[제로 트러스트 이행 방안②] 검증하고 모니터링하는 ZTNA
상태바
[제로 트러스트 이행 방안②] 검증하고 모니터링하는 ZTNA
  • 김선애 기자
  • 승인 2023.01.17 09:15
  • 댓글 0
이 기사를 공유합니다

ID 우선 보안으로 하이브리드 환경 보호…VPN 보완 혹은 대체하는 ZTNA
무해화·격리로 업무·사용자 보호…마이크로 세그멘테이션으로 수평이동 차단

[데이터넷] 제로 트러스트가 새로운 보안 모델로 주목받으면서, 특정한 기술이나 솔루션이 제로 트러스트라고 호도하는 경우가 있다. 제로 트러스트는 보안전략을 수립할 때 참고할 원칙이라고 보는게 타당하며, 여러 보안 기술을 이 원칙에 따라 배치하고 통합해 보안 전반을 개선하는 것이 중요하다. 제로 트러스트 이행을 위해 필요한 기술을 살펴본다.<편집자>

‘ID 우선 보안’으로 제로 트러스트 이행

제로 트러스트의 시작은 ‘아이덴티티(ID)’다. 옥타에 따르면 기업의 80%는 제로 트러스트 보안에 아이덴티티가 중요하다고 밝혔으며, 19%는 아이덴티티가 비즈니스에 매우 중요한 요소라고 생각하는 것으로 나타났다.

가트너는 제로 트러스트 이행을 위해 ‘ID 우선 보안’이 필요하다고 설명했으며, 이를 위해서는 ▲ 일관성(Consistent) ▲상황(Context) ▲연속성(Continuous)이 필수라고 밝혔다.

ID는 사람과 사물, 애플리케이션, 컨테이너·가상머신 등 액세스 권한이 있는 모든 것에 부여된다. ID가 생성되면 권한이 설정된다. ID가 리소스에 접근하려고 할 때 접근을 요청하는 주체가 허가된 본인이 맞는지, 주어진 권한 내에서 정 상적인 맥락에서 요청하는지 확인한다. 이 과정을 자동화한 시스템이 IAM이며, 역할기반 액세스 제어(RBAC)와 속성기반 액세스 제어(ABAC)로 권한을 넘어서는 접근이나 권한 탈취를 통한 접근을 사전에 차단한다.

최근에는 고객의 ID 관리와 접근을 제어 하는 CIAM도 성장하고 있다. CIAM은 기업이 서비스를 개발할 때 IAM에 대한 전문성이 없어서 고객의 ID와 접근관리를 제대로 하지 못해 사고가 발생하거나, 사용 편의성을 고려하지 못해 고객이 서비스를 외면하는 것을 막을 수 있도록 한다. CIAM은 IAM 지식이 없는 개발자도 쉽게 서비스에 적용할 수 있도록 제공되는 것이 핵심 장점이다.

IAM을 제공하는 기업은 매우 많다. 마이크로소프트 액티브 디렉토리(AD), 옥타 등 ID 관리 솔루션이 AM 기능을 통합하고 있으며, 사이버아크, 퀘스트소프트웨어 원아이덴티티도 IAM과 PAM을 공급한다.

ID 분야에 새로 등장한 시장이 ID 거버넌스와 관리(IGA)다. 거버넌스 기반 ID 관리를 제공하는 IGA는 기존 IAM에 감사, 컴플라이언스, 워크플로우 자동화 등의 기능이 추가된다.

ID 위협 탐지와 대응(ITDR) 역시 주목해야 할 기술이다. IdM, IAM을 직접 공격하는 위협을 차단하는 ITDR은 크라우드스트라이크가 적극 나서고 있으며, 퀘스트소프트웨어는 AD 취약점 공격을 막을 수 있는 ‘체인지 오디터’를 공급 한다.

AM 분야에서 중요도가 높아지고 있는 특권접근관리(PAM)는 특권권한을 가진 계정을 관리하기 때문에 시스템 관리자 계정 관리로만 생각하기 쉽다. 그러나 PAM의 범위는 매우 넓다. 일반적인 윈도우 사용자는 관리자 모드로 로그인하기 때문에 특권권한이 있다. 금융권에서는 엔드포인트의 관리자 모드 접근을 차단하기 위해 엔드포인트에 대한 특권관리 솔루션 사용이 의무화되고 있다. PAM 솔루션 기업 비욘드트러스트가 이 분야에서 가장 앞선 경쟁력을 갖고 있다.

접근관리를 위해서는 패스워드 관리가 필수인데, 패스워드는 탈취·오용당하기 쉽기 때문에 최근 패스워드가 없는 인증이 대세를 이루고 있다. 대표적으로 MFA와 생체인증이 사용되며, SSO를 통해 여러 애플리케이션을 연결, 사용자의 행위를 지속적으로 모니터링한다. MFA의 대표주자는 RSA의 ID 플러스다. 패스워드리스 인증은 FIDO와 W3C(World Wide Web Consortium) 표준 기반으로 개발된다.

