기업 보안 상태 개선햐 복잡해지는 공격 효과적 대응하는
[데이터넷] 제로 트러스트가 보안의 새로운 원칙이 되면서 이를 구현하기 위한 다양한 기술이 경쟁적으로 등장하고 있다. 그중 클라우드 보안 연합(CSA)이 제안 한 소프트웨어 정의 경계(SDP)가 제로 트러스트 네트워크(ZTN)의 이상을 가장 완벽하게 구현한다고 평가받는다. CSA의 기술백서 ‘SDP와 제로 트러스트’를 3편에 걸쳐 나눠 소개하며 SDP를 통한 제로 트러스트 구현 방안을 안내한다.
소프트웨어 정의 경계(SDP)는 OSI 네트워크 스택의 계층 1-7에서 보안을 제공하기 위해 구현된 네트워크 보안 아키텍처다. SDP 구현은 자산을 숨기고 단일 패킷을 사용해 숨겨진 자산에 대한 접속을 허용하기 전에 분리된 제어 및 데이터 패킷을 통해 신뢰를 구축한다. 또한 SDP는 숨겨진 자산으로 접속을 허용하기 전에 서로 분리된 제어 패킷과 데이터 패킷으로 나눠 단일 패킷을 사용한다.
SDP를 이용한 제로 트러스트 구현을 통해 조직은 기존 네트워크 및 인프라 경계 중심 네트워킹 모델에서 지속적으로 노출되는 끊임없고 다양한 공격 방법에 대해 방어할 수 있다. SDP를 구현하게 되면 점점 더 복잡해지는 공격에 대해 적응해야 하는 과제에 직면한 기업의 보안 상태가 개선된다.
20년 전 최초 제안된 제로 트러스트
제로 트러스트 네트워크(ZTN)는 2000년대 초 미국 국방성(DoD)이 글로벌 정보 그리드(GIG) 네트워크 운영(NetOps) 블랙 코어 라우팅을 정의하고 DoD의 네트워크 중심 서비스 전략의 일부인 아키텍처를 다루면서 개발됐다. 시간이 흐르면서 이 개념은 미국 국방부 정보부와 보안 커뮤니티로부터 현재의 ZTN/SDP 프레임워크와 테스트 과제로 발전했다.
비슷한 시기에 시장조사기관 포레스터는 기업 보안팀을 위한 가치 있는 고려사항으로 제로 트러스트를 제안하기 시작했으며, 그 개념이 지속적으로 진화해 적용 범위가 넓어졌고, 제로 트러스트를 많은 곳에서 채택하면서 진화했다.
포레스터 분석가들은 ‘확장된 제로 트러스트 에코 시스템’ 보고서에서 “네트워크 경계 특성이 변하면서 제로 트러스트 아키텍처의 컨텍스트가 ‘위치-호스팅 모델 간 네트워크 세분화와 보호’에서 확장돼 새로운 적응형 소프트웨어 기반 접근 방식까지 이르고 있다고 설명했다.
포레스터는 제로 트러스트의 세 가지 중요한 개념을 다음과 같이 설명한다.
- 네트워크에 신뢰 개념을 도입해 위치 또는 호스팅 모델, 클라우드, 사내 또는 제휴된 리소스에 관계없이 트래픽을 누가 생성하든 어디서 발생하든 모든 리소스에 안전하게 액세스
- 제한된 리소스에 접근하하지 못하도록 접근 제어를 강제하는 최소 권한 전략(LPS) 채택
- 의심스러운 활동의 징후에 대해 사용자 트래픽 검사를 지속적으로 기록하고 분석
모든 인프라에 대한 접속 보호
SDP는 제로 트러스트 전략을 구현한 기술로, 기본 IP 기반 구조에 구애받지 않고 해당 인프라를 사용하는 모든 접속을 보호하는 데 도움이 된다.
- 신뢰관계가 설정된 제어 패킷과 실제 데이터가 전송되는 데이터 패킷을 분리한다
- 예외를 허용하는 동적 전체 거부 방화벽을 사용해 인프라 은닉(예: 서버 은폐). 기록과 트래픽 분석을 위해 모든 비인가 패킷이 드롭 되는 지점
- 보호된 서비스 접근을 위한 사용자 인증 및 인가, 장비 유효성 검사를 위해 단일 패킷 인증 사용. 이 프로토콜에는 최소한 권한만 내포
SDP는 세션 계층이나 전송 계층보다 하위 계층인 OSI/ TCP/IP의 네트워크 계층에 적용될 수 있다. 전송 계층은 애 플리케이션을 위한 호스트 사이에서 통신 서비스를 제공하며, 세션 계층은 최종 사용자 애플리케이션 프로세스간의 세션을 열고 닫고 관리한다.
이러한 전송 계층과 세션 계층은 모두 알려진 취약점을 갖 고 있다. 예를 들면, TLS 취약성이나 세션 확립 시의 TCP/IP SYN-ACK 공격을 그 예로 들 수 있다. 그러므로 SDP가 네트 워크 계층에 적용된다는 점은 중요하다.
제로 트러스트 현실화하는 SDP
SDP는 TCP/IP 및 TLS의 전 단계에서 적용될 수 있기 때문에, 취약한 프로토콜이 위협 행위자 공격에 사용될 가능성을 감소시켜 준다. 클라우드 보안 연합(CSA)의 버전 1 사양을 준수하는 SDP는 제로 트러스트를 현실화해 DDoS 공격, 자격 증명 도난, OWASP(Open Web Application Security Project)에서 발표한 10대 위협 공격과 같은 통상의 공격 방법들을 막아 준다. SDP는 보호해야 할 자산을 은닉시키며, 제로 트러스트 구현 입증을 위해 자산에 대해 사용자의 신원이 성공적으로 인증 및 인가될 때까지 접근을 방지한다.
SDP 아키텍처에는 제로 트러스트 원칙이 반영됐다. SDP는 ▲A: 아무것도 가정하지 않는다(Assume nothing) ▲B: 아 무도 믿지 않는다(Believe nobody) ▲C: 모든 것을 점검한다 (Check everything) ▲D: 위협을 방어한다(Defeat threats)는 ‘ABCD’ 정책으로 이뤄진다.
SDP 제로 트러스트는 ISO의 OSI 모 드 네트워크 계층 3에 적용된다. 그러나 하이브리드 클라우드 서비스에 접근하는 애플리케이션과 같은 일반적인 아키텍처 패턴을 고려할 때 최적의 성능을 보 장하고 불필요한 서비스 대기 시간을 막 으려면 ZTN을 가능한 한 도메인 경계에 가깝게 적용해야한다.
