접속 전 인증하는 NAC, 제로 트러스트 원칙 구현 ‘최적’
[데이터넷 글로벌 팬데믹을 겪으면서 전 세계 기업·기관은 사무실 근무와 재택·원격 및 이동근무를 병행하는 하이브리드 업무 환경으로 전환했다. 이 환경은 업무 효율성을 높이고, 사무실 운영에 필요한 비용을 줄일 수 있지만, 클라우드와 네트워크 비용이 늘어나고 IT 복잡성이 증가하며, 공격표면이 확장된다는 문제를 안고 있다. 그래서 제로 트러스트 원칙이 반드시 필요하다.<편집자>
가트너는 ZTNA를 엔드포인트 방식과 서비스 방식으로 구분했으며, 엔드포인트 방식의 대표 모델로 SDP, 서비스 방식의 대표모델은 구글 비욘드코프를 들었다. 이 방식은 엔드포인트 에이전트 설치 없이 브라우저에 원격접속 플러그인을 설치해 원격지에서 애플리케이션에 접속토록 한다. 에이전트가 필요 없어 외부 파트너, 협력사, 에이전트 설치가 불가능한 엔드포인트로도 ZTNA 구현이 가능하다.
이 모델은 원격접속을 지원하는 거의 모든 서비스가 채택하고 있으며, 사용자·컨텍스트 인증을 강화하고, ZTNA 컨트롤러에 보안 기능을 더해 제로 트러스트 보안을 강화한다. 에스에스앤씨가 국내에 제공하는 포스포인트는 특화된 사용자 행위 분석 기능까지 더해 ZTNA를 더 안전하게 한다.
적응형 액세스·RBI 결합 ZTNA 제공
소프트캠프의 ZTNA 솔루션 ‘실드게이트(SHIELDGate)’는 제로 트러스트 원칙의 적응형 액세스(Zero Trust Conditional Access)와 원격 브라우저 격리(RBI) 기술을 이용해 하이브리드 업무 환경을 보호한다. 실드게이트는 기존 업무 시스템 변경 없이 사용 가능하며, 단말기에 에이전트 설치 없이 브라우저를 통해 접속하면 격리된 한경에서 보안이 유지된 상태로 업무 시스템과 내부 업무 PC에 접속할 수 있다.
실드게이트는 초기 접속 시 사용자와 기기를 인증할 뿐 아니라 접속 상황을 계속 분석하고, 이상행위가 탐지되면 추가인증을 요구하거나 접속을 제한한다. 각 사용자에게 부여된 권한 내에서만 업무 시스템에 접근할 수 있는데, 시간, 장소, 기기 등 사용자 접근 환경에 따른 정책으로 모든 사용자에게 전체 업무 시스템의 접근 권한을 주지 않고, 각 사용자에게 필요한 권한만을 제공한다. 보안 정책에 따라 파일 업·다운로드를 제한하며, 꼭 필요하다면 콘텐츠 무해화(CDR)를 적용한다.
RBI 기술을 적용해 사용자 기기가 업무 시스템에 직접 연결되지 않고, 샌드박스에서 업무 시스템 화면을 렌더링해 보여준다. 감염된 사용자가 업무 애플리케이션에 영향을 주지 않도록 하며, 캡처방지, 임시파일 삭제 등 추가 웹 보안을 지원하고, 해킹, 악성코드 유입 등 위협으로부터 사내 정보자산을 보호한다.
소프트캠프는 RBI 솔루션 ‘실덱스 리모트 브라우저(SHIELDEX Remote Browser)’로 사용자를 악의적인 웹으로부터 보호한다. 웹 화면을 원격지의 격리 환경에서 보여줘 웹사이트에 숨은 악성코드와 각종 위협으로부터 사용자를 보호한다.
실덱스 리모트 브라우저는 원격 화상회의 및 모든 동영상·미디어를 문제없이 사용할 수 있으며, 화면과 화소의 절감 없이 원본 웹 화면과 동일한 환경을 지원한다. 비주얼 스트림이 방식으로 고도의 정합성을 담보할 수 있으며, 일반 브라우저를 통해 사용할 수 있다.
