[데이터넷] ‘제로 트러스트’는 네트워크 보안 업계의 최대 위협이자 도전이다. 특히 제로 트러스트 네트워크 액세스(ZTNA)가 VPN을 대체하는 기술로 제안되면서 전통적인 VPN의 입지가 위협받고 있는 상황이다.

VPN은 기본 개념부터 보안에 취약하다. VPN은 보안솔루션이 아니라 원격지에서 전용망 수준의 보안과 성능을 보장하면서 인터넷 수준의 비용으로 접속하기 위해 제안된 암호화 터널링 기술이다.

접속을 요청하는 사용자와 기기, 시스템은 신뢰할 수 있는 관계라는 것을 전제하고 연결하기 때문에 사용자 인증 과정이 약하고, 접속한 사용자의 행위를 모니터링하지 않는다. VPN은 사용자와 서버를 연결하기 때문에 연결된 사용자는 서버의 모든 애플리케이션과 데이터에 접속할 수 있다.

그래서 VPN 계정을 탈취한 공격자의 내부 침입 사고가 잇따르고 있으며 다크웹 등에 중요 시스템 관리자 계정이 절찬리에 판매되고 있다. VPN에 사용자 인증을 강화하기 위해 OTP, MFA를 더하고 있지만, 이미 여러 보안 사고 사례에서 OTP·MFA가 무력화되는 것을 발견할 수 있다. OTP·MFA 기술의 취약성을 이용한 것이 아니라 적용 과정에서의 구성상 오류, 사용자 실수, 악의적인 내부자의 조력 등을 이용한 것이었다.

이러한 한계로 VPN을 대체하는 ZTNA 도입 속도가 빨라지고 있다. 탈레스 조사에 따르면 아태지역 기업은 원격 액세스 보안을 위해 38%의 기업이 ZTNA를 사용하고 있는 것으로 나타났다. 가트너는 ZTNA 솔루션이 연평균 36% 성장할 것으로 전망했는데, 재택·원격근무 확산으로 네트워크 외부에서 접속하는 사람의 신원 확인과 내부 인증을 위해 클라우드를 기반으로 모든 행위와 트래픽을 분석하는 ZTNA가 필요하다고 분석했다.

차세대 기술로 진화하는 VPN

ZTNA가 VPN을 완전히 대체할 수 있는 것은 아니다. VPN을 교체하는 것은 네트워크 인프라를 바꿔야 하는 일이기 때문에 장기간 단계적으로 진행해야 하며, 일부 VPN이 반드시 필요한 업무도 있다. 또한 VPN에 ZTNA를 결합한 솔루션도 있어 ZTNA 도입을 위해 VPN을 반드시 걷어내야 하는 것은 아니다.

VPN은 코로나 기간 동안 재택근무를 위한 원격근무 솔루션으로 사용되면서 차세대 기술로 진화할 가능 성을 입증했다. 넥스지의 경우 대기업 계열사에 SSL VPN을 공급, 하이브리드 업무 환경을 안전하게 보호하고 있다. 넥스지는 중소형 고객을 위한 10기 가급 고성능 UTM 솔루션과 재택근무 특화 SSL VPN 기능을 고도화하는 한편, 양자 VPN 기술과 암호화 트래픽 가시화 기술을 탑재할 계획이다.

VPN·ZTNA 결합해 분산환경 안전하게 연결

ZTNA는 구현 방법이 다양하며 일부 사례는 보안이 충분히 검증되지 않았거나 이미 사용 중인 기술 몇 가지를 결합한 방식으로, 안정성이나 통합관리, 사용 편의성이 떨어지는 경우도 있다. 그래서 기존의 VPN을 유지하면서 새로 시작하는 사업장이나 업무에 일부 ZTNA를 도입해 사용하면서 안정성과 보안성을 검증해나가는 것이 대부분의 ZTNA 구축 사업이다.

가장 보안수준이 높은 국방, SOC 등의 사업에는 여전히 VPN이 사용된다. VPN은 수십 년간 안전하게 원격지 연결을 담당해 온 기술이기 때문에 쉽게 바꾸지는 못한다. 대신 VPN의 한계를 해결해 서버가 아닌 개별 애플리케이션 혹은 워크로드와 사용자를 연결하고, 연결 전에 검증하며, 연결 후 모니터링하는 방식도 선택된다.

엠엘소프트와 퓨처시스템의 협력이 그 대표적인 예이다. 엠엘소프트 ‘티게이트 SDP’와 퓨처시스템 ‘위가디아 ITU’를 결합해 ZTNA 원칙에 따른 안전한 연결을 보장한다.

‘티게이트 SDP’는 국내에서 가장 먼저 출시된 ZTNA 솔루션으로, 공공·국방 등에 공급되면서 안정성과 기술력을 인정받았다. 위가디아 ITU는 CC인증 EAL4를 획득한 고성능 보안 솔루션으로, 오픈 API 최신 커널, 온프레미스, 클라우드를 지원하며, 모든 트래픽의 가시성을 보장한다.

