[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>

SSE 설계 기반이 되는 제로 트러스트

제로 트러스트 전략에서 가장 먼저 논의된 것이 제로 트러스트 네트워크 액세스(ZTNA)였기 때문에 ZTNA를 어떻게 구현하는 것이 가장 모범적인지 다양한 사례가 등장하고 있다. 가트너는 ZTNA 구현의 대표적인 사례로 ▲내부 직원의 원격 액세스 ▲외부 인력의 원격 액세스와 BYOD ▲권한 있는 원격 액세스 ▲온프레미스 액세스를 들었으며, 모든 사례에서 이미 성숙단계에 들어섰다고 진단했다. 그러면서 ZTNA는 보안 서비스 엣지(SSE) 접근방식에 맞게 선택할 것을 권고하며, 에이전트가 필요할 경우, ZTNA와 SSE를 연계하라고 조언했다.

이에 맞는 제로 트러스트 구현 방법으로 지스케일러의 단일 플랫폼 ‘제로 트러스트 익스체인지(ZTX)’를 들 수 있다. ZTX는 모든 위치에서 모든 네트워크를 통해 사용자, 워크로드, IT·OT·IoT 기기를 연결하고 보호하는 클라우드 네이티브 플랫폼이다. ZTX는 사이버 위협 보호, 데이터 보호, 디지털 경험관리까지 클라우드 엣지에서 통합 제어하며, 공격표면 최소화, 측면이동 차단 기능도 제공한다.

지스케일러는 구글 검색량의 20배에 해당하는 하루 3200억건의 요청을 처리하며, 90억건의 보안사고와 정책위반을 탐지하고 있다. AI/ML을 이용해 효과적인 위협 탐지와 차단을 제공하며, 자동으로 식별된 애플리케이션 세그먼트로 내부 공격 표면을 최소화한다.

ZTX에는 원격 사용자의 안전한 애플리케이션 접속을 돕는 지스케일러 프라이빗 액세스(ZPA), 내부 사용자의 안전한 애플리케이션 접속을 지원하는 지스케일러 인터넷 액세스(ZIA), 모든 위치의 직원·고객 경험을 개선하는 지스케일러 디지털 경험(ZDX), CASB·DLP, 빌드부터 런타임까지 보호하는 ‘포스처 컨트롤(Posture Control)’이 포함된다.

인승진 지스케일러 코리아 전무는 “제로 트러스트 솔루션은 글로벌 플랫폼을 통해 서비스를 제공해야 하며, 보안에만 초점을 맞춰서는 안된다. 지스케일러는 빠르고 안정적인 사용자 경험, 간단한 배포, 지속적인 운영을 고려해 설계했으며, 확장성, 안정성, 가용성, 지역별 배포 능력까지 입증해 생산성 향상에 기여한다”고 말했다.

하이브리드 환경 최적화 지원

멀티 클라우드 복잡성을 낮추기 위해 SSE, SASE, ZTE 등 엣지 기반 네트워크·보안 정책이 제안되고 있는데, 여기에도 제로 트러스트가 기본 원칙으로 포함된다. 팔로알토 네트웍스의 경우 가트너가 올해 처음 공개한 ‘단일 벤더 SASE 분야 매직 쿼드런트 2023’에서 유일한 리더, 포레스터의 ‘2023년 3분기 포레스터 웨이브: 제로 트러스트 엣지 솔루션’에서도 리더로 선정됐는데, 이 보고서에서 팔로알토의 ZTNA 기능을 매우 높게 평가했다. 팔로알토의 ‘프리즈마 SASE’는 SASE와 ZTE에서 요구하는 거의 대부분의 기능을 단일 플랫폼에 통합했으며, 간단한 사용자 인터페이스와 AI·AIOps를 통한 강력한 탐지 기능을 높게 평가받았다.

포레스터 보고서에서 리더로 선정된 또 다른 벤더인 포티넷은 ‘보안과 네트워킹의 균형을 유지하는 벤더’라는 평가를 받았으며, 하이브리드 클라우드에 가장 적합한 SASE/ZTNA를 제공한다는 점을 강점으로 꼽는다. 포티넷 ‘제로 트러스트 현황 보고서’에 따르면 조직의 40%가 애플리케이션 절반 이상을 온프레미스에서 호스팅하고 있으며, 조직의 3/4는 클라우드 전용 ZTNA에 의존하다가 하이브리드 인력에게 문제가 발생한 경험이 있다고 밝혔다.

