[데이터넷]제로 트러스트가 보안의 새로운 원칙이 되면서 이를 구현하기 위한 다양한 기술이 경쟁적으로 등장하고 있다. 그중 클라우드 보안 연합(CSA)이 제안 한 소프트웨어 정의 경계(SDP)가 제로 트러스트 네트워크(ZTN)의 이상을 가장 완벽하게 구현한다고 평가받는다. CSA의 기술백서 ‘SDP와 제로 트러 스트’를 3편에 걸쳐 소개하며 SDP를 통한 제로 트러스트 구현 방안을 안내한다.<편집자>

<연재순서>
1. 제로 트러스트와 SDP의 개념
2. 왜 제로 트러스트인가 (이번호)
3. SDP 제로 트러스트의 장점

사이버 범죄자들은 계정과 비밀번호를 탈취하거나 공개된 취약점, 방치된 원격접속 포트를 이용해 침입하며, 중요한 시스템과 애플리케이션을 찾아 비정상적인 반복 접근을 시도 하고, 무단으로 권한을 상승시켜 더 높은 권한으로 중요 데 이터에 접근한다. 특히 경계가 사라지는 클라우드·하이브리 드 업무 환경에서는 ‘자물쇠와 높은 담’에 의존하는 기존 방 식으로는 보호하지 못한다.

● 변화하는 경계

고정된 네트워크 경계가 있는 과거 시스템에서는 방화벽과 같은 네트워크 도구에 의해 보호됐지만, 이제는 가상 네트워 크로 대체되면서 과거의 방식으로 보호할 수 없게 됐다. 특히 IPSec, SSL VPN 등 많은 네트워크 프로토콜이 취약점을 갖고 있으며, 수많은 모바일 장치나 IoT 장치가 기존의 고정 경 계라는 네트워크의 본질을 깨뜨리고 있다.

또한 클라우드·BYOD 요구 사항은 물론 기계 간 접속, 원 격 접근 증가, 그리고 피싱 공격 증가 등 기존의 접근 방식은 지속적으로 도전을 받고 있다.

네트워크에는 많은 내부 장치들과 다양한 사용자들이 있다. 보편적인 네트워크 사용 사례는, 현장의 네트워크 사용 자가 사내와 클라우드 모두에서 네트워크 자원에 접근해야 한다는 것이다.

또한 기업의 작업환경이 클라우드를 사용해 최종 사용자가 외부의 고객 및 파트너 위치로 이동하도록 해주는 공동 운영 시설을 지원하는 하이브리드 아키텍처도 현재의 추세다. 이러한 시나리오 하에서, 도메인 경계의 개념은 제 3자 와의 상호 접속을 포함해 사이트 간 접속으로 재정의되고 있다.

● IP 주소의 과제

인터넷에 연결되는 모든 것은 OSI 스택 1-4 계층에서 신뢰 획득을 위해 IP 주소에 의존하지만, IP 주소에는 요청하는 장 비의 무결성을 검증하는 장치가 없으며, IP 주소를 통해 사용 자를 파악할 수 없다.

IP 주소는 단순히 접속 정보만 제공할 뿐, 단말기 또는 사용자의 신뢰성에 대한 정보는 제공하지 않는다. TCP는 OSI 네트워크 스택의 계층 4에 있는 양방향 프로토콜이므로 내부의 신뢰할 수 있는 호스트가 외부의 신뢰할 수 없는 호스트와 통신해 신뢰할 수 없는 메시지를 받아들일 수도 있다.

IP 주소가 변경되면 복잡한 구성의 변화가 생겨, 네트워크 보안 그룹과 네트워크 접근제어 리스트에 침입하려는 문제를 만들 수 있다. 변경 후 잊어버린 내부 호스트는 ICMP 네트워크 지원과 같은 기존 프로토콜에 응답함으로써 해커에게 진입 통로를 제공할 수 있다.

● 통합 제어 구현 과제

네트워크 접속의 가시성과 투명성은 네트워크 보안 및 보안 도구 구현에 어려움이 있다. 현재 제어 기술을 통합하는 것은 SIEM 또는 SOAR 기술로 구현되는 여러 기록 데이터를 수집해 수행된다.