쉽게 도입하는 VPN + ZTNA

제로 트러스트에서 가장 논쟁적인 분야가 ZTNA다. 재택근무 확산으로 VPN의 문제가 여실히 드러나게 됐고, 이를 해결하기 위한 방법으로 ZTNA가 등장했다. ZTNA는 VPN을 대체하는 것으로 생각되지만, VPN 벤더들은 제로 트러스트틀 접목해 ZTNA를 완성할 수 있다고 주장한다. 특히 우리나라에서는 공공기관 재택근무 가이드라인에 따라 VPN을 이용해야만 외부에서 업무망에 접속할 수 있기 때문에 VPN을 이용한 ZTNA 방식에 관심이 쏠린다.

이반티의 경우 VPN 기업 펄스시큐어와 UEM 기업 모바일아이언을 인수해 엔드포인트와 원격접속을 관리하면서 제로 트러스트 원칙을 적용한 ZTNA 전략을 소개한다.

우리나라 보안 기업 엠엘소프트는 접속 전 인증하고 접속 후 모니터링하는 제로 트러스트 원칙을 가장 잘 구현한 SDP 아키텍처의 ZTNA ‘티게이트 SDP’를 소개한다. 이 제품은 국내 최초로 개발된 SDP 솔루션으로, 공공·민간 기업에 공급됐다.

보안 스타트업 프라이빗테크놀로지의 ‘패킷고’ 는 엔드포인트에서 애플리케이션을 제어하는 방식의 ZTNA를 선보인다. 사용자와 서비스 사업자 간 논리적으로 분리된 가상 네트워크를 만들고, 직접 연결되기 전에 위험성 여부를 판별하고 안전한 사용자만 연결한다.

다양한 ZTNA 기술 경쟁 시작

ZTNA를 구현하는 방법은 매우 다양하다. 사용자 인증과 VPN을 접목하거나 SDP 아키텍처를 사용할 수 있고, 브라우저에 보안접속 플러그인을 설치해 접속할 수도 있다. SWG를 이용한 ZTNA도 가능하다. SWG는 사용자의 웹 접속을 통제해 안전한 사이트로 접근할 수 있도록 하는 기술로, 최근에는 클라우드 보안을 강화하는 시큐리티 보안 엣지(SSE)의 필수 기술로 꼽히고 있다.

SSE는 SWG, CASB, ZTNA를 클라우드 엣지에서 제공하는 모델이며, 그 외 다양한 보안 기술이 통합 된다. SSE와 SD-WAN이 결합되면 SASE로 발전할 수 있다. 포티넷은 SASE 혹은 포레스터가 제로 트러 스트 엣지(ZTE)로 정의한 시장에서 선두주자에 오른 기술을 강조하면서 모든 환경에 접목 가능한 유연한 ZTNA 역량을 갖췄다고 자신한다.

포티넷의 ‘유니버설 ZTNA’는 포티게이트 차세대 방화벽을 통해 제공되며, 포티OS와 포티클라이언트 의 무료 기능으로 사용할 수 있다. 사용자가 원격지나 사무실에 있을 때, 퍼블릭·프라 이빗 클라우드나 데이터센터에 접근할 때 모두 보호한다. 사용자와 기기를 확인한 후 애플리케이션에 연 결시키고, 지속적으로 사용자 신원과 디바이스 보안 상태, 애플리케이션 사용자 권한 액세스를 모니터링 한다.

사용 편의성 보장하는 ZTNA

브라우저를 이용하는 ZTNA는 구글 자회사 비욘드코프가 대표적이며, 우리나라의 알서포트가 이 방식의 안전한 원격접속을 지원한다. 퀘스트소프트웨어, 사이버아크, 비욘드트러스트 등 PAM 솔루션 기업들도 브라우저에 플러그인 설치 방식으로 간편하게 ZTNA를 이용할 수 있게 한다.

소프트캠프의 ‘실드게이트(SHIELDGate)’는 브라우저 원격접속 기술과 조건부 액세스 정책, 콘텐츠 무 해화(CDR), 격리 기술을 결합해 ZTNA의 이상에 가깝게 다가간다. 그 어떤 에이전트도 설치하지 않으면서 내부에서 외 부로 접속하는 사용자를 보호하고 외부에서 내부로 접근하는 위협으로부터 업무를 보호한다.

실드게이트는 클라우드 스토리지 보호 기술 ‘실드 라이브(SHIELDrive)’와 함께 사용해 클라우드 협 업 환경에서도 데이터를 안전하게 보호한다. 또한 재택근무를 위한 클라우드 기반 가상 데스크톱 ‘실드앳 홈’으로 쉽고 안전하게 재택·원격근무가 가능하도록 한다.

