콥정보통신도 에이전트·에이전트리스 방식으로 설정과 운영 편의성을 높였으며, 네트워크 설정 변경 없이 사용할 수 있어 업계의 호응을 받고 있다.

ZTNA 솔루션 속속 등장

ZTNA를 솔루션 관점에서 접근해 제안하는 경우도 있다. 모니터랩은 SASE 접근을 안전하게 하기 위해 SDP 기반 ZTNA 솔루션 ‘SIA’를 공개했다. ID 중심 아키텍처로 설계돼 SWG·방화벽 등 다양한 네트워크 보안 기술을 이용해 안전하게 접근할 수 있게 한다.

포티넷은 ZTNA를 지원하는 차세대 방화벽을 출시하고 시장 공략에 나선다. 이 제품은 ZTNA 컨트롤러로 사용될 수 있으며, 사용자 인증과 안전한 접속, 사용자 모니터링 등을 제공하며, 강력한 성능과 빠른 속도로 분산환경 사용자를 안정적으로 연결한다.

엄밀히 말해 ZTNA는 특정 기술이나 솔루션을 의미하는 것은 아니다. 인증과 접속 관련 기술을 제공하는 거의 대부분의 벤더들이 ZTNA을 지원한다고 주장한다. SDP 아키텍처를 채택한 지스케일러, 펄스시큐어, 브라우저 기반 ZTNA를 지원하는 구글 비욘드코프,애플리케이션 제어 기술로 ZTNA를 완성한 프라이빗 테크놀로지, IAM·PAM·MFA 솔루션 기업 등 수많은 기업들이 ZTNA 구현에 도움이 되는 기술을 제공한다.

내부자 위협 관리로 제로 트러스트 완성

제로 트러스트 전략을 수립할 때 아주 중요한 내부자 위협은 잘 주목하지 않는다. 정상 사용자로 위장해 침투한 공격자나 고의·실수로 침해행위를 하는 내부자에 의한 위협도 제로 트러스트 전략에 필수적으로 포함돼야 한다. 특히 클라우드는 설정오류, 권한설정 실패 등 사용자의 잘못으로 인해 발생하는 사고가 거의 대부분이기 때문에 내부자에 의한 위협을 낮추는 것이 매우 중요하다.

포스포인트의 경우 내부자 위협 방지 솔루션 ‘FIT(Forcepoint Insider Threat)’를 이용해 지능적이고 정교한 위장공격까지 막는다. ‘인간중심 보안’이라는 원칙으로 설계한 FIT는 모든 시스템과 엔드포인트, 애플리케이션에서 사용자의 행위를 분석하고 위협 점수를 매겨 관리하게 하며, 사용자 행위를 기록해 사후 감사자료로 사용할 수 있게 한다.

사용자별, 부서별 업무특성을 감안한 이상행위 탐지와 피어그룹 행위 비교 등을 통해 사용자 행위의 위험도를 수치화·시각화해 사용자 위협을 사전에 인지할 수 있게 한다. IT 전문성 없어도 쉽게 사용 가능하며, 사고 시 조사 가능한 포렌식 정보를 제공해 사고조사 전문성을 높인다.