양사 기술을 결합한 ZTNA는 보안 리스크를 줄이고, 관리 효율성을 높이며, 총비용을 낮추고, 운영 효율성을 향상시킨다. 본사와 지사, 지사와 지사, 주요 협력사 등 다수가 동시에 업무를 진행할 때 유용하며, 출장이나 외근 시, 장애인 등 재택근무가 필요한 경우 등 다양한 상황에서 적용할 수 있다.

SASE 핵심 기술로 사용되는 SD-WAN·FWaaS

현재 네트워크 보안의 발전 방향이 전통적인 방화벽·IPS이 진화해 온 방향과는 다른 면이 있지만, 그렇다고 해서 기존 네트워크 보안 시장의 성장이 멈추거나 축소되는 것은 결코 아니다. 글로벌 네트워크 보안 기업들은 매년 역대 최대 실적을 거두고 있다. 클라우드·하이브리드 업무환경이나 OT·IoT 및 IT·OT 융합환경에서 네트워크 보안의 중요성이 더 높아지고 있기 때문이다.

최근 네트워크 보안은 SASE로 확장되는 새로운 플랫폼의 핵심 역할을 하고 있다. SASE는 네트워크와 보안을 통합해 클라우드 엣지에서 제공하는 방법으로, 점점 더 분산되고 다양해지는 비즈니스 환경을 효과적으로 운영할 수 있도록 지원한다. SASE에는 SD-WAN과 FWaaS가 필수로 포함되며, 분산환경에서 속도 저하 없이, 비용 효율적으로 사용자를 애플리케이션에 연결시키며, 모든 환경에서 강력한 보안으로 불법 침입자를 사전에 제어하도록 한다.

팔로알토 네트웍스는 ‘프리즈마 SASE’에 SD-WAN, FWaaS와 ZTNA, SWG, CASB, ADEM을 결합시켰으며, 원격 모바일, 지사 사용자를 비롯한 하이브리드 인력이 사용하는 모든 앱을 일관되게 보호한 다. 팔로알토 네트웍스는 프리즈마 SASE로 45%의 데이터 보안 침해 리스크 완화, 243%의 평균 투자 수익률을 거뒀다고 평가했다.

ZTNA 솔루션 ‘프리즈마 액세스’는 클라우드로 배포되는 VPN ‘글로벌 프로텍트’에 제로 트러스트 원칙을 더해 SASE로 제공하는 하이브리드 업무 환경을 보호하는 솔루션이다. 암호화된 애플리케이션 액세스와 인증, 정책관리, 위협 탐지 기능이 통합됐으며, 최초 접속뿐만 아니라 지속적인 모니터링으로 정상 권한의 이상 행위를 탐지한다.

한편 팔로알토 네트웍스는 AWS 맞춤 설계된 관리형 차세대 방화벽 서비스도 출시하고 클라우드 환경의 네트워크 보안을 강화한다. AWS에 최적화 설계된 이 방화벽은 단 몇 번의 클릭만으로 높은 수준의 보안이 보장되는 클라우드를 구현할 수 있다. 클라우드 네트워크 보안 인프라를 관리하는데 드는 시간과 자원을 기업의 핵심 애플리케이션 구축 및 비즈니스 운영에 투자할 수 있도록, 배포, 유지보수, 가용성 관리 및 확장 등의 운영 책임을 팔로알토 네트웍스가 담당한다.

하이브리드 환경 최적화된 네트워크 보안

포티넷은 하이브리드 클라우드 환경을 지원하는 제로 트러스트 엣지(ZTE) 역량을 강조한다. ZTE는 SASE와 유사한 기능 요건을 갖추며, 클라우드뿐 아니라 구축형으로도 제공 가능해 모든 네트워크 엣지에서 심층적인 가시성을 보장하고 보호한다.

포티넷 ZTE의 핵심 인프라 ‘시큐어 SD-WAN’으로 공급되는 ‘포티게이트’는 높은 성능과 안정성으로, 고도로 분산된 환경을 안전하게 보호한다. 포티넷은 포티OS에서 ZTNA를 기본 제공해 포티넷 제품 사용 기업은 ZTNA를 무료로 사용할 수 있다.

포티넷은 가트너가 2022년 필수 기술로 선정한 사이버 보안 메시 아키텍처(CSMA)를 자사의 ‘보안 패브릭’이 정확하게 구현한다며, 경계 없는 네트워크 보안 환경을 가장 잘 보호할 수 있다고 강조한다.

포티넷 보안 패브릭은 포티넷 제품 및 파트너사 제품을 통합하는 에코 시스템을 지원, 개별 시스템을 연결하면서 생기는 보안공백을 제거한다. 전체 에코시스템에서 인텔리전스를 공유하며, 중앙집중화된 관리와 가시성, 자동화를 지원하고, 변하는 네트워크에 적응형 보안을 제공한다.

한편 포티넷은 여러 규모·여러 산업군을 위한 네트워크 보안 어플라이언스도 지속적으로 공개하고 있다. 8월 신규 출시한 ‘포티게이트 4800F’는 7세대 네트워크 프로세서(NP7)를 16개 장착해 평균 19배 많은 CPS 처리능력을 지원하는 하이퍼스케일급 고성능 방화벽이다. 5G 대용량 네트워크를 위한 2.4 Tbps 용량을 지원하며, 5G 이동통신사업자와 대규모 데이터센터에 적합하다.