네트워크 접속에 있어 단일 지점에서 신뢰를 구현하는 것은 어렵다. 방화벽을 통한 접근을 허용하기 전에 ID 관리를 통합하는 것은 리소스 집약적인 작업이다. 또한 대부분의 개발, 운영, 네트워크 팀에 있어서 안전한 코딩 관행을 이용하거나, 응 용 계층 방화벽 그리고 안티 DDoS를 사용하는 작업은 후순위로 밀리고 있다.

개별 애플리케이션에 보안 상태를 제어할 수 있는 기능을 제 공하는 것은 현재 큰 과제다. 보안을 애플리케이션 및 컨테이너 플랫폼으로 개선하려면 접근 제어, ID 관리, 토큰 관리, 방화벽 관리, 코드, 스크립트, 파이프라인 및 이미지 검색 등 모 든 것을 통합해야 한다. 이것은 대부분의 팀들에게 매우 어려 운 것으로 확인된다.

보안에 취약한 네트워크 환경

다음에 제시하는 일반적인 약점은 오늘날 네트워크 설계 방식에 내재되어 있는 것이며, 보안을 위해 네트워크를 설계하는 새로운 개선책이 필요하다.

● 선 접속 후 인증

대부분의 네트워크 설치 과정에서, 인증 전에 접속이 허용된다. 신원을 검증할 수 있는 완벽한 게이트키퍼가 없기 때문에 접근 제어 메커니즘을 우회할 수 있다. 암호화 여부와 관계없이 인증, 권한부여, 토큰 기반 접근제어 시스템에는 여러가지 결함이 있을 수 있다.

접속에 사용되는 주요 네트워크 프로토콜은 전송 제어 프로토콜(TCP)이며, 애플리케이션은 이 프로토콜을 접속에 사용할 때 먼저 접속하고, 다음에 인증 모델로 작동한다. 클라이언트가 통신하고 애플리케이션에 대한 접근 권한을 가지려면, 먼저 접속을 설정해야 한다. 일단 접속이 설정된 후 인증이 이뤄진다. 클라이언트가 인증되면 데이터를 송수신 할 수 있다.

이 모델에서 클라이언트가 먼저 네트워크에 접속할 수 있으며, 이를 통해 무단 사용자 수신이 허용된다. 그런 다음 클라이언트가 접속이 허용된 후 인증된다. 권한 없는 사용자가 네트워크에 접속해 악의적인 활동을 할 수 있음을 의미한다. 인증이 발생할 때까지 합법적인 클라이언트가 누구인지 인식하 지 못하므로, 이러한 사용자는 일반적으로 ID 권한에 문제가 없을 때 인증 방법을 생략한다.

본질적으로, 기기에는 인터넷 접속을 위한 IP 주소가 부여되며, 이로 인해 조직은 다음 세 가지 작업을 해야 한다.

• 위협 방지 인텔리전스를 이용해 이러한 당사자를 식별함으로써 접속을 시도하는 악의적인 행위자를 거부해야 한다.
• 기기의 작동을 멈춰야 한다. 그렇게 하면 취약성이나 패치 혹은 구성 관리와 같은 기밀을 유지할 수 있다. 그러나 이러한 작업은 불가능한 것으로 입증된다.
• 사용자 개념을 갖지 않는 네트워크 계층 방화벽 장비를 구현해 야 한다. 전통적인 방화벽은 내부 공격이나 지능적인 공격에 취 약하기 때문에 차세대 방화벽으로 사용자, 애플리케이션, 세션 기반 공격에 대응할 수 있다. 그러나 방화벽은 여전히 IP 기반의 것이어서 애플리케이션 계층에 있어서의 취약성 때문에 불확실한 결과를 가져온다.

상기 언급한 어떤 기술도 공격을 예방하는데 충분하지 않다. 제로 트러스트 구현은 네트워크, 호스팅, 애플리케이션 플 랫폼 인프라에 대한 모든 공격 계층에 대한 내성을 요구한다.

● 부족한 엔드포인트 모니터링

엔드포인트 모니터링은 컴퓨팅, 네트워크 및 인적 자원 집약 적이다. AI를 사용한 엔드포인트 모니터링은 무단 접근을 올 바르게 탐지하거나 방지할 수 없다. ID 세부 정보를 캡처하고 권한 부여 메커니즘을 이해하며 사용자, 역할 및 애플리케이션의 인증 자격 증명을 스푸핑해 보호된 리소스 분리에 대한 가상적 변형은 시간이 지나면서 바뀔 수 있다.

