지난 2009년 구글 등 글로벌 IT 기업을 해킹한 ‘작전명 오로라(Opera tion Aurora)’ 사고 후 구글은 제로 트러스트 네트워크(Zero Trust Network) 모델인 비욘드코프(BeyondCorp)를 2012년부터 진행해왔다. 비욘드코프는 사용자, 기기, 사용을 허가 받은 자원을 기반으로 한 기존 네트워크·위치 중심의 보안 모델에서 ‘제로 트러스트 보안(Zero Trust Security) 모델’로 전환하는 것이었다.
현재 제로 트러스트 경계(Zero Trust Perimeter) 또는 소프트웨어 정의 경계(SDP: Software Defined Perimeter)는 많은 대기업들이 선호하고 채택하고 있는 아키텍처의 주요한 방향이 되고 있다. 그 결과 네트워크·보안 벤더들은 이 분야에 역량을 집중하고 있으며, 인수합병과 마케팅을 동원해 시장 진출 전략을 추진해 나가고 있다.
주목할 만한 시장의 변화 예로 2018년 7월 옥타(OKTA)의 스케일에프티(ScaleFT) 인수와 8월에 있었던 시스코의 듀오(Duo) 인수를 꼽을 수 있다. 이들은 전통적인 핵심 매출 기조는 그대로 유지 하면서 인수합병을 통해 획득한 새로운 기능을 기존 기술과 결합해 추가 매출 향상을 꾀할 것이다.
새로운 클라우드 보안 모델 ‘제로 트러스트’
전 세계 주요 기업들이 왜 기존의 네트워크 중심 보안 아키텍처에서 벗어나 제로 트러스트 모델로 전환하려할까.
현재 IT는 클라우드와 모바일이라는 거대한 전환의 과정에 있다. 그동안 구축해 왔던 네트워크 중심 보안 아키텍처는 데이터가 기업 데이터센터에 있고, 사용자들도 기업의 네트워크 안에 위치했을 때 유효하다. 즉 허브 앤 스포크(Hub and Spoke) 방식의 MPLS 연결 또는 VPN을 통한 원격 연결 방식으로 운영될 때 효과적이다. 이는 아날로그 방식인 ‘성과 해자(Castle and Moat)’를 구성하는 모델로, 기업의 중요한 자산이 하드웨어적으로 고정되고 경직된 보안울타리 안에서 보호되는 것을 의미한다.
그러나 클라우드 전환기에서는 이와 같은 모델은 더 이상 효과적이지 않다. 2018년에 들어서면서 클라우드 서비스의 채택은 기업의 생존 전략과 함께 더욱 빠르게 가속되고 있다. 특히 ▲오피스365, 세일즈포스닷컴, 워크데이 등 SaaS ▲AWS, 애저, 구글 클라우드 플랫폼 등 IaaS의 성장세는 놀라울 정도다.
이와 더불어 기업의 모바일 사용이 증가하고 가능한 쉽고 편리한 방법을 통해 인터넷과 기업의 애플리케이션을 접속하려는 경향이 급증하고 있다. 이는 랩톱 또는 모바일 기기에서 브라우저나 모바일 앱 기반의 손쉬운 접속을 의미한다.
클라우드로 확장된 보안 경계
이러한 확장성과 접근성은 잠재적으로 기업의 IT비용과 편리성에 있어 괄목할 만한 이익을 가져올 수 있지만, IT 부서에게 많은 도전과제가 되고 있다. IT 부서가 직면한 문제 중 가장 해결이 어려운 것을 간추려보면 다음과 같다.
- 클라우드 환경에서 네트워크 기반으로는 더 이상 정의할 수 없게 된 보안 경계는 어떻게 할 것인가
- 사용자를 식별하고, 다양한 기기들의 보안 상태를 결정한 후, 권한이 부여된 특정 애플리케이션에만 접속을 어떻게 허가할 것인가
- GDPR과 같이 특정 지역 혹은 개별 국가 내에서 적용되는 개인정보 보호법을 준수하면서 전 세계에 사업장과 출장자, 재택근무자 등 스마트워커의 트랜잭션에 대한 보안과 이에 대한 로그는 어떻게 저장하고 관리할 것인가
- 기업의 DLP 정책과 SaaS 애플리케이션들에 대한 접근과 제어를 관리하기 위해 개인키를 통한 TLS 암호해독은 어떻게 가능하게 할 것인가
- 클라우드 사용 증가에 따른 인터넷 관문의 급속한 대역폭 증가에 대해 기존의 네트워크와 보안 하드웨어에 대한 확장관리를 어떻게 효과적으로 할 것인가
- ERP와 같은 기업 애플리케이션이 클라우드 서비스로 이동할 때 기존의 네트워크 중심 VPN 인프라는 어떻게 해야 하는가
- 위의 언급된 IT 환경의 변화에 따라 보다 복잡해지고, 확장된 솔루션과 시스템에서 발생되는 보안 이벤트에 대한 상관관계를 포함해 로그의 보안, 관리, 유지, 레포팅은 어떻게 할 것인가
사용자 중심 보안 모델로 전환
기업들은 클라우드와 모바일의 급속한 확대에 따라 발생되는 어려움들을 해결하기 위해 네트워크 중심에서 사용자 중심의 보안 모델로 전환하고 있다.
제로 트러스트 아키텍처로 이동하는 것은 비용 절감, 유연성, 향상된 사용자 경험과 생산성 등의 다양한 이득을 얻을 수 있다. 하지만 제로 트러스트 아키텍처를 제공하는데 있어 완벽한 자격조건이 중요하다. 이 자격조건을 확인하는데 있어서, SDP에 대한 버전을 제공하는 벤더들에게 물어야 하는 중요한 질문은 다음과 같다.
- 아직도 이름만 SDP고, 실재는 네트워크 중심 모델을 벗어나지 못하고 있는가? 다시 말하면, 사용자들이 고전적인 VPN을 사용해 기업의 내부 네트워크 영역만을 확장, 네트워크에 배치하려고 제로 트러스트라고 하고 있는가?
- 기업의 애플리케이션에 대한 원격 접속을 위해 사용자들을 기업의 네트워크상에 직접적으로 배치함으로 하고 있지는 않은가?
- 이러한 솔루션이 기업의 IP 주소를 인터넷에 노출시켜 디도스 또는 다른 사이버 공격의 직접적인 대상이 되고 있지는 않은가? 예를 들면 VPN 컨센트레이터의 IP주소를 노출시켜 공격의 기회를 제공할 수 있다.
- SDP 솔루션임에도 불구하고 기업의 네트워크에 대한 보안을 위해 마이크로 세그먼트화를 필요로 하는가?
포춘 500대 기업 중 가장 큰 기업의 일부가 이미 제로 트러스트 아키텍처로 이동했으며, 이러한 움직임은 가속화되고 있다. 사업장과 임직원의 위치 또는 특정 플랫폼에 관계없이 기업의 애플리케이션에 대해 안전한 사용자 액세스를 제공하는 제로 트러스트 아키텍처는 그 자체 개념이 가지고 있는 우수한 보안과 제어를 통해, 기업에게 매우 중요한 비즈니스 유연성을 제공한다.
이러한 전환은 클라우드 환경의 특성상, 비즈니스 이해 당사자들과 신뢰할 수 있고 전문성을 가진 클라우드 중심의 벤더들이 함께 제로 트러스트 아키텍처로의 전환에 대한 최적의 계획을 수립하고 실행함으로써 성공할 수 있다.
