[데이터넷] 팬데믹 초기 갑자기 재택근무를 시작하게 됐을 때 기업·기관은 VPN 증설, 노트북 구입, 보안 정책 수정, 재택근무 위한 가이드 마련 등에 기업은 많은 어려움을 겪었다. 공공·금융기관은 망분리를 유지하면서 재택근무를 해야 한다는 문제에 봉착했다.

팬데믹이 종식되면서 직원들이 사무실로 돌아오고 있지만, 이전과는 다른 양상이다. 많은 기업들이 재택·원격근무를 일정 비율 유지하거나 직원의 자율에 맡기고 있다. 그러면서 자연스럽게 하이브리드 업무 환경으로 전환하고 있다.

이에 재택·원격근무에 사용했던 VPN을 개선할 수 있는 방법에 대해 진지하게 고민하게 됐다. VPN은 인터넷에 서버를 노출시켜야 해 VPN 취약점이 공개됐을 때 공격자가 해당 취약점을 가진 VPN 서버를 찾아 침투할 수 있었다. 그래서 2020년 초부터 국내외 거의 대부분의 VPN에서 취약점이 발견됐고, 보안조직은 취약점 대응에 어려움을 겪었다.

또 다른 문제는 VPN 계정 탈취와 취약점이다. VPN은 사용자와 시스템을 직접 연결하며, 세션이 연결되면 다시 사용자를 인증하지 않기 때문에 계정을 탈취하거나 VPN 취약점을 악용하는 공격자가 시스템으로 직접 침입해 모든 애플리케이션을 자유롭게 누빌 수 있다.

원격 사용자가 늘어나면 VPN 서버를 증설했는데, 원격접속 사용자가 줄었을 때 증설된 VPN 서버를 어떻게 처리하느냐도 문제다. 다시 팬데믹 상황이 왔을 때 방치한 VPN 서버를 다시 사용할 수 있을지도 고민이다.

그래서 VPN을 대체하거나 보완하는 제로 트러스트 네트워크 액세스(ZTNA) 기술이 부상하고 있다.

라우 분 펭(Lau Boon Peng) 멘로시큐리티 아시아 태평양 지역 기술 총괄 이사는 “이제 직원들은 어디서 나 걱정없이 일할 수 있는 환경을 원한다. 팬데믹 이후 에도 직원들은 자유롭게 일하기를 원하며, 보안담당자는 하이브리드 업무 환경의 복잡성을 단순하게 하기를 원한다”며 “모든 곳에서, 어떤 기기를 이용해도 상관 없이 자유롭게 데이터와 애플리케이션에 액세스하며, 모든 접근과 활동이 보호되어야 하는 상황이 됐다. 사 용자 경험을 해치지 않으면서 중단없는 보호가 가능한 ZTNA가 필요하다”고 설명했다.

VPN·SDP 결합으로 ZTNA 구축

ZTNA는 VPN을 대체하는 기술로 인정받지만, 이미 투자한 VPN의 감각상각 기간이 남아있기 때문에 기 설치된 VPN을 일시에 바꿀 수 없다. 또한 VPN 교체는 네트워크 인프라를 대대적으로 바꿔야 하기 때문에 단 시간에 진행할 수 없으며, 업무 중요도와 성격에 따라 단계적으로 전환하는 방법을 고민해야 한다.

과도기적 방법으로 기존 VPN에 제로 트러스트 원칙을 결합시키는 방법이 제안된다. 퓨처시스템이 엠엘소프트와 함께 VPN과 소프트웨어 정의 경계(SDP) 솔루션을 결합시켜 네트워크 변경을 최소화하면서 쉽게 ZTNA를 구축하는 방법을 제안했다.

SDP는 보호해야 하는 애플리케이션을 외부에서 검색되지 않게 감추고, 사용자와 애플리케이션 사 이 컨트롤러를 통해 사용자와 기기를 검증한 후 인가하며, 인가된 후 사용자와 애플리케이션의 세션이 연결된 다. SDP의 인증 후 연결 개념과 암호화 터널을 이용한 VPN 연결을 결합시키는 방법으로 기존 사용하고 있는 VPN을 교체하지 않고 ZTNA를 구현할 수 있다.