대부분 AI 모델은 다중 선형 회귀 분석, 전문가 시스템 또는 패턴을 감지하도록 훈련된 신경망에 기반한 간단한 행동 모 델이다. AI 보안 탐지 모델은 시간 관련 데이터가 충분할 경우 시간 기반 이벤트로 확장할 수 있다. 이 모델들은 진화가 되지 않는 시스템을 위한 것이며, 대부분 사실 이후의 침입 패턴을 탐지한다.

현재 AI의 발전이 상당히 빠르지만, 새롭게 진화되는 위협을 탐지하고 방지하는 분석을 하기 위해서는 숙련된 보안 전문 가가 필요한다. 잘 훈련된 모델과 결합된 많은 양의 데이터는 잘 알려진 공격 매개체를 탐지할 수도 있다.

그러나 이전에는 볼 수 없던 부정한 의도를 가진 새로운 침 입 방법을 탐지하려면 성능 모니터링, 트랜잭션 데이터의 패턴 분석과 보안 전문가가 제공하는 분석이 조합돼야 한다. 엔드포인트 모니터링에만 의존하게 되면 기업은 탐지할 수 없는 공격에 노출된다.

기밀성이 높은 데이터를 보호하기 위해서는 공격이 발생하 기 전에 보호해야 한다. SDP를 배포하면 단일 패킷 분석만으로 식별할 수 없는 위험한 트랜잭션을 차단할 수 있다.

● 사용자 컨텍스트 없는 패킷 검사

네트워크 패킷 검사는 애플리케이션에서 패킷을 분석하기 때문에 침해 행위가 발생하기 전에 감지할 수 없다. 접속을 확 인하기 위해 네트워크 단일 패킷 검사를 하면 이 문제를 해결할 수 있다.

패킷 검사는 침입 탐지 시스템(IDS), 모니터링에 중요한 전략적으로 식별된 영역을 사용해 방화벽 또는 방화벽 근처에서 수행된다. 기존 방화벽은 일반적으로 소스 IP 주소를 기반으로 네트워크 리소스에 대한 접근을 제어한다.

그러나 패킷 검사는 소스 IP에서 사용자를 식별한다는 데에서 한계가 드러난다. IP 주소를 기반으로 하는 검사도구는 DDoS, 멀웨어 등 일부 공격을 탐지할 수 있지만, 코드 주입, 자격 증명 도난 등 대부분의 공격은 애플리케이션 계층에서 수행되므로 컨텍스트를 추가로 요구한다.

SDP에는 패킷 검사 시 최종 사용자 컨텍스트가 있다. SDP 제로 트러스트 배포에서는 SDP 게이트웨이에서 수집된 손실된 패킷을 대역 외 검사 및 분석을 위해 전달할 수 있다. 네트 워크 데이터와 결합하면 수신 전에 위험 프로필을 감지할 수 있다.

최소 권한 원칙의 제로 트러스트

제로 트러스트는 사용자, 장치 또는 개별 패킷이 철저히 검 사, 인증되고 승인될 때까지 접근을 보류하는 방식으로 네트 워크 보안 아키텍처를 설계하는 철학이다. 이때도 접근 권한에 따라 필요한 최소한의 접근 권한만 부여된다. 제로 트러스트 전략을 채택하려면 다음 구조가 필요하다.

● 접근 전 인증

VPN과 방화벽을 사용해 제로 트러스트를 설정하는 방법으로 사용자가 서비스(예: 메일서버)에 접속할 수 있다. 방화벽 은 블랙리스트 IP로 설정할 수 있으며, 서비스를 설정해 허용 또는 거부할 IP 주소를 결정할 수 있다.

VPN은 제로 트러스트가 구현됐음을 암시하는 인증된 VPN 클라이언트와 적절한 키를 가진 네트워크의 사용자만 허용하 도록 구성할 수 있다.

VPN 클라이언트를 복제하고 키를 도용하는 권한이 없는 사 용자도 메일서버에 접근한 다음 다른 사용자 이름과 암호를 추측하고 DDoS, 자격 증명 도용 등과 같은 악의적인 작업을 수행할 수 있다.

SDP 아키텍처의 VPN은 사용자가 네트워크에 로그인하고 메일서버 네트워크에 없는 다른 서비스(예: 셰어포인트)를 거 부할 수 있다.

