강력하고 편리한 인증으로 제로 트러스트 이상 완성
[데이터넷] 제로 트러스트(Zero Trust)는 코로나19로 가장 몸값을 높인 보안 키워드다. 전통적인 IT 환경은 ‘경계 네트워크 안에서의 접속은 신뢰할 수 있다’는 것을 전제로 보안을 설계했지만, 클라우드와 재택근무가 확산되면서 물리적인 보안 경계가 사라져서 신뢰를 전제로 한 보안 정책이 소용 없게 됐다. 그래서 모든 접속에 대해 비신뢰 원칙을 적용해 접속할 때마다, 접속 대상과 기기를 확인하도록 하는 제로 트러스트가 부상하게 됐다.
제로 트러스트 원칙에 따라 보안을 새롭게 설계한 조직들은 사이버 침해로 인한 피해를 줄일 수 있다는 통계도 나와서 제로 트러스트에 대한 관심이 더욱 집중된다. IBM 조사에 따르면 제로 트러스트 접근 방식의 성숙단계에 있는 기업이 그렇지 않은 기업보다 데이터 유출 사고 시 피해를 절반 정도로 줄일 수 있는 것으로 나타났다.
VPN 대체·개선 위해 도입되는 ZTNA
제로 트러스트는 보안에 대한 새로운 패러다임으로, 이를 구체화하는 기술과 방법은 매우 다양하다. 그래서 가트너는 제로 트러스트 개념 중 ‘접속’에 초점을 맞춰 ‘제로 트러스트 네트워크 액세스(ZTNA)’ 시장을 별도로 분리해 설명한 바 있다.
ZTNA는 대체로 VPN을 대체하거나 개선하면서 원격·분산환경의 업무 생산성과 보안성을 높이기 위해 시작된다. 그러나 기존의 네트워크 인프라를 전면 교체해야 할 수 있으며, 업무 방식의 상당한 변화도 필요하기 때문에 사전에 철저한 준비가 필요하다. 가트너의 ‘제로 트러스트 이행을 위한 베스트 프랙티스’에서는 다음의 항목을 고려해 제로 트러스트를 이행할 것을 권고했다.
- 기존 VPN처럼 ZTNA를 구현하지 말 것
모든 사용자에게 모든 애플리케이션 액세스 권한을 부여하면 VPN과 ZTNA가 다를 바 없다. 중요한 애플리케이션에 대한 강력한 접근권한 적용, 계약업체 등의 그룹에 최소 권한 부여 등의 정책을 마련해 적정하게 배포해야 한다.
- 필요한 응용프로그램 파악
ZTNA를 사용해 접근하는 애플리케이션과 액세스 권한을 파악하고 ZTNA를 배치한다. 어떤 사용자가 어떤 애플리케이션에 액세스 하는 것이 좋은지 파악하는 것은 ZTNA 도입 초기에 미리 완료하는 것이 혼란을 덜 수 있는 방법이다.
- 응용프로그램 액세스 제어
필요한 애플리케이션에 필요한 권한 사용자만 접근하도록 하며, 불필요하거나 과도한 권한을 제거한다. 퇴사자, 임시계약직 등 수시로 변경되는 권한을 반영해 최신의 상태를 유지하도록 한다.
- 변화하는 비즈니스 요구사항에 맞게 정책 조정
비즈니스 요구사항에 맞게 ZTNA 정책을 지속적으로 조정해야 한다. 한 번 설정하고 잊어버리는 전통적인 접근방식은 변화가 많은 클라우드 환경을 보호하지 못한다. 새로운 애플리케이션이 배치되거나 비즈니스에 벼화가 있을 때마다 세분화되고 제한적인 권한 정책을 설정하고 개선해야 한다.
- 비즈니스 리더와 협상
일부 경영진은 ZTNA 마이그레이션으로 사용자 환경이 나빠졌다고 이의를 제기하면서 갈등을 일으 킬 수 있다. 갈등이 생기기 전 ZTNA가 VPN보다 뛰어난 유연성을 제공한다는 것을 설명하고 실제 결과로 보여줘야 한다. 컨텍스트 기반 다중인증(MFA), ZTNA에 내재된 편의성 기능 등을 이용해 보안과 생산성이 향상됐다는 사실을 입증해나간다.