NAC·망연계, ZTNA로 진화
NAC는 ZTNA를 구현하는 가장 쉬운 방법이다. NAC는 네트워크에 접근하기 전 사용자와 기기의 계정과 권한, 무결성 여부, 최신 보안 업데이트 적용 등을 확인한다. NAC는 접속 전 인증한다는 제로 트러스트 원칙을 기반으로 설계된 것이며, 가트너는 NAC의 확장 기술로 ZTNA가 채택될 것으로 예상한 바 있다.
지니언스가 이 점을 강조하며 ‘지니안 ZTNA’를 선보였다. 클라우드, 원격근무, 5G 네트워크, SASE로 확대 가능한 지니안 ZTNA는 다양한 네트워크 환경과 연결지점을 보호해 비즈니스의 연속성을 확보하게 한다. 일관성 있는 보안정책과 지속적인 모니터링으로 관리를 단순화시키고 즉각적인 보안 대응을 지원하며, 투자 비용을 절감시킨다.
지니안 ZTNA는 MFA, SSL/IPSec VPN, IP 모빌리티, 네트워크 트래픽 분석, 5G 네트워크 지원 기능을 탑재했으며, 레거시 VPN을 대체하는 ZTNA 에이전트와 클라우드 게이트웨이를 통해 인터넷 접속케 해 재택·원격근무, 클라우드 환경에서도 안전한 업무가 가능하다. 종단간 암호화와 사내외 자동 인식을 통한 동적 보안 정책 적용, MEC 지원, ZTNA 클라이언트 5G 모엠 인증으로 제로 트러스트를 구현한다.
지니언스는 공공, 금융, 일반 기업 등 다양한 잠재 고객에게 지니안 ZTNA PoC를 진행하고 있으며, 레거시 솔루션 대체, 하이브리드 클라우드와 업무환경, 망분리 환경 등 다양한 고객 환경에서 나타나는 문제를 해결하고자 한다. 나아가 지니안 ZTNA 핵심 기술을 토대로 미래 위협에 선제 대응 위한 다양한 보안 기능을 통합하는 한편 SASE 등 차세대 보안 아키텍처로 발전시킨다는 계획을 밝힌다.
강력한 인증으로 내부 네트워크 보호
스콥정보통신의 ‘아이피스캔NAC’도 제로 트러스트 원칙에 기반한 NAC 솔루션을 제공한다. 아이피스캔NAC은 유무선 네트워크에 접속하는 모든 사용자와 디바이스의를 검증하고 접속을 제어·통제한다. 비인가 단말의 네트워크 접속은 기본 차단하며, 일시적인 접속 허가가 필요한 경우 관리자의 통제 하에 일정 시간 동안 접속할 수 있게 한다.
내부 사용자와 외부 사용자 대역을 분리해 내부망에 외부 사용자가 접근하지 못하도록 하며, 외부망에 외부 사용자가 접근할 때에도 단말의 무결성을 검증해 감염 가능성을 차단한다. 802.1X 유무선 통합 인증, OTP 서버를 이용한 2차 인증 등 인증 기능을 확대해 접근 전 검증하는 제로 트러스트 원칙을 적용했다.
ZTNA 시장에 망연계 솔루션 기업 휴네시온도 참여했다. 휴네시온은 망연계 솔루션 ‘아이원넷’을 기반으로 한 ‘제로 트러스트 아이원넷(ZT i-oneNet)’을 2022년 하반기 출시한다. 휴네시온은 망연계 구간에 제로 트러스트 원칙을 적용해 한층 강화된 망분리 환경을 운영할 수 있게 한다는 계획을 밝힌다.
제로 트러스트 아이원넷은 인터넷망에 위치한 망연계 전송 통제 서버를 공격자에게 노출되지 않도록 숨기고, 인증 절차를 거친 후 서버에 접근하도록 한다. 온프레미스와 클라우드, 다중 클라우드망 연계를 모두 지원해 다양한 업무 환경과 보안 수준이 다른 망의 연계 시 강화된 접근 보안 정책을 수립할 수 있게 한다.