권한 없는 사용자가 이미 네트워크에 있는 경우, 셰어포인트 서버에 대한 횡 방향 접근은 흔히 일어나는 일이다. 또한 인 증 전 접근을 통해 사용자는 접근 권한에 의해 의도된 것보다 더 많은 서비스에 접근할 수 있다.

접근 이전에 인증을 확립하기 위해서는 필요한 요구사항이 있다. 즉, 인증을 위한 제어 패킷이 데이터 패킷과 분리돼야 한 다는 것이다. 허용 가능한 응답 시간을 보장하려면 즉각적인 인증을 위한 메커니즘이 필요하다.

● 네트워크 접속·노출 제한

퍼블릭/프라이빗 클라우드는 경계 네트워크 보안을 구성한다. 이러한 솔루션은 계층에 따라 보안 접근 방식을 제공하고, 로그를 니터링 툴로 스트리밍하며, 통찰 력 및 하이브리드 서비스 제어 정 책을 제공한다. 이 기능은 접근 전 인증에 어려움을 겪는 문제를 해결하지 못한다.

클라우드 네이티브 플랫폼 및 애플리케이션 서비스에 대한 강력한 지원 조치에는 인바운드/아웃바운드 보안 구성 및 회사 네트워크 정책 구성이 포함된다. 강력한 인증 및 권한 부여에 대한 업계 표준 관행은 상호 TLS(양방향 SSL) 인증서이다. 더 나은 접근 방식은 SDP 제로 트러스트 배 포에 대한 SDN 컨트롤러에 의해 제공되는 트래픽 관리를 통해 네트워크 계층의 패킷 삭제 또는 전달에 앞서 인증을 요구하는 것이다. 이 아키텍처를 통해 SDN 인프라는 인증이 실패할 경 우 네트워크 접속을 끊을 수 있다.

● 세분화된 신뢰 인증 메커니즘

네트워크 계층 VPN, 방화벽, 애플리케이션 계층 방화벽 및 SSL VPN에는 명시적으로 세분화된 접근 제어 기능이 없다. 제로 트러스트 구축에는 정책 기반 인증뿐 아니라 네트워크 마이크로 세분화, 분산 서비스 접속 및 하이브리드 프라이빗/퍼블릭 멀티 클라우드 시나리오 간 상호 접속의 맥락에서 ID 인 증도 필수적이다.

네트워크 계층 방화벽은 특별히 고려할 가치가 있다. 사용자 그룹은 정적이므로 사용자 그룹을 사용하여 세밀한 신뢰를 제공한다. 다른 역할을 가진 다양한 부서의 사용자 그룹이 동일한 IP 주소로 동일한 서비스에 접근해야 하는 것은 드문일 이 아니다.

방화벽 규칙은 정적이며 네트워크 정보에만 의존한다. 컨텍스트에 따라 동적으로 변경되지 않는다. 즉, 지정된 네트워크에서 특정 장치에 필요한 신뢰 수준이다. 이용 빈도는 이용자가 인터넷 카페 등 더 위험한 네트워크를 통해 접속을 요청하는 경우다.

로컬 방화벽 또는 바이러스 백신 소프트웨어가 멀웨어에 의해 또는 실수로 꺼져 있는 경우 기존 방화벽에서는 이 사실을 탐지하지 못한다. 접근을 허용하기 전에 인증을 위해 ID 속성에 접근하지 않는 IPSec VPN의 경우가 발생할 수 있다.

이러한 제한에 비춰볼 때 네트워크 경계 제로 트러스트 접근 방식은 세밀한 신뢰 인증 메커니즘과 정책 기반 인증을 통해 더욱 안전하다.

● 의심스러운 활동에 대한 모니터링

ID 특성의 인증에 실패하는 경우를 고려해야 한다. 패킷 검사에 기반한 의심스러운 활동을 엔드포인트 로깅 및 모니터링 서비스로 전달하는 기능은 조직이 다양한 소스에서 입력을 가 져올 수 있도록 지원하는 SOAR 기술에 매우 유용한 입력 정보를 제공한다.

자동화는 데이터를 수집하고 통합 및 조정하기 위해 시작돼 운영 인텔리전스와 시각화 그래프 및 대시보드를 제공하는 워크플로우 프로세스를 의미한다. 제로 트러스트를 구현하게 되 면, 입력에 유용한 인텔리전스를 SOAR AI 모델로 전달해 의심스러운 활동을 적절하게 모니터링할 수 있다.