[데이터넷] 코로나19 위기 상황에서 ICT는 오히려 빛을 발하며 한 단계 더 진화해 성장을 이어 나갔다. 비즈니스 환경이 급변하고 디지털 트랜스포메이션이 다양한 산업 분야로 확산되며 ICT의 중요성이 더욱 커졌기 때문이다. ICT 기술 분야별 분석과 평가를 통해 2023년 ICT 시장을 전망한다.<편집자>

어디서나 일하는(WFA) 업무 환경이 일상화되면서 보안조직의 비명은 더 커졌다. 직원들이 모든 곳에서 접속하면서 일관성있는 보안 정책 적용이 어려워졌으며, VPN 계정 발급과 관리, VPN 서버 확장과 정책 변경 등의 업무가 폭증하게 됐기 때문이다. 특히 직원은 어디서 일하든 상관없이 동일한 작업 환경이 보장되기를 바라는데, 외부에서 일하는 환경에서는 보안위협이 높아지기 때문에 더 강력한 보안 정책을 적용할 수밖에 없다.

VPN은 원격접속의 중요한 인프라이지만, 보안에 취약하기 때문에 VPN에만 의존하는 WFA는 위험하다. VPN은 사용자와 서버를 연결하기 때문에 VPN 계정을 탈취하거나 VPN 취약점을 이용해 접근하면 서버의 모든 애플리케이션에 접근할 수 있다. 또 VPN 접속을 위한 방화벽 정책 변경 과정이 복잡하고, 원격 사용자 증가로 인한 서버 부하, 속도 저하를 막을 수 없다.

VPN·ZTNA·UEM으로 WFA 환경 완성

이에 VPN을 대체하는 원격접속 솔루션이 다양하게 등장하고 있지만, VPN을 완전히 걷어내는 것은 쉽지 않다. VPN만큼 안정적으로 원격지에서 접속할 수 있는 인프라는 아직 없다. 그래서 VPN에 제로 트러스트 원칙을 적용하는 방법으로 제로 트러스트 네트워크 액세스(ZTNA)를 구현하는 솔루션이 등장하고 있다.

VPN 전문기업 펄스시큐어를 인수한 이반티가 그 대표 기업으로, 사용자와 기기를 지속적으로 검증하고, 모니터링 해 인가된 사용자가 권한 내에서만 업무 할 수 있도록 통제한다. 이반티의 ZTNA/VPN 제품은 기존 VPN을 사용하면서 ZTNA 기능을 확장해 사용할 수 있어 3~5년간 비용대비 효율성이 높다.

사내 주요 인프라와 인증 시스템을 클라우드로 단계적으로 마이그레이션 할 때 ZTNA 솔루션을 구입하지 않고 이반티 ZTNA 솔루션을 사용해 단계적인 ZTNA 전환이 가능하다. 온프레미스와 클라우드를 연결하는 하이브리드 액세스와 클라우드형 인증 인증 시스템 연동, 애플리케이션 별 접근 제어 등을 지원해 제로 트러스트 보안을 지원한다.

이반티는 통합 엔드포인트 관리(UEM) 기업 모바일아이언을 인수하고 WFA 환경의 엔드포인트 문제도 해결한다. 이반티 UEM은 검증되고 보호된 기기만 업무에 접속할 수 있게 하며, 위험기반 취약점 관리 기능을 제공해 실제 위협이 되는 취약점을 선별해 관리할 수 있게 한다.

이반티는 UEM과 ZTNA/VPN의 결합으로 ‘어디나 업무공간(Everywhere Workplace)’의 이상을 완성할 수 있다고 강조한다. 이반티의 고성능 VPN과 제로 트러스트 원칙의 접속 제어, 엔드포인트 보호·관리로 하이브리드 환경의 업무를 안전하게 지원한다.

한편 이반티는 최대 2만5000명을 지원하는 고성능 VPN ‘ISA 8000’과 2500명을 지원하는 ‘ISA 6000’ 두 가지 전용 하드웨어 제품을 통해, 기존 제품 대비 2배에서 최대 4배 이상 강화된 성능을 제공하고 새로 개발된 커널 및 TPM 칩 장착을 통해 장비의 보안성 높인 제품으로 엔데믹 환경에서 IT기업 시장공략을 강화할 예정이다.

또한 고객 확대를 위해 연말까지 제공한 중소형 고객 우선 지원 프로그램도 내년 상반기까지 연장할 계획이며, 중소 규모 고객에게 더 많은 할인혜택을 제공해 합리적인 가격으로 명품 VPN을 사용하도록 할 계획이다.

VPN·SDP 결합 … 모든 환경 적용되는 ZTNA 구현

ZTNA에 대한 관심이 높아지면서 VPN 기업들이 사용자 인증을 강화하면서 자사 솔루션이 제로 트러스트 기반 VPN이라고 소개하고 나섰다. VPN에 OTP를 기본으로 탑재해 제공하거나 인증 시스템과 함께 공급하는 형태로 VPN을 제공한다.

