[데이터넷] ZTNA는 특별한 기술이나 솔루션을 지칭하는 것이 아니라, 제로 트러스트 원칙에 따라 중요한 애플리케이션에 안전하게 접속할 수 있는 여러 방법을 통칭한다. 흔히 ZTNA는 ▲강력한 사용자 인증과 관리 ▲클라우드부터 애플리케이션까지 정확하게 식별·관리 ▲유연한 네트워크 구성 ▲최소 권한 원칙에 따른 세밀한 접근통제 등의 기능을 수행해야 한다고 인식된다.

여러 시장조사기관이 ZTNA가 VPN을 대체할 것이라고 전망하고 있으며, 실제로 ZTNA 사업의 대부분이 이 목적으로 진행되고 있다. 그러나 VPN을 걷어낸다는 목표만으로 ZTNA를 도입해서는 안되며, 어디서나 일하는(WFA) 환경의 애플리케이션과 사용자를 보호한다는 대 원칙을 ZTNA 도입 목적으로 삼아야 한다.

특히 주의할 점은 ‘신뢰하지 않는다’는 전제로 제로 트러스트 프로젝트를 진행하면, 임직원의 반발을 살 수 있다. ‘직원을 믿지 않는다’는 제로 트러스트의 전제는 부정적인 인식을 심어줄 수 있으며, 애플리케이션 접근마다 강력한 인증 절차를 수행하고 업무 활동을 지속적으로 모니터링하면 업무 불편이 커질 뿐 아니라 사생활 침해 우려로 반발을 살 수 있다.

따라서 제로 트러스트를 ‘인간 중심 사이버 보안’ 전략으로 접근하는 것이 바람직하다. 직원의 계정이 공격에 이용됐다는 사실이 드러났을 때, 해당 직원은 악성행위를 자신이 직접 수행한 것이 아니라 공격자에 의해 진행된 것이며, 보안 정책을 위반하지 않았음에도 계정 탈취를 당했다는 사실을 입증해야 한다. 직원이 자신의 무결성을 직접 입증하는 것이 쉽지 않으며, 이 과정에서 기업과 갈등이 발생해 더 큰 문제로 번질 수 있다.

제로 트러스트는 직원이 공격에 이용당하거나 실수로 침해행위를 벌이지 않도록 보호한다는 관점에서 접근하는 것이 좋다. 네트워크와 워크로드를 작은 단위 업무로 세분화해 침투한 공격자가 이동하지 못하도록 하고, 정상 인증 프로세스를 거쳐 인가된 사용자의 인가 시간과 범위를 최소화해 계정 탈취 공격자가 공격활동을 진행할 수 있는 시간과 범위를 제한한다.

보호해야 할 데이터의 우선순위를 지정하고, 지속적으로 관리할 수 있는 정책을 마련하며, 지속적인 모니터링으로 ID가 침해당했을 때에도 공격자의 이상행위를 즉시 탐지해 조치할 수 있어야 한다.

‘정상 사용자 보호’ 원칙의 ZTNA

포스포인트가 사용자 보호 관점의 ZTNA을 제안하면서 시장을 공략한다. 포스포인트는 ‘사람 중심 보안 전략’으로, 사람의 사고를 바탕으로 향후 발생 가능한 위협을 예측하고 대비한다. 이러한 원칙을 적용한 ZTNA 솔루션 ‘포스포인트 프라이빗 액세스(FPA)’는 사용자 생산성을 높이면서 손상된 사용자나 장치가 네트워크에 침입하는 것을 차단하고 지속적 로 안전한 활동만을 할 수 있도록 지원한다”고 말했다.

포스포인트는 데이터 사용을 제어하며, 민감한 데이터가 사용·저장되는 위치를 파악해 데이터 보호 기능을 한층 강화한다. 사람 중심 보안 정책을 적용해 정상 사용자의 활동을 보호하고 비정상 활동은 즉시 확인해 조치한다. 관리되지 않는 BYOD와 장치를 구분하며, 네트워크와 앱, 데이터를 세분화해 공격 노출을 제한한다.

스카이하이시큐리티(구 맥아피 엔터프라이즈)는 ‘데이터 인지 클라우드 보안’을 천명하며 데이터 보호 기능이 강화된 ZTNA를 강조한다. 에이전트를 통해 원격접속 단말의 안전 여부를 검사하 고 사용자 권한별로 허용되는 앱 단위로 접근을 제어한다.

포스포인트, 스카이하이시큐리티는 프록시 기술 기반의 ZTNA를 제공하며, SASE 혹은 SSE의 한 기능 요소로 ZTNA를 제안한다. CASB, 웹 격리, DLP, CWPP·CSPM 등의 기능을 클라우드 엣지에 통합해 제공한다. 같은 방식의 ZTNA 제공 기업으로 지스케일러, 멘로시큐리티 등이 있으며, 국내에서도 많은 고객을 확보하면서 시장에서 인정받고 있다.