다양한 활용사례 가능한 SDP
ZTNA를 구현하는 방법 중 소프트웨어 정의 경계(SDP)는 확장성이 높고, 원격지 접속의 VPN 사용을 의무화한 국내 공공·금융 재택근무 가이드라인도 만족할 수 있어 국내 여러 기업·기관이 주목하고 있다.
SDP는 엔드포인트에 에이전트를 설치하고, 컨트롤러를 통해 통제해야 하는데, 이 프로세스에 NAC 기술이 활용될 수 있다. 가트너의 NAC 시장 가이드에서는 ZTNA가 NAC를 흡수하고 있으며, SASE 프레임워크 통합 과정에서 NAC를 통합한 ZTNA가 원격·로컬 캠퍼스 사용자를 제어할 것이라고 밝혔다.
엠엘소프트는 NAC와 IT 자산관리 솔루션을 공급해 온 차별화된 경쟁력을 강조하며 시장 공략에 나섰다. 엠엘소프트의 ‘티게이트 SDP’는 기존 네트워크 구성 변경을 최소화하면서 SDP를 구축할 수 있도록 지원하며, 재택근무 가이드라인, 망분리 환경에서 재택근무와 클라우드 사용 등 다양한 환경에서 ZTNA를 구현할 수 있도록 돕는다.
국내 스타트업인 프라이빗 테크놀로지는 독자 개발한 애플리케이션 접속제어 기술이 탑재된 가상게이트를 통해 SDP를 구현한다. 직원, 파트너, 고객 등 애플리케이션에 접속하려는 사용자는 프라이빗 가상 게이트를 통해 접속할 수 있다.
사용자의 위치에 상관없이 가장 가까운 클라우드에 접속이 가능하며, 가상 게이트에서 사용자와 기기, 상황을 검증한 후 접속토록 해 ZTNA의 중요한 요건을 만족시킨다. VPN을 대체하는 가상 게이트는 VPN 보다 성능 5배 향상, 비용절감 효과가 매우 높다. 이 제품은 조달청 혁신 시제품으로 지정 돼 공공기관에 공급되고 있으며, 다수 국내외 특허를 기반으로 독자적인 시장을 형성, 국내외 다양한 기업에 적용됐다.
NAC 전문기업 지니언스도 SDP 솔루션 출시를 예고하며 시장 진출을 예약했다. 완성도 높은 NAC 기술을 기반으로 개발된 SDP는 향후 출시 예정인 SASE 플랫폼에 통합돼 클라우드와 원격·재택근무를 보호한다는 계획이다. 지니언스는 가장 광범위한 엔드포인트 지원 기능을 활용해 안정성 높은 SDP를 제공할 계획이다.
브라우저로 간편하게 구현하는 ZTNA
가트너는 ZTNA 구현 방법의 대표적인 두 가지 모델로 ▲엔드포인트에서 시작한 SDP 아키텍처 ▲서비스에서 시작한 브라우저 기반 ZTNA를 소개한 바 있다. 엔드포인트 기반 SDP는 앞서 소개한 아키텍처로, 클라우드 보안 연합(CSA)이 상용화해 여러 글로벌 기업들이 채택하고 있다.
서비스 기반 모델은 구글의 비욘드코프가 대표적인 사례로, 브라우저를 통해 모든 사용자와 모든 애플리케이션을 제로 트러스트 원칙으로 연결한다. ‘비욘드코프 엔터프라이즈’는 크롬 브라우저를 통해 애플리케이션에 연결하며, 사용자 계정과 권한, 상황, 디바이스 상태를 검증해 안전한 접속 환경을 구축한다. 강력한 피싱방지 인증과 지속적인 인증, 데이터 보호 등의 기능을 제공하며, VPN이나 에이전트 설치 없이 사용할 수 있어 사내 임직원 뿐 아니라 고객사, 파트너, 외주직원도 제한없이 ZTNA를 적용한 분산·원격업무가 가능하다.
구글은 이외에도 컨피덴셜 컴퓨팅 기술을 적용한 강력한 데이터 보안과 클라우드 기반 네트워크 위협 탐지 시스템 ‘클라우드 IDS’, 네트워크 보안 분석 플랫폼 ‘크로니클’ 등의 보안 기술을 제공한다. 또 화상회의 솔루션 ‘구글 미트’에 개인정보 보호를 위한 엔터프라이즈 급 보안 인프라와 기능을 탑재했다.
