[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>

VPN 이용해 쉽게 구현하는 ZTNA

제로 트러스트를 검토할 때 가장 많이 접하는 용어가 제로 트러스트 네트워크 액세스(ZTNA)다. 먼저 인증한 후 접속하는 방식으로 VPN의 취약성을 해결하고, 컨트롤 플레인과 데이터 플레인을 나눠 권한 없는 사용자의 데이터 무단 접근을 방지하는 ZTNA는 재택·원격근무 수요가 늘어나면서 본격적으로 도입 논의가 시작됐다.

그러나 ZTNA는 인프라를 교체해야 하기 때문에 한번에 도입할 수 없다. 또한 다양한 방법으로 구축할 수 있기 때문에 장기간에 걸쳐, 환경에 맞게 구축되어야 한다. IDC는 ZTNA가 VPN을 대체하는 솔루션의 개념보다 시큐리티 서비스 엣지(SSE)에 통합되는 컴포넌트의 하나로, 차세대 보안을 위한 장기간의 여정이라고 설명했다.

VPN의 한계는 분명하지만, VPN을 한번에 걷어낼 수는 없으며, VPN이 필요한 업무도 있다. 그래서 VPN을 유지하면서 ZTNA 개념의 접근이 가능한 솔루션이 등장했다. 에스케어의 ‘ZT-VPN’은 기존 VPN에 탑재되며, 통합 엔드포인트 보호 기술을 적용해 엔드포인트로 인한 문제를 사전에 차단할 수 있다.

일회성 VPN 접속정책 관리 기술을 이용해 적시(Just-In-Time) 성을 중요시하는 제로 트러스트 원칙을 만족시킨다. 긴급한 원격접속 시 관리자 승인만으로 원격지에서 접속하되, 공격자가 침투할 수 없도록 하는 보안을 강화해 예외처리도 안전하게 이뤄지도록 한다.

정경원 대표는 “99% 안전한 정책을 만들었지만, 1%의 허점으로 인해 공격당할 수 있다. 강력한 인증정책을 마련했다 해도 긴급승인 정책을 악용해 공격자들이 침입해 제로 트러스트 보안 정책을 무력화한다. ZT-VPN은 긴급승인 절차도 안전하게 보호해 빈틈없는 보안프로세스를 운영할 수 있게 한다”고 설명했다.

한편 에스케어는 브로드컴 시만텍과 센티넬원 국내 총판으로, 엔드포인트 보안 분야에서 높은 전문성을 갖고 있다. 특히 센티넬원은 차세대 AV와 EDR 통합 제품이라는 장점을 좋게 평가받아 국내 여러 산업군 고객에게 공급됐다. 에스케어는 센티넬원 MDR 서비스까지 제공하면서 EPP·EDR 운영에 어려움을 겪는 고객들을 돕고 있다.

간단하게 구축 가능한 ZTNA ‘주목’

VPN이 단시일 내에 사라지지는 않겠지만, 한 번 인증한 후 계속 액세스 할 수 있는 VPN의 취약점을 해결하기 위해서는 장기적인 ZTNA 전환 계획이 필요하다. 특히 ZTNA는 엔드포인트와 앱이 직접 연결되고, 모든 트래픽을 지속적으로 검사하기 때문에, 위협에 대한 세밀한 데이터를 제공할 수 있어 보안운영센터(SOC)가 정확한 정보를 기반으로 대응할 수 있다.

트렌드마이크로는 이 점을 강조하면서 위험도가 낮은 애플리케이션을 ZTNA로 마이그레이션하면서 문제를 교정하면서 단계별로 ZTNA 전환을 계획해야 한다고 설명했다. 또 일부 ZTNA는 접속하는 앱 별로 비용을 부과하고, 클라우드를 통해 접속하는 경우 트래픽 비용도 추가되기 때문에 예상외의 많은 비용을 지불하게 될 수 있으므로 주의해야 한다고 조언했다.

ZTNA 구축 방법이 상당히 까다롭고 어려운 것으로 보이지만, 단순하게 생각하면 간단하게 구축 가능하다. ‘선 인증 후 접속’은 네트워크 접근제어(NAC)가 작동하는 방법이다. NAC는 네트워크에 접근하는 사용자와 기기의 무결성을 검증한 후 접속 허용-차단을 적용한다. 이 기술을 네트워크가 아니라 애플리케이션에 적용하면 ZTNA의 원칙을 지킬 수 있다.