그러나 VPN의 사용자 인증 기능이 추가된다고 해서 ZTNA를 완성할 수 있는 것은 아니다. ZTNA는 사용자와 세분화된 애플리케이션을 연결해 수평이동을 차단하며, 인가된 사용자의 행위를 지속적으로 모니터링 해 신뢰된 사용자의 이상행위까지 찾을 수 있어야 한다.

팔로알토 네트웍스, 포티넷, 체크포인트, 안랩, 엑스게이트 등 방화벽·VPN 벤더들은 자사에서 보유하거나 파트너를 통해 제공받는 제로 트러스트 기술을 더해 ZTNA를 완성한다. 강력한 사용자 인증과 엔드포인트 무결성 인증, 컨텍스트 기반 보안 접근과 접속 후 지속적인 모니터링을 통해 ZTNA를 완성한다.

ZTNA 아키텍처의 대표격인 소프트웨어 정의 경계(SDP)와 VPN을 결합한 모델도 주목받는다. SDP는 사용자 인증과 데이터 전송 레이어를 나누고, 컨트롤러를 통해 애플리케이션에 사용자 인증을 요청한 후 인가받으면 사용자가 애플리케이션과 연결된다. 연결 후 지속적인 행위 모니터링으로 이상행위를 찾는다. 사용자와 애플리케이션을 VPN 암호화 통신을 채택해 VPN 교체 없이 ZTNA를 이룰 수 있게 한다.

퓨처시스템과 엠엘소프트가 VPN과 SDP를 결합한 ZTNA를 제공, 재택·원격사용자는 물론, 원격지에서 망분리 환경의 업무망 접속, 스마트 팩토리를 위한 원격접속 등 다양한 원격접속 이슈에 대응한다. 엠엘소프트는 국내에서 가장 먼저 SDP 솔루션 ‘티게이트 SDP’를 출시한 기업으로, 민간·공공 등 여러 기업에 솔루션을 공급하고 ZTNA 시장을 개척하고 있다.

조건부 액세스 정책으로 하이브리드 업무 보호

VPN 벤더들은 VPN 기반 ZTNA의 안정성과 효용성을 강조하지만, VPN에 다른 솔루션을 더하는 방식이기 때문에 비용과 관리 포인트 증가로 인해 IT 운영이 효율적이지 않다는 지적은 여전하다. 그러면서 VPN을 대체하는 ZTNA 솔루션이 경쟁적으로 나오고 있는데, 그 대표적인 솔루션이 소프트캠프의 ‘실드게이트’다. 실드게이트는 제로 트러스트 조건부 액세스(ZTCA) 정책으로 하이브리드 업무 환경에서 사용자와 애플리케이션을 보호한다.

ZTCA는 컨텍스트 기반 인증·인가 기술로, 외부에서 원격 접속 시 각 사용자는 관리자가 개별 부여한 권한에 따른 업무시스템에 접근할 수 있다. 시간, 장소, 기기 등 사용자의 접근 환경에 따른 사용 정책을 통해 모든 사용자에게 전체 업무시스템의 접근 권한을 주지 않고, 각 사용자에게 필요한 권한만을 제공한다.

조건부 사용 정책에 따라 업로드 및 다운로드를 차단할 사용자가 파일 업로드시 콘텐츠 무해화(CDR) 처리로 문서 파일내 잠재적 위협요소를 제거한 후 비주얼 콘텐츠만 추출해 문서를 재조합하고, 내부 유입 콘텐츠의 필터링과 변환을 진행한다. 다운로드시 암호화 기능으로 해킹, 악성 코드 유입 등 보안 위협으로부터 공격표면을 최소화한다.

실드게이트와 함께 사용하면 WFA 보안 효과를 높일 수 있는 것이 원격 브라우저 격리(RBI) 솔루션 ‘실덱스 리모트 브라우저’이다. 이 솔루션은 브라우저를 서버에서 분리해 제공함으로써 사용자가 웹사이트의 숨은 위협으로 인해 침해당하는 것을 막는다. 신뢰할 수 없거나 의심스러운 사이트에 접속을 시도할 때 격리 샌드박스에서 접속 화면만 렌더링해 보여줌으로써 웹사이트에 숨은 악성코드와 각종 위협으로부터 사용자를 보호한다.

실드게이트와 실덱스 리모트 브라우저를 함께 사용하면 사용자는 별도 프로그램 설치 없이, VPN 없이 기존에 사용하는 웹 브라우저만으로 실드게이트에 접속해 언제 어디서나 사무실과 동일한 디지털 작업 환경에서 업무가 가능한다. RBI로 사용자의 웹 활동을 보호하며, CDR 기술로 악성문서 공격도 선제적으로 차단한다.

사내 보안 관리자는 기존 업무시스템의 변경 없이 사용자의 사용 및 행위 로그를 조회하고 추적하여 누가 언제 무엇을 했는지 시각화 된 정보 확인을 통해 사용자의 이용실적 및 사내 데이터의 유통 경로와 흐름을 파악할 수 있어 사내 정보 자산을 보호할 수 있다.