브라우저를 이용한 ZTNA는 여러 기업들이 활용하고 있다. 포스포인트, 비욘드시큐리티, 체크포인트 등이 VPN 없이 브라우저로 원격접속하는 솔루션을 제공하고, 이를 통해 ZTNA를 구현한다고주장한다. 국내 기업들도 알서포트 등이 브라우저를 이용한 원격접속으로 재택·원격근무를 지원하고 있다.
SASE 일원으로 작동하는 ZTNA
ZTNA는 특별히 정해진 구현 모델이 있는 것은 아니다. 보호해야 할 애플리케이션은 외부에 노출되지 않도록 보호하고, 접속을 요청하는 사람이나 기기의 권한과 상황을 파악해 허가-차단하며, 접속 가능한 범위와 시간을 최소화해 권한을 탈취한 공격자로 인한 침해 가능성을 최소화하는 것이 주요 요건이다.
이 요건을 충족시키는 원격접속 솔루션이 다양하게 제안되고 있는데, 지스케일러는 ‘ZPA’ 솔루션으로 모든 위치, 모든 사용자와 기기를 안전하게 보호되는 애플리케이션으로 접속할 수 있도록 한다. ZPA는 강력한 ID 관리 솔루션을 이용해 사용자와 기기의 ID·상태를 확인하고 정상 권한 사용자가 정상 상황에서만 애플리케이션에 접속하도록 한다. 애플리케이션 세그멘테이션으로 접속 범위를 최소화해 공격자의 수평이동을 차단한다. 사용자와 가장 가까운 서비스 엣지를 통해 애플리케이션에 접속하게 해 지연 없이 애플리케이션에 접속하도록 한다.
팔로알토 네트웍스는 SASE 플랫폼 ‘프리즈마 액세스’에 ZTNA를 통합시켰다. 프리즈마 액세스는ID·역할기반 제어로 권한 있는 사용자의 접근만을 허용하며, 중앙집중 관리를 통해 애플리케이션 접속과 사용자 행위를 모니터링한다. 최소 권한 정책을 적용해 정상 접속도 지속적으로 인증 받게 했으며, 자격증명을 도용하거나 멀웨어·데이터 손실 징후, 기타 악의적 활동을 모니터링해 이상행위를 지속적으로 탐지한다.
포티넷은 차세대 방화벽에 ZTNA 기능을 탑재해 원격환경에서도 속도 저하 없이 보안 접속이 가 능하게 했다. SD-WAN, SASE 플랫폼으로도 사용되는 포티넷 차세대 방화벽은 액세스 프록시 기능을 제공해 어디서나 애플리케이션을 호스팅하고 원활한 사용자 경험을 구현할 수 있게 한다.
국내 기업인 모니터랩도 SASE에 포함되는 ZTNA를 출시하고 시장 공략에 나섰다. 모니터랩 ZTNA는 특화된 프록시 기술을 이용해 원격에서 안전하게 사용자를 애플리케이션에 연결시킨다. ID·컨텍스트 분석으로 정상 사용자·정상 환경에서만 접속을 허용하며, 엣지 컴퓨팅을 활용해 사용자와 가장 가까운 클라우드로 연결시켜 연결지연을 최소화한다.
상황인지·지속인증으로 ZTNA 완성
ZTNA의 핵심은 ‘지속적인 인증’이다. 클라우드 도입으로 비대면 업무가 늘어나면서 사용자가 정상 환경에서 접속을 요청하는지 관리조직이 물리적으로 확인하지 못한다. 그래서 접속을 요청하는 사용자를 지속적으로 검증하면서 정상 권한 내에서만 활동하도록 해야 한다.
이는 부정하게 획득한 접속 권한으로 침투하려는 시도가 클라우드에서 크게 늘어나기 때문이다. ADT캡스에 따르면 2021년 상반기 가장 많이 발생한 침해시도가 크리덴셜 스터핑(32.5%), ID/PW 무차별 대입 공격이 23.6%였다. IBM 조사에서는 데이터 유출 사고의 44%가 인증정보를 도난당한 것이며, 데이터 유출 사고 원인의 20% 이상이 도용된 인증정보로 인한 것이다.
이 같은 계정·권한 침해시도를 차단하기 위해서는 계정탈취 시도를 막고, 탈취한 계정으로 접속하는 것을 찾아 차단해야 한다. 가장 확실한 방법은 강력한 인증으로 탈취한 계정 정보로 접속하지 못하게 하는 것이다. 다단계 인증(MFA)이 대표적인 방법으로, 업무 시스템의 중요도에 따라 강화된 인증을 추가한다. 중요하지 않은 일반 서비스 로그인은 ID/PW만으로, 중요한 시스템 로그인은 ID/PW와 OTP·생체인증 등을 추가하는 방법을 사용한다.