이창운 포티넷 코리아 이사는 “대부분의 기업이 온프레미스와 네트워크 외부에서 애플리케이션 액세스 권한을 제공할 수 있어야 하는데, 클라우드 전용 ZTNA·SASE는 이러한 환경에서 한계가 있다”며 “포티넷은 모든 업무 위치서, VPN을 사용하는 환경에서도 안전하게 업무하고 일관된 사용자 경험을 유지할 수 있다”고 말했다.

포티넷의 ‘유니버설 ZTNA(Universal ZTNA)’는 사무실, 재택, 이동중에도 일관된 사용자 경험을 제공하는 솔루션으로, ‘포티OS’ 단일 운영체제와 ‘포티클라이언트’ 단일 에이전트를 통해 VPN 병행 운영, SASE 확장이 가능하다.

포티넷은 통합 플랫폼 ‘보안 패브릭’에 보안 기술을 통합해 유연하게 운영할 수 있도록 한다. 보안 패브릭은 완벽한 통합 보안을 제공하는 사이버 시큐리티 메시 아키텍처(CSMA)로, 네트워크, 엔드포인트, 클라우드, 보안관리 등을 아우르는 다양한 보안 솔루션과 사이버 위협 인텔리전스가 서로 통합돼 보다 효율적인 보안 운영과 빠른 위협 가시성 확보와 대응이 가능하다. 또한 네트워크와 보안 운영, 사용자·디바이스 보안, 애플리케이션 보안, 시큐어 네트워킹, 위협 인텔리전스, 개방형 생태계를 아우른다.

완벽한 통합 보안 아키텍처 제공

체크포인트는 단일 통합 아키텍처 ‘인피니티(Infinity)’를 기반으로 한 ‘절대적인 제로 트러스트 보안(Absolute Zero Trust Security)’를 제공한다고 소개한다. 인피니티는 제로 트러스트 원칙에서 요구하는 데이터, 기기, 네트워크, 워크로드, 사용자, 자동화와 오케스트레이션, 가시성과 분석의 7가지를 모두 구현한다고 소개한다.

특히 퀀텀(Quantum) 네트워크 방화벽부터 제로 트러스트 보안 모델을 구현, 사용자 신원인식, 네트워크 그룹, 통신·시스템 연결 유형, 데이터 유출 차단 등을 수행할 수 있다는 점을 강조한다. 우리나라 굴지의 글로벌 반도체 기업, 세계 시장을 선도하는 철강기업, 대형 은행 등에서 체크포인트 제로 트러스트 기반 보안 솔루션을 도입해 운영하고 있다고 소개한다.

이동하 체크포인트코리아 지사장은 “개별 솔루션으로 제로 트러스트를 구축하면 배포가 복잡하고 내재된 보안 격차가 발생할 수 있다. 체크포인트는 단일 통합 보안 아키텍처에서 제로 트러스트 구현을 위한 실용적이고 총체적인 접근 방식을 제공한다”며 “체크포인트의 네트워크 레벨 방화벽에서 시작하는 예방 중심 방어 전략은 다양한 파트너와 함께 상호보완하면서 제로 트러스트 여정을 성공적으로 이끌 수 있게 돕는다”고 설명했다.

VPN 대체 ZTNA 기술 성공사례 축적

제로 트러스트 구현 기술 중 하나로 마이크로 세그멘테이션이 부상하고 있다. 마이크로 세그멘테이션은 사용자, 디바이스, 워크로드를 분리해 각각의 액세스 정책을 적용하고, 권한 없는 이동을 차단하는 기술이다.

마이크로 세그멘테이션 전문기업 가디코어를 인수한 아카마이가 ‘아카마이 가디코어 세그멘테이션(AGS)’의 국내 시장 공략을 전개하면서 시장 개화에 힘을 쓰고 있다. AGS는 IT 인프라 상관없이 하이브리드·멀티 클라우드 환경에서 워크로드 기반 정책을 구성하며, 다양한 환경 간 통신 매핑으로 풍부한 가시성을 보여준다.