▲소프트캠프 ‘실드게이트’ 접근 방법과 특징
▲소프트캠프 ‘실드게이트’ 접근 방법과 특징

NAC와 망연계 시스템을 이용하는 ZTNA도 눈길을 끈다. 지니언스의 ‘지니안 ZTNA’는 NAC 기술 과 강력한 사용자 인증 기술, 클라우드 기술을 이용해 사무실 사용자와 재택·원격근무 사용자를 보호한다. FIDO 인증 및 다양한 인증 프로토콜, IDaaS를 지원하는 추가 인증으로 사용자 인증을 강화하며, SSL/IPSec VPN으로 본사, 지점, 클라우드 연결을 보호한다. 네트워크 트래픽 분석으로 이상행위를 모니터링하며, 클라우드 게이트웨이를 제공해 멀티·하이브리드 클라우드를 보호한다.

휴네시온의 ‘제로 트러스트 아이원넷’은 망연계에 제로 트러스트를 접목한 ZTNA 솔루션이다. 망연계 전송통제서버를 외부에 노출시키지 않고 안전하게 보호하며, 인터넷망 클라이언트를 통해 강력한 사용자·기기 인증을 완료한 경우에만 망연계 시스템을 통해 자료를 전송하도록 한다. 인가된 접속도 암호 화 통신으로 보안 터널링을 제공, 안전한 접속을 보장한다.

무해화·격리로 사용자·업무 보호

강력한 인증과 보안연결을 한다 해도 침해당할 가능성을 완전히 제거할 수는 없다. 공격자는 사용자 계정을 탈취해 정상적인 사용자로 접근하기 때문이다. 그래서 외부 위협으로부터 사용자와 업무를 완벽하게 보호하는 콘텐츠 무해화(CDR), 원격 브라우저 격리(RBI) 기술이 필수로 요구된다.

CDR은 문서에서 액티브 콘텐츠를 제거해 공격에 악용될 수 있는 요소를 없애고 안전한 문서를 제공해 악성문서를 통한 공격 위협을 차단하는 기술이다. 소프트캠프의 ‘실덱스’ 제품군이 국내에서 가장 먼저 CDR 시장을 열고 개척해왔으며, 소프트캠프 보안 솔루션 제품군에 연동해 안전한 업무 환경을 만들 수 있게 한다.

소프트캠프의 RBI 솔루션 ‘실덱스 리모트 브라우저’는 엔드포인트가 아니라 클라우드나 원격 서버에 가상환경에서 브라우저를 열어 웹페이지에 숨은 위협이 엔드포인트에 영향을 미치지 못하도록 해 RBI의 이상을 가장 정확하게 구현한다고 소개한다. 실덱스 리모트 브라우저는 줌, 웹엑스, 구글미트 등 웹 기반 화상회의도 지원하며, 속도 저하를 최소화하고 안전하게 인터넷에 연결하게해 사용자 경험을 보장한다.

소프트캠프는 ZTNA 솔루션 ‘실드게이트’, CDR 솔루션 ‘실덱스’, RBI 솔루션 ‘실덱스 리모트 브라우 저’를 결합해 모든 환경에서 안전한 업무가 가능하도 록 지원한다.

지란지교시큐리티도 CDR 기술을 개발, 상용화한 ‘새니톡스’를 제공한다. 새니톡스는 단독 제품으로 도 공급되며 이메일 보안 솔루션 ‘스팸스나이퍼’와 함께 제공되기도 하고, SDK로도 공급된다. 새니톡스는 안티바이러스 엔진이 통합돼 있으며, 위협 인텔리전스 서비스 ‘사이렌’과 연동해 최신 위협에 대응할 수 있게 한다. 또한 RBI 기술과 연동해 안전한 업무 환경을 보장한다.

격리 기술은 멘로가 시장 점유율 면에서 가장 앞서 있으며, 가장 빠른 렌더링 기술로 사용자 경험 저하 없이 위험한 웹사이트를 격리 환경에서 보호한다. 미국 국방부 직원 350만명에게 안전한 인터넷 연결을 위해 제공하고 있으며, 국내에서도 금융기관 인터넷 망분리 요건에 맞는다는 유권해석을 받은 상태다. 국내 글로벌 제조사 등에서 사용하면서 효과를 입증했다.

모든 침해를 사전에 완벽하게 막을 수 없기 때문에 CDR, RBI 등의 기술이 사용되는데, 이 기술을 우회하는 공격도 가능하다. 그래서 침해 당했다 해도 이를 선제적으로 차단하는 기술이 주목받고 있는데, 마이크로 세그멘테이션이 대표적이다.

마이크로 세그멘테이션은 워크로드를 세분화해 사용자와 워크로드를 직접 연결하며, 다른 워크로드로 접근할 때 다시 인증을 하고 모니터링하도록 하는 기술이다. 모든 워크로드 연결마다 사용자에게 인증을 요구할 수 없기 때문에 AI와 상황인지 기술을 이용해 자동으로 인증·인가하도록 한다.

마이크로 세그멘테이션은 아카마이가 가디코어를 인수한 후 발표한 ‘아카마이 가디코어 세그멘테이션’이 대표적이며, VM웨어는 클라우드 인프라 단의 마이크로 세그멘테이션으로 클라우드 인프라 리소스 사용을 최소화하면서 침입자의 내부 수평이동을 막을 수 있도록 지원한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.