RSA의 차세대 인증 솔루션 ‘시큐어ID(SecurID)’는 리스크 기반 신원인증으로 제로 트러스트 이상을 실현한다. MFA 솔루션 ‘시큐어ID 어센티케이트’는 전용 앱을 사용해 안전성이 높으며, 지문·안면인식 등 사용자 기기의 고유 인증방식을 사용해 편리하게 구현할 수 있다. 개별 업무 중요도에 따라 인증방식을 선택적으로 적용할 수 있어 편의성과 보안성을 만족시킬 수 있다 OTP 솔루션 ‘시큐어ID 소프트웨어 토큰’은 안전한 일회용 비밀번호를 생성시켜 로그인 보안을 강화한다. 전용 모바일 앱이나 웹, 전용 단말기 등 다양한 방식으로 제공될 수 있으며, 온프레미스나 멀티·하이브리드 클라우드 등 모든 환경을 지원한다.
RSA는 OTP 원천기술을 가진 기업으로, 전 세계에서 가장 높은 점유율과 가장 다양한 성공사례를 확보하고 있다. 국내에서도 모든 산업군, 모든 환경에 가장 많은 구축사례를 확보하고 있으며, 상용 소프트웨어는 물론 인하우스·써드파티 개발 애플리케이션과도 원활하게 호환된다.
리소스·사람·데이터 위한 ID 관리 필수
인증은 사용자와 기기의 계정(ID)을 확인하고 해당 ID에 부여된 권한 내에서 접속하도록 허가하는 과정이라고 할 수 있다. 이 과정에서 가장 먼저 ID 관리가 필요한데, 마이크로소프트 액티브 디렉토리(AD)가 이 분야를 대표하는 솔루션이라고 할 수 있다. AD는 사용자 환경과 위치, 디바이스 위험도를 측정해 액세스를 허용·제한·차단한다. 암호 없는 인증, 임시 액세스 패스, 조건부 액세스 등을 적용해 ▲적절한 리소스를 보유한 ▲적절한 사람만 ▲적절한 데이터에 접근할 수 있게 한다.
SSO를 쉽게 적용해 원하는 디바이스에서 모든 서비스에 간편하게 접속할 수 있도록 하며, HR에 연결된 사용자가 접속할 수 있는 액세스 패키지를 자동으로 부여해 ID 관리 업무를 최소화한다. 권한이 부여되는 시간과 범위를 최소화한 JIT·JEA, 사용자 프로비저닝 자동화를 통해 항상 검증된 사용자와 기기만 접속할 수 있게 한다.
ID 관리 기업 옥타 아이덴티티도 제로 트러스트 구현을 위한 솔루션을 추가하면서 시장 공략에 나섰다. 옥타 아이덴티티는 서비스형 ID(IDaaS) 전문기업으로, ID 관리와 접근관리를 통합한 IAM‘WIP(Workforce Identity Products)’와 고객 계정관리를 위한 ‘CIP(Customer Identity Products)’를 공급한다. SSO, 적응형 MFA를 지원하고, 모든 사용자와 그룹, 장비를 한 곳에서 관리하는 유니버설 디렉토리, 패스워드 없는 실시간 인증 지원 등을 제공한다.
클라우드 확산으로 PAM 부상
사람이나 기기가 업무에 할당되면 계정을 받게 되는데, 많은 계정 중에서도 중요한 변경 권한이 있는 계정을 ‘특권계정’이라 한다. 특권계정은 시스템의 중요 설정을 변경하고 애플리케이션·계정 추가·삭제, 중요 데이터 접근과 암·복호화 등 다양한 활동이 가능하다.
특권권한을 중요 시스템의 상위 관리자에게만 부여된다고 생각할 수 있지만, 사실상 거의 대부분의 사람들이 특권권한을 갖는다고 할 수 있다. 윈도우 PC 사용자는 자유롭게 애플리케이션과 계정을 추가·삭제할 수 있는데 이 권한이 특권권한이다. 사실상 거의 대부분의 사람이 특권권한을 갖는다고 할 수 있다.
