망분리·스마트팩토리·커넥티드카·재택근무 등 다양한 업무 환경 보호
[데이터넷] “초지능·초연결 사회를 위한 클라우드 전환이 진행되고 있다. 그런데 제로 트러스트 보안 전략을 성공시키지 못하면 클라우드 전환은 실패할 수밖에 없다.”
안교찬 엠엘소프트 이사는 “클라우드·하이브리드 환경 전환과 함께 정보보안 혁명이 시작됐다”고 선언하면서 전통적인 네트워크 경계 기반 보안 전략에서 제로 트러스트 보안 전략으로 전환해야 한다고 강조했다.
안교찬 이사는 9일 열린 ’제 22회 차세대 보안 비전’에서 제로 트러스트 보안으로의 패러다임 변화에 대해 자세히 설명했다. 미국 바이든 행정부는 사이버 보안에 대한 행정명령에서 제로 트러스트 아키텍처 채택을 의무화했으며, 우리나라 정부도 지난해 제로 트러스트 국가 표준화 추진을 위한 정책 포럼을 발족시키면서 제로 트러스트 도입의 불을 당겼다.
클라우드, 제로 트러스트 전환 계기 만들어
제로 트러스트가 급물살을 타게 된 결정적인 계기는 코로나19로, 하이브리드 업무 환경 도입과 클라우드 전환을 위해 전통적인 경계기반 보안과 복잡한 보안 문제 해결을 위한 새로운 전략이 시급했다. 제로 트러스트는 모든 접속과 행위를 검증하고 모니터링하는 방법으로 복잡한 보안을 단순하게, 그리고 지속성 있게 관리할 수 있게 한다.
특히 모든 사용자에 대해 강력한 인증과 모니터링을 실시해 권한 있는 사용자가 권한 내에서만 업무 할 수 있게 해 정상 사용자로 위장한 공격자가 무단 권한 상승으로 다른 시스템으로 확장 이동하는 것을 차단하며, 정상적인 행위로 위장한 불법 행위를 찾을 수 있게 한다.
급변하는 디지털 환경을 위해 제로 트러스트 전환이 필요하다는데 이견을 제시할 사람은 없다. 현재 사용중인 보안 시스템과 정책을 일시에 제로 트러스트로 전환할 수 없지만, 클라우드 전환을 꾀하는 시점에서는 기존에 사용하던 시스템이나 정책이 없으며 새로운 보안 대책을 마련해야 하기 때문에 제로 트러스트 모델을 완성하는데 좋은 기회가 될 수 있다.
특히 제로 트러스트 원칙이 가장 필요한 사용자 인증과 접속 단계에서 레퍼런스가 될 수 있는 모델을 구현할 수 있다. 엠엘소프트는 그 대표적인 사례가 소프트웨어 정의 경계(SDP)라고 설명한다. SDP는 클라우드 보안 연합(CSA)이 상용화 한 신원 기반 리소스 액세스 제어 보안 프레임워크로, 보호해야 할 애플리케이션과 서버가 외부에 노출되지 않도록 보호하고, 꼭 필요한 사람과 기기만 접근을 허용하는 ZTNA 기술이다.
SDP는 대상 네트워크 정보를 외부에 노출시키지 않으며, 방화벽은 항시 차단한 상태에서 사전에 허용된 대상만 통신을 통과시킨다. 강력한 보안 터널과 지정된 애플리케이션만 연결 가능하며, 단말과 사용자의 권한, 무결성을 검증한 후 연결한다. 사용자와 하나의 애플리케이션만을 연결해 감염된 사용자의 영향을 받은 애플리케이션으로 인해 다른 애플리케이션이 영향을 받지 않도록 한다.
안교찬 이사는 “SDP를 이용하면, IP 노출 없이 승인된 서비스와 애플리케이션 접속할 수 있으며, 네트워크 세그먼테이션, 방화벽 정책관리, ACL도 필요없다. 사용자와 애플리케이션 위치에 상관없이 일관된 보안을 유지할 수 있으므로 비즈니스 공간의 제약을 받지 않는다”며 “사내망이나 원격·재택근무, IoT·모바일 기기 등 모든 환경에서 사용자와 업무를 보호할 수 있다”고 말했다.
SDP+NAC로 제로 트러스트 이상 구현
SDP는 SSL VPN을 대체할 수 있는 솔루션으로 인정받는다. SSL VPN은 IP가 노출된 상태에서 모든 접속 요청에 대해 자체 인증 절차를 거친 후 내부망에 접속한다. SSL VPN 서버가 노출된 상태이기 때문에 보호되지 않은 계정을 이용해 정상 사용자로 위장해 접속하거나 MAC 정보를 이용해 블랙리스트 인증도 가능하다. SSL VPN 취약점을 악용한 접근이나 디도스로 VPN 인증모드을 ‘모두 허용’으로 바꾸게 한 후 접속하는 것도 가능하다.
SDP는 컨트롤러에서 인증을 받은 후 접속하게 해, 서버가 노출되지 않는다. 디도스 공격 목표인 서버가 노출되지 않기 때문에 공격할 수 없으며, 인증을 우회하는 공격으로부터 안전하다. 접속 가능한 네트워크와 애플리케이션이 제한되기 때문에 네트워크·애플리케이션 세그멘테이션 없이 최소권한 원칙의 접근 제어가 가능하다. 위협 정보와 멀웨어, 새로운 소프트웨어와 노출된 계정정보 등의 정보를 기반으로 액세스 의사결정을 할 수 있어 모든 환경에서 유연하게 적용 가능하다.
엠엘소프트는 국내에서 가장 먼저 SDP 솔루션 ‘티게이트 SDP’를 공개하고 시장을 개척해왔다. SDP 기본·필수 기능은 물론이고, 서버 스텔스, 디도스 공격 방지, IPSec VPN, 다이내믹 방화벽을 제공한다. 또한 앱 바인딩 기능을 제공, 지정된 앱끼리 SDP 통신이 가능하다.
엠엘소프트는 SDP와 NAC를 결합해 엔드포인트 무결성 검사와 통제 기능을 안정적으로 수행한다. 사용자 중심 보안으로 보안 정책의 유연성과 편의성을 높였으며, 온프레미스, 클라우드 모든 환경에서 사용 가능하다. 스마트폰용 에이전트도 제공해 PC와 동일하게 앱 바인딩 기능을 제공하고, 소프트웨어 방식의 다양한 보안 네트워크를 구성할 수 있게 해 강력한 보안을 수행한다.
안교찬 이사는 “티게이트 SDP를 사용하면 폐쇄적인 망분리 보안에서 개방적인 SDP 보안으로 전환, 업무 유연성을 높이면서 보안을 강화할 수 있다. 전용선이 필요하지 않으며 별도의 네트워크 인프라 추가 비용을 줄일 수 있으며, 공간 제약 없이 비즈니스를 확장할 수 있다”고 말했다.
엠엘소프트 티게이트 SDP는 KAI, LIG 넥스원, 대한항공, 하나금융투자, 세브란스병원 등 공공, 금융, 기업, 의료 등 다양한 산업의 고객에게 공급됐다. 이 솔루션은 일반 사무업무 뿐 아니라 국방기술 연구, 커넥티드 카, IoT 및 스마트 디바이스, 드론 등 연결이 필요한 모든 환경에 적용 가능하다
안교찬 이사는 “포스트 코로나 시대에 맞는 보안 전략의 변화는 필수다. 티게이트 SDP는 강력한 보안성과 편리한 구축, 유연한 확장으로 제로 트러스트 보안을 실현할 수 있다”고 말했다.