양사 융합 솔루션은 본사와 지사, 지사와 지사, 파트너사 등 다수가 동시에 업무를 진행할 때 유용하며, 출장이나 외근 시, 장애인 등 재택근무가 필요한 경우 등 다양한 상황에서 적용할 수 있다. 퓨처시스템은 빅 데이터 기반 분석 솔루션 ‘X-ITM’에서 강화된 탐지 와 대응을 제공해 융합 보안 솔루션의 플랫폼 기능을 한다.

엠엘소프트는 국내 최초 SDP를 개발·출시하면서 ZTNA 시장을 개척해왔다. 엠엘소프트의 NAC와 IT 자산관리 전문성과 ETRI에서 양도받은 네트워크 기술을 결합해 ‘티게이트 SDP’를 개발했으며, 국내 여러 공공기관과 군 등에 공급했다.

‘티게이트 SDP’는 재택·원격근무 환경에서 안전한 연결을 지원할 뿐 아니라 스마트팩토리·스마트시티, IoT 등 연결이 필요한 모든 곳에 적용 가능하다. 공공· 금융기관 망분리 환경에서 재택·원격접속 시 반드시 VPN을 이용해 업무망에 접근하도록 하고 있는데 엠엘 소프트는 퓨처시스템과 개발한 융합솔루션의 사례처 럼, VPN을 활용하면서 SDP 아키텍처를 채택하도록 지원할 수 있다.

이무성 엠엘소프트 대표는 “언제, 어디서나 자유롭 게 접근 가능한 ZTNA는 디지털 혁신을 위한 필수 요건 이라고 할 수 있다. 최소 권한 원칙에 따라 먼저 인증하 고, 지속적으로 행위를 모니터링하면서 위협행위를 차 단할 수 있다. 엠엘소프트는 망분리 요건을 준수하면서 SDP를 채택할 수 있도록 해 공공·금융기관 컴플라 이언스를 지원할 수 있다”고 밝혔다.

그는 이어 “디지털 트랜스포메이션을 위해서는 지금 과 같은 망분리 정책을 유지할 수 없다. 망분리와 VPN 을 이용한 경계망 중심의 폐쇄형 보안체계를 제로 트 러스트 중심의 세션별 개방형 보안체계로 전환해야 한 다. 하이브리드 형태로 병행하는 것도 좋은 방법”이라고 덧붙였다.

글로벌 지사 환경 지원하는 ZTNA

ZTNA가 하이브리드 업무 환경을 위한 원격접속 기 술로 인정받으면서 국내에서도 ZTNA 원칙을 따르는 다양한 솔루션이 등장하고 있다. 대표적인 예가 프라이빗테크놀로지로, 엔드포인트에서 애플리케이션을 제어해 신뢰가 검증된 애플리케이션만 접속할 수 있도록 한다.

프라이빗테크놀로지는 포스코인터내셔널 국내와 해외 지점·지사를 위해 ‘프라이빗 커넥트(PRIBIT Connect)’와 ‘패킷고(PacketGo)’를 구축했다. 국내에서는 프라이빗 커넥트를 이용해 중앙 데이터센터로 모든 직원을 접속하게 했으며, 해외에서는 마이크로소프트 애저의 엣지에 SaaS 방식의 패킷고를 사용하도록 했다.

사용량만큼 과금하는 패킷고는 VPN 없이 사용자와 가까운 애저 엣지에서 애플리케이션 제어 기반 ZTNA 를 제공하기 때문에 소규모 지사, 재택근무자, 이동 근 무자도 쉽고 안전하게 업무 할 수 있게 한다.

포스코인터내셔널은 국내외 임직원을 대상으로 프라이빗 커넥트와 패킷고를 배포해 안정적으로 운영된 다는 사실을 확인했으며, 이 성공사례를 해외 고객에게 적극 알리고 있다. 프라이빗테크놀로지와 해외 중 개 판매 계약을 맺은 포스코인터내셔널은 전 세계 영업 지점을 통해 프라이빗 커넥트와 패킷고를 공급할 예정이다.