특권권한은 거의 모든 일을 할 수 있기 때문에 강력한 통제가 필요하다. 특히 권한관리가 쉽지 않은 클라우드에서 더욱 중요도가 높으며, 특권권한 접근제어(PAM)가 ZTNA의 필수 요소로 꼽힌다.
PAM은 ▲모든 권한 있는 계정 추적·보호 ▲액세스 관리와 제어 ▲특권활동 기록과 감사 ▲권한 있는 작업 운영 등의 기능을 한다. 특권 계정·세션 관리(PASM), 특권 평가·위임 관리(PEDM), 비밀번호 관리, 클라우드 인프라·자격 관리(CIEM) 등의 기능이 필수로 요구되며, 제로 트러스트를 위한 JIT·-JEA도 필수 요건으로 꼽힌다.
가트너 매직쿼드런트에 새롭게 리더 그룹으로 합류한 퀘스트소프트웨어 보안사업부인 원 아이덴티티는 ‘세이프가드’ PAM 기능을 강화, 특권 계정을 안전하게 저장, 관리, 인증, 기록, 감사, 분석하는 기능을 제공해 특권 권한 계정과 관련된 부담과 우려를 해소할 수 있게 한다. 또 엔드포인트 특권관리 솔루션을 출시하고 AD, 애저 AD, 윈도우 데스크톱, 리눅스·유닉스, 맥OS 등 다양한 OS를 지원, 포괄적인 엔드 투 엔드 엔드포인트 PAM을 제공한다.
이어 ‘세이프가드 데브옵스 시크릿 브로커’를 추가하며 데브옵스 도구 통합 지원도 공개했다. 이 솔루션은 데브옵스 업무에서 발생하는 특권 접근 관리 감독이 가능하며, 미인가 접근을 제거하는 기능을 통해 애플리케이션 개발 과정에서 네트워크와 데이터를 보호할 수 있다.
더불어 퀘스트는 VPN 없이 원격접속을 지원하는 ‘세이프가드 리모트 액세스’로 재택·원격근무 시장을 공략한다. 브라우저 기반 기술과 연합인증을 사용해 ZTNA를 구현했으며, 사용자·관리자 생산성을 개선할 수 있도록 개선된 환경을 지원한다.
국내기업 진출 시동거는 PAM
PAM 시장의 전통적인 강자인 사이버아크는 PAM의 필수 기능과 JIT를 구현하며, 엔드포인트 특권관리도 SaaS로 제공한다. 완성된 CIEM 솔루션을 갖고 있으며, ITSM·ID 거버넌스 및 관리(IDG) 도구와 원활한 통합을 지원한다. 국내에서도 대규모 공급사례를 다수 확보하면서 PAM 시장을 공략한다.
비욘드트러스트는 엔드포인트 특권관리와 브라우저 기반 원격접속 솔루션의 경쟁력을 강조하면서 국내 시장을 확장하고 있다. 비욘드트러스트의 엔드포인트 PAM은 금융권 컴플라이언스를 위해 공급된 사례를 다수 갖고 있으며, 편리한 원격접속과 포괄적이고 통합된 엔터프라이즈 PAM을 제공해 제로 트러스트 기반 접속을 구현할 수 있게 한다.
계정관리는 접근권한 관리와 함께 작동해야 제로 트러스트를 완성할 수 있다. 그래서 통합계정접근관리(IAM) 솔루션이 클라우드 지원 기능을 확대하면서 경쟁력을 인정받고 있다. 또 부정행위 탐 지·인증이 통합되면서 권한을 탈취한 공격자의 접근을 제어한다.
클라우드 지원 IAM ‘주목’
다양한 클라우드를 지원하는 휴네시온의 IAM ‘NGS’는 게이트웨이와 에이전트 방식, 하이브리드 방식을 지원해 기업 환경에 맞게 선택 도입할 수 있으며, 여러 방식의 MFA를 지원한다. 클라우드 사용자 접근권한 관리, 모니터링, 감사를 수행해 클라우드 환경에서 재난관리시스템 운영이 필요한 다수 지방자치단체 등 공급사례를 다수 갖고 있다.
피앤피시큐어는 클라우드를 포함한 다양한 영역에 대한 포괄적인 통합 인증·접근제어를 지원하는 U-IAM 전략을 드라이브한다. DBMS, 시스템, 애플리케이션·OS에 대한 IAM과 접근통제 기술을 접목한 데이터 보안, 개인정보 접속기록 관리 등을 지원한다.
