[NGSV2023] 이반티 “ZTNA, VPN과 다르지 않다”
상태바
[NGSV2023] 이반티 “ZTNA, VPN과 다르지 않다”
  • 김선애 기자
  • 승인 2023.03.09 16:35
  • 댓글 0
이 기사를 공유합니다

멀티 클라우드·WFA 환경의 안전한 업무 지원 위한 제로 트러스트 필요
VPN·ZTA 하이브리드 구성으로 기존 투자 보호하며 단계적 ZTNA 전환

[데이터넷] “가트너는 2018년 ‘2023년까지 전체 기업의 60%가 VPN에서 벗어나 제로 트러스트 기반으로 보안 개념을 바꿀 것’이라고 전망했는데, 2022년에는 ‘2025년까지 새로운 원격 액세스 구축의 70% 이상이 VPN이 아닌 ZTNA에 의해 제공될 것이며, 이는 2021년 말 발표된 10% 미만 전망치보다 상향 조정된 수치’라고 말했다.”

박정식 이반티코리아 기술이사는 9일 열린 ‘제 22회 차세대 보안 비전 2023’에서 ‘포스트 코로나 시대의 엔터프라이즈 네트워크 액세스 보안과 IT 운용전략’이라는 주제의 세션에서 ZTNA와 VPN에 대한 가트너의 전망이 달라지고 있다는 점을 강조하면서 어디서나 일하는(WFA) 환경을 안전하게 하기 위한 VPN, ZTNA 전략에 대해 설명했다. 

WFA·SASE, VPN 여전히 중요

박정식 이사는 이반티 조사에서 직원 71%는 승진보다 언제, 어디서나 일하는 것(WFA)을 선호한다고 답했다는 사실을 밝힌 후 “가트너는 WFA를 위한 기술로 SASE, SSE를 제안하면서 VPN과 SD-WAN이 통합되고 있지만, 기업 트래픽이 SaaS로 이전되면서 SD-WAN 효율성이 낮아지고 있다고 설명했으며, VPN을 ZTNA와 함께 액세스를 위한 핵심 기술로 소개했다”면서 WFA와 SASE/SSE 환경에서도 VPN은 여전히 중요하다는 사실을 역설했다.

VPN은 원격접속을 위해 사용하는 가장 안전하고 안정적인 솔루션이지만, VPN 서버 취약점을 이용하거나 VPN 계정을 탈취해 시스템에 접근할 수 있으며, 접속 후 시스템의 모든 애플리케이션에 접속할 수 있다.

ZTNA는 VPN이 가진 문제를 해결할 수 있는 보안 접속 방법으로 소개된다. 마이크로 세그먼트 네트워크를 이용해 수평이동을 차단하며, ID 컨텍스트 기반 통제로 ID 상황을 지속적으로 모니터링하고, 다크 클라우드를 이용해 보호해야 할 시스템이 외부에 노출되지 않게 한다. 또 사용자와 애플리케이션, 위치기반 제어를 통해 합법적인 권한을 가진 사람만 정상 상황에서 허가된 애플리케이션만 접근하도록 한다.

그런데 이러한 기능은 최근 VPN에서도 대부분 제공하는 것이다. VPN 솔루션들이 기존에 가진 문제를 해결한 차세대 제품을 출시하면서 ZTNA 이상을 구현하고 있다.

박정식 이사는 “현재 VPN의 주요 기능과 ZTNA에서 요구하는 기능이 다르지 않다”며 “현재 VPN도 기존의 문제를 해결하기 위해 사용자와 기기를 지속적으로 검증하며, 하이브리드 연결을 지원하고, 애플리케이션 별 접근 제어 기능을 제공해 수평이동을 차단한다”고 설명했다.

인증·UEBA·CARTA 적용해 안전한 업무 보장

이반티는 미 국방성, NASA 등 포춘 500대 기업 80% 이상에 공급한 SSL VPN과 SaaS VPN인 이반티 ‘제로 트러스트 액세스(ZTA)’를 WFA를 위한 보안 접속 솔루션으로 소개한다. 이반티 SSL VPN ‘ISA’는 2020년 인수한 펄스시큐어의 제품으로, 국내 2000여 고객이 사용하고 있는 제품이다. 맥OS, 모바일 등 다양한 OS를 지원하며, OS 업그레이드와 업데이트에 대해 가장 빠르게 대처, OS에 대한 제로데이 지원을 보장한다.

ZTA는 SaaS로 제공되는 VPN으로, 경계가 사라지는 멀티 클라우드 환경에서 안전한 업무를 보장할 수 있으며, 보안을 유지하면서 다른 조직간 협업이 가능하다. 중앙집중 가시성 제공과 사용자·장치·애플리케이션·게이트웨이 인사이트 확보, 비정상 행위에 대한 자동화된 대응이 가능하다.

접속 전에 사용자와 장치를 인증하고 권한을 부여하며, 컨트롤러와 게이트웨이를 암호화해 외부에서 보이지 않게 한다. 애플리케이션을 세분화하고, 디바이스와 사용자 정책을 쉽게 설정할 수 있게 한다. 5분 이내 신규 애플리케이션 등록이 가능해 다양한 SaaS를 사용하는 업무 환경에서도 쉽게 적용할 수 있다. UEBA 기술과 지속적인 적응 위험 및 신뢰 평가(CARTA), 사용자와 네트워크 이벤트를 통한 실시간 이상징후 탐지·분석, 위험 기반 취약점 관리 통합 지원 등의 기능을 제공한다.

비즈니스 변화 따라 ZTNA 전환해야

박정식 이사는 가장 이상적인 WFA는 VPN과 ZTA를 병행, 단계적으로 ZTNA로 전환하는 것이 WFA를 위한 현실적인 대안이라고 설명했다. ZTNA는 네트워크 인프라를 전면 교체해야 하므로, 현재 VPN은 계속 사용하면서 업그레이드 해 대규모 분산환경의 원격접속 문제를 해결하고 멀티 클라우드 액세스를 위해 ZTA를 추가한다. 그리고 VPN과 ZTA를 통합관리와 가시성, 분석 기능을 결합하면서 발전시켜 나가는 것이 좋다.

이러한 하이브리드 구성은 투자보호와 운영 효율성 강화, 중앙관리, 가시성, 분석 기능 향상 등의 효과를 거둘 수 있게 한다. 이반티 시큐어 액세스 플랫폼에서 관리되는 구독형 라이선스로 가상 VPN과 ZTA 게이트웨이를 무제한 사용할 수 있으며, 단일 클라이언트로 VPN과 ZTA에 모두 액세스 할 수 있다. 최종 사용자는 동일한 워크플로우, 동일한 클라이언트를 통해 VPN 배포 리소스에서 ZTA 배포 리소스로 매끄럽게 전환될 수 있다.

박정식 이사는 “기업 임직원들은 평균 3~5대의 기기를 이용하고 있으며, 기업용 기기와 개인 기기, BYOD를 혼합해 사용하고 있다. 온프레미스와 다양한 SaaS 애플리케이션을 사용하는 복잡한 환경에서 일시에 ZTNA로 전환하는 것은 현실적이지 않다. 현재 인프라를 유지하면서 비즈니스 변화에 따라 ZTNA 전환 전략을 수립, 운영하는 것이 좋다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.