NAC·망연계에도 제로 트러스트 접목

지니언스의 ‘지니안 ZTNA’도 주목할만한 솔루션이다. 지니언스의 NAC 기술을 기반으로 개발된 이 솔루션은 다양한 엔드포인트에서 장애 없이 작동하는 안정적인 에이전트와 강력한 다중요소인증(MFA)을 통한 사용자·단말 인증, 클라우드 게이트웨이를 통한 인터넷 접속, 위치에 상관없이 안전한 연결과 일관된 보안 정책을 적용할 수 있다.

또한 종단간 암호화와 사내외 자동 인식을 통한 동적 보안정책 적용, MEC 지원, ZTNA 클라이언트 5G 모뎀 인증을 통해 제로 트러스트를 구현한다. 이 솔루션은 VPN을 대체하는 원격접속, 클라우드 가시성 확보, 5G 보안 등에 사용될 수 있다.

휴네시온은 망연계 솔루션에 제로 트러스트 개념을 적용해 업무망 보안을 한층 강화한다. 휴네시온의 ‘제로 트러스트 아이원넷’은 사용자와 단말을 인증한 후 자료전송을 허용하는 망연계 솔루션으로, 망연계 전송통제서버를 숨겨 공격자에게 노출되지 않도록 한 후, 강력한 사용자 인증을 거친 다음에 보안 터널을 열어 서버에 접근하도록 한다. 권한있는 사용자도 지속적으로 검증해 권한 탈취 공격자 혹은 악의를 가진 내부 사용자에 의한 위협을 차단한다.

클라우드 엣지 통한 보안 통제 ‘각광’

WFA를 위한 ZTNA는 클라우드를 통해 서비스되는 것이 가장 이상적이다. 사용자와 가까운 클라우드 엣지에서 서비스하면 사용자 경험을 저해하지 않으면서 중앙집중적인 가시성 확보와 통제가 가능하다. 네트워크 라우팅이나 백홀링이 필요없어 네트워크를 단순화할 수 있으며, 모든 환경에서 일관된 보안 정책을 적용할 수 있다.

이 방식은 시큐리티 서비스 엣지(SSE) 모델로, SSE의 기능 요소로 ZTNA가 포함돼 있다. SSE에는 SWG, CASB, FWaaS, ZTNA가 필수이며, RBI, DLP 등의 기능이 추가되고 있다. SSE를 사용하면 VPN 없이 크리티컬 애플리케이션에도 안전하게 접근할 수 있으며, 사용자를 인터넷의 악의적인 위협으로부터 보호하고, 애플리케이션에 대한 비정상 사용자의 접근을 막을 수 있다. VPN, MPLS 없이 안전한 원격접속이 가능하며, 하드웨어 인프라 구축, 소프트웨어 배포 없이 WFA가 가능하다.

ZTNA가 포함된 SSE를 제공하는 기업은 지스케일러, 스카이하이 시큐리티, 포스포인트, 멘로시큐리티, 모니터랩 등이 있으며, 전 세계에 배포된 클라우드 엣지를 통해 안정적인 보안 서비스를 제공한다. 이 기업들은 탁월한 SWG 기술을 기반으로 SSE를 제공한다는 특징이 있다. 고성능 웹 프록시를 클라우드로 제공해 속도 저하 없이, 강력한 보안으로 분산된 사용자를 보호한다.

클라우드를 통해 보안 서비스를 제공하는 아카마이도 ZTNA 솔루션을 시장에 적극 알리고 있다. 엔터프라이즈 애플리케이션 액세스(EAA) 솔루션은 ID 접근 제어를 강화해 VPN 없이 원격 접속을 지원한다.

아카마이는 클라우드 기반 보안 웹게이트웨이 시큐어 인터넷 액세스(SIA)로 사용자를 보호하며, 마이크로 세그멘테이션 솔루션 ‘아카마이 가디코어 세그멘테이션(AGS)’으로 내부확산을 차단해 제로 트러스트 원칙의 보안을 구현한다.

제로 트러스트 시작, 아이덴티티

사용자 인증·ID 관리로 제로 트러스트에 접근하는 아이덴티티 전문 기업들은 ID 관리와 접근관리 기술을 접목한 ZTNA를 적극 소개하면서 시장 확산에 나선다. 사이버아크, 퀘스트소프트웨어, 비욘드트러스트 등 IAM·PAM 기업들은 웹브라우저에 원격접속을 위한 플러그인을 설치하면 사용자와 애플리케이션을 직접 연결할 수 있는 기술을 제공한다. 클라이언트 없이 사용할 수 있어 임직원은 물론이고 파트너, 계약직도 쉽게 원격접속이 가능하며, 허가받지 않은 기기를 이용해서도 접근이 가능해 WFA 환경에서 BYOD를 원하는 직원도 보호할 수 있다.

ID 기업이 제공하는 ZTNA는 강력한 사용자 인증과 접근권한 관리 기능이 탑재돼 있으며, 컨텍스트 기반 접속과 모니터링을 제공한다. 지능형 봇을 이용하는 계정탈취 공격이나 정상 사용자로 위장한 자동화된 공격도 차단하며, 지능적으로 사용자로 위장해 접근하는 공격자도 정확하게 막을 수 있다.