글로벌 금융 A사는 AGS를 도입해 비즈니스 크리티컬 애플리케이션을 보호하고 서드파티 환경 접속을 제한할 수 있었으며, IT 보안팀이 애플리케이션을 원하는 클라우드로 안전하고 원활하게 마이그레이션하면서 새로운 환경 전반에서 발생할 수 있는 위협을 탐지할 수 있게 됐다고 평가했다.

아카마이는 VPN을 완전 대체하는 ZTNA 솔루션 ‘엔터프라이즈 애플리케이션 액세스(EAA)’도 국내에서 순항중이라고 설명했다. 국내 금융 A사는 VDI 시스템을 회사 내부 네트워크에 구축한 후 EAA로 VDI에 접속하도록 구성했다. VPN 없이 금융보안원의 원격접속에 관한 지침을 준수하면서 편리하고 안전한 원격근무가 가능해졌다. 약 4000명의 사용자가 EAA 시스템을 통해 각자 VDI 서버에 간접 또는 직접 접속해 업무를 진행하고 있다.

국내 해운사 B사는 7500명 이상 사용자가 해외 지사, 해외 로밍, 재택근무 등으로 사내망 VPN을 통해 원격 접속했으나 아카마이 CDN과 EAA 서비스 도입 이후 전 구간 접속 속도 개선, 평준화, 앱 가속 효과를 누리고 있다.

한편 아카마이는 CDN 경쟁력을 탑재한 IaaS ‘커넥티드 클라우드’를 통해 네트워크 속도와 효율성, 보안 강화, 비용 절감 효과를 획기적으로 높이고 있다고 강조한다. 커넥티드 클라우드를 통해 아카마이는 130개 이상 국가, 344개 대도시, 4200개 이상 지역에서, 다른 IaaS 1/3~1/5 수준의 비용으로 서비스를 제공하고 있다.

강상진 아카마이코리아 상무는 “아카마이는 전 세계 고객에게 CDN 서비스를 안전하게 제공하면서 축적한 보안 전문성을 이용해 완성도 높은 보안 서비스를 제공해왔으며, 글로벌 클라우드 보안 서비스 시장에서 매우 높은 점유율을 기록하고 있다. 이 경험을 퍼블릭 클라우드 서비스로도 확장시켜 안정적이고 편리하며 비용 효과적인 퍼블릭 클라우드 서비스 사업자로 자리잡고자 한다”고 말했다.

“DNS가 제로 트러스트 핵심 전략”

DNS를 이용한 제로 트러스트 액세스 전략도 주목된다. 인포블록스는 DNS가 엔터프라이즈 네트워크 전체에 대한 가시성 확보와 선제적 보안 컨트롤을 수행할 수 있어 제로 트러스트 아키텍처의 핵심 역할을 하고 있다고 강조한다.

DDI(DNS, DHCP, IP 관리)는 엔터프라이즈 모든 자원을 연결시켜주는 인프라로, 특히 DNS에는 인터넷과 연결되는 모든 기기의 정보, C&C 통신 정보 등이 수집되기 때문에 이 정보를 기반으로 위협 인텔리전스를 구축하고 위협 대응에 사용할 수 있다.

인포블록스는 DNS 인텔리전스와 함께 의심스러운 도메인으로의 통신을 선제 차단하고, 광범위한 에코시스템을 통해 위협 정보를 공유하고 빠르게 대응할 수 있다. DNS 터널링 기법으로 내부 데이터를 유출하는 등 DNS 이용 다양한 지능형 공격을 식별하고 차단한다.

문현욱 인포블록스코리아 상무는 “모든 인터넷 접속을 위한 첫 관문인 DNS는 이미 절대적인 제로 트러스트 컨트롤 포인트로 인식되고 있다. 미국 국가안보국(NSA)에서도 DNS 쿼리 통제로 멀웨어 92%를 줄일 수 있다는 조사 결과를 발표한 바 있다. DNS를 통해 실제 전사 보안 수준을 높여준다는 사실이 입증되었으며, DNS를 이용한 위협 가시성을 높이고 신속하게 대응할 수 있을 것”이라고 말했다.