ZTNA 이상과 가까운 NAC

ZTNA를 구현하는 방법은 여러가지가 있는데 그 중 하나가 NAC를 이용하는 것이다. NAC는 네트워크에 접근하기 전에 사용자와 기기를 검증하고, 기기의 무결 성을 체크해 내부 네트워크로 감염이 확산되지 않도록 한다.

이 점을 강조하며 지니언스가 ‘지니안 ZTNA’를 출시하고 시장 공략에 나섰다. 지니안 ZTNA는 ▲강력한 사용자 인증 및 관리(Enhanced ID Governance) ▲정확한 식별(All about Visibility) ▲유 연한 네트워크 환경 구성(Software Defined X) ▲유 연하고 세밀한 접근통제(Micro Segmentation)를 제 공한다.

지니언스는 지니안 ZTNA를 다양한 환경에서 사용할 수 있다고 강조한다. 우선 원격근무를 위해 레거시 VPN을 대체할 수 있는데, MFA 기반 사용자·단말 인증, 클라우드 게이트웨이를 통한 인터넷 접속, 위치에 상관없이 안전하게 연결하며 일관된 보안 정책 적용의 기능을 제공한다.

휴네시온도 ‘아이원NAC’에 기기 무결성 검증 기능을 한층 강화해 ZTNA 이상에 다가가고 있다. 아이원 NAC은 외부 접속 이력이 있는 기기는 내부 접속 시 반드시 무결성 검사를 하는데, 기본 백신 검사와 최신 패 치 업데이트와 유지 여부를 확인한 후 접속을 허용한다. 2FA·MFA와 간편하게 연동 가능해 인증받은 권한 사용자만 접속하도록 한다.

정철민 휴네시온 팀장은 “제로 트러스트는 신뢰하 지 않고 검증한다는 것으로, 아이원NAC은 외부에 한 번이라도 접속한 기기는 감염 여부를 철저히 검사한 후 접속하도록 해 제로 트러스트의 ‘비신뢰’ 원칙을 지킬 수 있다”며 “아이원NAC은 마이더스AI(구 닉스 테크)로부터 세이프NAC을 인수해 휴네시온의 안정 적인 기술지원 역량을 결합하고 여러 기능을 고도화한 솔루션으로, 공공·금융기관과 대규모 제조사와 다양 한 규모의 기업으로부터 높은 수요를 받고 있다”고 말했다.

한편 휴네시온은 한국전력공사의 중소기업 협력연구 개발사업에 참여해 ‘OT 전력망 사이버보안 자산 식별· 제어·분석 시스템 개발’을 진행 중으로, 제로 트러스트 관점의 보안 검증을 위해 네트워크 접근제어 기술을 기반으로 OT 전용 보안 센서를 개발하고 있다.

격리 기술로 ZTNA 완성

원격 브라우저 격리(RBI) 기술을 이용한 ZTNA도 주목된다. 소프트캠프의 ‘실드게이트(SHIELDGATE)’는 웹 브라우저만으로 원격지에서 안전하게 접속할 수 있게 하며, RBI 기술을 이용해 애플리케이션을 외부 웹 위협으로부터 보호한다.

실드게이트는 사용자 인증 후 업무 시스템에 접속할 때 복사·붙여넣기 금지, 전자 워터 마킹, 파일 업로드 다운로드 차단 등의 기능을 적용한다. 원격 접속 시 격리된 환경에서 자연스러운 화면 송출이 가능하며, 해킹과 악성코드의 유입을 원천적으로 차단해 사내 업무 시스템을 보호하고 사용자의 동작을 추적하여 언제 누가 무엇을 했는지 시각화해 사용자의 이용 패턴도 파악할 수 있다.

멘로시큐리티는 탁월한 격리 기술을 원격·재택근무 환경에 적용한 ‘멘로 프라이빗 액세스(MPA)’를 제안한다. MPA는 사용자와 애플리케이션 사이에 클라우드 기반 격리 플랫폼을 두고 사용자가 격리 환경에서만 애플리케이션에 접근하도록 한다. 경쟁사 ZTNA가 엔드포인트 검사를 백신, 샌드박스에 만 의존하는 것과 달리 격리 플랫폼에서 접근하기 때문에 알려지지 않은 위협에 감염된 엔드포인트로 인한 위 협을 원천 차단한다.

관리되지 않은 디바이스, 데스크톱은 물론 다양한 모바일 기기 지원이 가능하며, 단일 인터페이스에서 클 라우드·온프레미스 모든 애플리케이션 접근이 가능하다. M&A나 외부 협력 시 크리티컬한 애플리케이션의 접근을 제한하고, 감염을 막을 수 있어 외부 사용자 혹 은 관리되지 않은 사용자로 인한 감염을 막는다.

라우 분 펭(Lau Boon Peng) 멘로시큐리티 아시아태 평양 지역 기술 총괄 이사는 “MPA는 에이전트 설치 없 이, 네트워크·애플리케이션 수정 없이, DNS 변경도 필 요 없이 ZTNA를 완성할 수 있다. 사용자와 가장 가까 운 클라우드 PoP에서 통제하기 때문에 사용자 경험을 저해하지 않으며, 사용자의 급속한 증가나 축소에도 유연하게 대응할 수 있다”고 말했다.