에이전트 없는 ZTNA, 계약자·BYOD 사례에 적합…보안 브라우저 이용 방법도 효과적
[데이터넷] 제로 트러스트 관련 기술 중 가장 성숙한 것이 제로 트러스트 네트워크 액세스(ZTNA)이다. ZTNA는 주로 원격 액세스를 위한 방법으로 논의되고 있지만, 온프레미스 환경의 안전한 접속을 위해서도 사용된다. ZTNA는 단 하나의 공급업체를 통해 구현될 수 없으며, 여러 솔루션이 결합돼야 한다. 또한 시큐어 액세스 서비스 엣지(SSE) 전략의 일환으로 이행되고 있으며, 단독 솔루션으로서의 ZTNA 공급사례는 차츰 사라지는 추세다.
이 내용을 담은 가트너의 ‘올바른 ZTNA 제공 방법’ 보고서에서는 신원우선 개념 기반 제로 트러스트 전략을 수립한 후 SSE에 맞게 ZTNA를 선택할 것을 권고했다. 단일 에이전트가 필요한 경우 ZTNA를 SSE와 연계해 에이전트 관리 복잡성을 해결하고 멀티·하이브리드 클라우드 전반에서 위협 탐지·대응을 효율화 해야 한다고 설명했다. 또한 원격 브라우저 격리(RBI), DLP 등 다양한 보안 기능을 동시에 적용해 비즈니스 전반의 보안을 향상시킬 수 있다.
에이전트 없는 ZTNA도 활용 가능한 사례가 있지만, SSE 전략과 일치하지는 않는다. BYOD, 제 3자 액세스와 관리되지 않은 액세스 보호를 위해 ZTNA를 선택할 수 있으며, DaaS, SSL VPN 포털, PAM 기능을 갖춘 보안 원격 액세스, 보안브라우저에 내장된 ZTNA 등이 있다. SSO를 지원하는단일 클라이언트리스 ZTNA 포털을 통해 SaaS와 개인 웹 기반 애플리케이션에 액세스할 수 있다.
온프레미스 구축 가능한 ZTNA
보고서에서는 4가지 ZTNA 기능을 평가하면서 제품과 서비스로 제공되는 솔루션의 차이를 설명했다. 대부분의 ZTNA는 서비스로 제공되며, 클라우드 사업자와 공동책임모델을 적용해 운영한다. 대규모 서버 도입은 필요 없지만, 온프레미스 가상머신(VM), 클라이언트 에이전트 설치 등은 필요하다. ZTNA 액세스와 인증·권한 부여 요청을 할 수 있는 POP이 제공되며, 원격에서 액세스 할 때에는 ZTNA를 DMZ나 인터넷 액세스가 가능한 퍼블릭 인스턴스가 필요하다.
게이트웨이를 온프레미스, 클라우드 어디나 설치 가능해 다양한 활용사례를 만들 수 있으며, 하이브리드 구성 시 제어 영역을 클라우드에 설치하거나, 데이터 플레인으로 온프레미스에 설치되는 클라우드 보안 게이트웨이로 사용할 수 있다.
서비스 방식의 ZTNA를 선택한다면, 지속적인 상황기반 인증과 권한부여가 가능한지 검증해야 하며, IoT·헤드리스 장치 액세스에 최종 사용자를 위한 통합 정책 부여가 가능한지 살펴봐야 한다. 또한 온프레미스와 오프프레미스 사용자에 대한 단일 액세스 정책과 일관된 사용자 경험을 제공할 수 있어야 한다.
단일 패킷 인증으로 지속적인 상태 평가 필수
ZTNA에 있어 가장 뜨거운 감자는 ‘에이전트 vs 에이전트리스’다.
에이전트 기반 ZTNA는 엔드포인트 상태 평가, 장치·사용자 인증, 보안 게이트웨이로의 네트워크 트래픽 리디렉션 등의 기능을 제공하지만, 레거시 프로토콜에 제한이 있거나 지연 시간에 민감한 애플리케이션에는 적용하지 못하는 등의 한계도 있다. 이 제품을 선택할 때에는 클라우드 보안 연합(CSA)이 정의한 단일패킷인증(SPA)을 사용하고, 지속적인 상태 평가와 세션 조정·평가하는 방식의 ZTNA를 선택하는 것이 좋다.
ZTNA 중 OSI 레이어3 액세스를 제공하는 것도 있는데, VPN과 구분이 모호해진다. 그러나 강력한 인증과 필터링, 액세스 기능을 갖춘 VPN 기반 제품은 SPA 기능이 없는 경우 개인 네트워크에 직접 연결된 인터넷에 노출된 서비스를 보호하지 못한다. ZTNA는 SPA를 SDP 2.0 아키텍처에 통합해 디도스 방어, 보안 게이트웨이 무단 액세스 방지 등의 기능을 제공할 수 있다.
에이전트 없는 ZTNA는 사용자 인증, 애플리케이션 액세스를 위한 웹 기반 포털을 사용하며, 보호되는 서비스에 연결하기 전에 ZTNA 게이트웨이로 확인되는 공용 DNS나 사용자 지정 URL을 사용한다. 이 방식은 엔드포인트 상태에 영향받지 않고 연결될 수 있지만, 그로 인한 위협이 발생할 가능성도 있다. 그러나 이 솔루션은 민첩성이 높고 계약자, BYOD 등 엔드포인트 에이전트 설치가 어려울 경우 활용할 수 있다.
크로미엄 기반 보안 부라우저 혹은 기존 엔터프라이즈 브라우저에 보안 플러그인을 설치하는 방법으로 ZTNA를 제공하는 솔루션도 있다. 이 경우, 에이전트 없이 사용 가능하며, 엔드포인트에서 액세스를 격리해 위험을 줄이고 웹·SaaS 액세스 인라인 연결 보안 기능을 확장할 수 있다.
ZTNA 인접기술, 장점 많지만 한계도 분명
보고서에서는 ZTNA를 대체할 수 있는 기술로 VPN, 웹 애플리케이션 및 API 보호 플랫폼(WAAP), 가상 데스크톱을 소개하면서, 일부 기술은 많은 비용과 기술지원 부족 등의 한계가 있기 때문에 ZTNA가 더 나은 선택이 될 수 있다고 소개한다.
VPN은 익숙한 기술이기는 하지만, 조직의 리소스가 노출된다는 치명적인 한계가 있으며, 대역폭이 제한돼 대규모 인력의 연결이 어렵다. WAAP는 오탐·오작동을 방지하기 위해 규칙을 테스트하고 조정하는데 시간이 걸리며, 보호되는 조직의 리소스가 공격표면이 될 수 있다는 문제도 있다. 가상 데스크톱은 VDI 혹은 DaaS로 제공될 수 잇는데, 구현이 복잡하고 비용이 많이 들 수 있다. 애플리케이션 세분화와 다른 조직 리소스 가시성 제한으로 VDI 액세스 보호 계층을 추가할 수 있다.