지니언스의 ‘지니안 ZTNA’가 NAC의 기기 플랫폼 인텔리전스(DPI)와 무결성 검증, 접근제어 기술을 녹여낸 ZTNA 솔루션이다. 지니안 ZTNA는 IP관리·NAC, 클라우드 접근통제, 마이크로 세그멘테이션, FIDO·패스키 지원 강력 인증, 트래픽·애플리케이션 가시성·제어, IP 모빌리티 지원 등의 기능을 제공한다.

김영덕 지니언스 부장은 “지니안 ZTNA는 딜로이트와 글로벌 제로 트러스트 프레임워크를 위한 협력을 진행하고 있으며, 우리나라에서는 SGA솔루션즈 컨소시엄을 통해 제로 트러스트 보안모델 실증 사업에 참여하고 있다. 다수의 POC를 진행하고 있어 연내 제로 트러스트 고객을 확보할 것으로 자신한다”고 말했다.

격리·무해화로 더 강력해진 제로 트러스트

쉽게 구축할 수 있는 ZTNA로 소프트캠프의 ‘실드게이트(SHIELDGate)’도 좋은 반응을 얻고 있다. 실드게이트는 별도 프로그램 설치 없이 웹브라우저를 통해 실드게이트에 접속해 보안이 적용된 원격접속이 가능하다. 조건부 접근·사용 정책(ZTCA)을 적용해 사용 편의성을 높이면서 보안 수준에 따른 강화된 보안 접근을 제공한다. 클라이언트 환경에 대한 다양한 조건을 설정해 최소권한접속 원칙에 따른 접속·사용이 가능하다.

보안 웹 게이트웨이(SWG) 기능을 사용해 모든 연결에 대한 멀웨어, 랜섬웨어, 피싱 등의 악성코드와 웹 환경 내 보안위협을 차단하며, 원격 브라우저 격리(RBI) 기술을 이용해 웹사이트에 숨은 위협이 사용자에게 영향을 끼치지 못하게 한다.

RBI 솔루션 ‘실덱스 리모트 브라우저(SHIELDEX Remote Browser)’와 연동해 더 강력한 제로 트러스트 보안이 적용되도록 한다. 이 솔루션은 사용자 기기에 아무것도 다운로드하지 않으며, 완전히 원격지에 격리된 가상 브라우저에서 스트리밍 방식으로 화면을 보여줘 잠재된 위협을 원천 제거한다.

소프트캠프는 콘텐츠 무해화(CDR) 솔루션 ‘실덱스(SHIELDEX)’를 활용해 문서에 숨은 악성 콘텐츠로 인한 감염도 원천 차단한다.

더불어 자회사 레드펜소프트를 통해 외부에서 공급받은 소프트웨어 코드 취약점을 제거해 소프트웨어 공급망 보호를 위한 제로 트러스트 전략을 제안한다.

내부 네트워크 관점에서의 제로 트러스트 전략도 제안된다. 파이오링크는 ‘티프론트 보안스위치’가 사용자 접속 순간부터 지속적으로 위협을 검증하고 평가한다는 점, 통합관리시스템 ‘티컨트롤러’가 제어 영역을 담당한다는 점을 강조하면서 제로 트러스트를 위한 솔루션을 제공하고 있다고 강조한다.

그리고 보안스위치만으로 구현이 어려운 부분에 대해서는 타 솔루션과 효과적인 연동 방안을 만들고 있으며, 일본에서 체크포인트 방화벽을 티프론트 통합관리시스템과 연동해 로그 공유와 모니터링 가능하도록 개발 완료했다.

국내에서는 NDR 솔루션 기업 쿼드마이너와 네트워크 보안 기술 협력을 위한 MOU를 체결하고 제로 트러스트 아키텍처 구현에 나서고 있다. 양사는 네트워크 보안 기술, 네트워크에서 수집된 빅데이터 분석 기술 협력을 통해 기업 내부망의 제로 트러스트 보안 구현을 위한 구체적인 방안을 제시하고 있다.