다양해지는 제로 트러스트로의 접근법

2022-03-23
조회수 906

기업사회에 침투한 제로 트러스트


최근 1~2년간, 정보 보안분야에서 주목되어 온 것이 “제로 트러스트”입니다.


2020년 8월에는 각국의 조사기관이나 보안기업이 그 동향을 주시하는 ”NIST(미국 국립 표준 기술연구소”가 제로 트러스트에 관한 문서 “Special Publication 800-207”을 공개하며, 국내에서는 2021년 6월 IPA(정보처리추진 기구)가 “제로 트러스트 도입 지침서”, 금융청에서도 “제로 트러스트 현황 조사와 사례 분석에 관한 조사보고서”를 공표했습니다.


이러한 상황을 토대로, 제로 트러스트는 일과성 트렌드가 아니며 앞으로 기업의 정보 시스템 형태가 크게 변모하지 않는 한, 모든 기업이나 단체에 있어서 필수적인 보안 대책으로 계속 유지될 것이라고 생각해도 좋을 것입니다.


제로 트러스트란 말 그대로 “신뢰0”.

제로트러스트를 실제 기업에서의 예로 설명하면 사장이든 부장이든 어느누구라도, 사무실에 들어갈 때, 또는 정보기기를 사용할 때, 서류함에서 파일을 꺼낼 때 등등, 그때마다 인증을 요구하는 것과 같이 생각하면 됩니다. 이것을 정보시스템에 적용한 것이 바로 제로 트러스트입니다.




기점은 정보시스템의 재편


앞서 “기업의 정보시스템이 크게 변하지 않는 한 제로 트러스트는 필수적인 보안대책” 이라고 적었지만, 반대로 생각해보면 기업 시스템이 쇄신되었기 때문에 이 방법이 필요한것입니다.


기업네트워크가 재편된 요인은 클라우드로의 시프트와 작업공간의 확대입니다.

얼마전까지는 온프레미스가 주였으나 2010년대 중반부터 클라우드화가 진행되어, 지금은 메일을 중심으로 한 의사소통은 물론, 업무 앱, 스토리지 등, 기업의 정보 자산의 상당수는 클라우드로 이행하고 있습니다.


최근의 근무 방법 개혁과 텔레워크의 추진으로, 사무직이 일하는 환경은, 출장지, 공유오피스, 자택 등으로 넓어졌습니다. 근무시간도 평일 9시~17시부터 플렉스 타임 체제로 전환한 직장도 많을 것으로 생각됩니다.


그리고 기업의 보안 대책도 변화에 맞춰가야 합니다. 온프레미스 주체의 환경에서는 기업 네트워크 내부는 안전, 밖은 위험하다고 정의하고 사내 LAN과 인터넷과의 경계에 방화벽(FW) 등을 두어 내부를 지키는 “경계방어”라는 개념이 유효했습니다.


<기존의 보안정책과 제로트러스트 네트워크>


한편 기업의 정보자산이 클라우드, 그리고 텔레워크에 종사하는 직원이 사용하는 정보기기로 분산된 환경에서는 경계라는 개념 자체가 희박해지고 있습니다. 다만 클라우드상의 자산, 워커를 각각의 단위로 지켜야 하며 공격수등의 보안 툴만으로는 안전을 확보하기 어려운 것은 자명할 것입니다.


VPN의 한계가 드러남


텔레워크의 안전을 확보하는 방법으로는 VPN이 널리 사용되고 있습니다. 사외에서 사용하는 PC 등의 정보기기를 기업의 LAN과 인터넷 등의 회선으로 연결하여 전송로를 암호화해 안전을 확보하는 기술이며 대대적인 시스템 개보수는 불필요하고 비교적 저렴하게 도입할 수 있지만, 재택근무 인구의 증가와 함께 한계가 지적되고 있습니다.



우선은 혼잡(congestion)의 문제입니다. 사용자가 늘어나면, 특히 아침저녁의 혼잡 시에는 좀처럼 접속하지 못하고, 연결되어도 반응이 저하된 상태입니다. 이를 피하고 싶은 직원은 터미널 역 등에 설치된 무료 Wi-Fi를 통해 클라우드 상의 서버 등에 접속하게 되며 VPN을 통과해버리면, 기업이 모처럼 정비한 안전 대책은 기능하지 않습니다.


다른 하나는 VPN 기기의 보안 리스크입니다. 최근 1~2년 동안 VPN의 기능을 구현한 네트워크 기기의 취약성에 의해 사내 LAN으로의 침입을 허용한 사건이 몇 번인가 보고되었습니다. 또한 “VPN으로부터 들어간 내부는 안전”이라고 간주하는 경계 방어에서는, 일단 침입을 허락해 버리면, 피해의 옆으로의 확산은 간단하게 막을 수 없습니다.


거기서 VPN을 대신하는 솔루션으로서 주목받고 있는 것이 제로 트러스트입니다.




제로 트러스트에 대한 다각적인 접근


제로 트러스트의 개념은 “모든 것을 신용하지 않는다”였습니다만, 기업의 정보시스템에 구현하는 방법은 한가지만이 아닙니다. 다양한 각도에서의 접근법이 나오고 있습니다.


몇 가지 예를 들면, 우선 엔드포인트 보안입니다. 네트워크의 경계가 아니라 사내 서버나 PC 등 엔드 포인트 단위로 방어를 굳히는 방법이며 요소기술, 시스템의 위협 및 침입을 방지하는 EPP(엔드포인트 보호 플랫폼), 만일의 침입 시에 검지하는 EDR(엔드 포인트에서의 검지, 대응) 등이 있으며, 이들 도구가 기능함으로써 결과적으로 “모든 통신을 신용하지 않는다”라는 제로트러스트의 사고방식이 구현되게 됩니다.


이와 더불어 모바일 디바이스의 움직임을 일원 관리하는 MDM, 엔드포인트 기기의 클라우드 이용을 감시하는 CASB(클라우드 접근 보안 중개 서비스), 최근에는 인증이나 FW 등의 보안과 네트워크 접속 기능을 통합하여 정보시스템 전체의 안전한 운용을 담보하는 SASE(보안 액세스 관리)도 제로 트러스트를 실현하는 효과적인 방법으로서 주목도가 높아졌습니다.




새로운 선택지 “ZTNA”도 진전


제로트러스트를 구현하는 방법은 다양해지고 있습니다. EPP/EDR을 기반으로 한 엔드포인트 보안을 중시하는 보안     기업, 정보 자산의 클라우드 전환에 맞춰 각각의 통신을 제어할 수 있는 CASB가 필수로 하는 사업자 등, 벤더의 수만큼 접근법이 있다고 해도 과언이 아닙니다.


이 분야의 진전은 빠르고, 각국의 연구기관과 보안기업도 개발을 강화하고 있으며, 매일같이 새로운 기술, 솔루션의 발표가 이루어지고 있습니다. 또한, 최근의 경향으로는 중소규모 사업자에게 대한 도입도 시야에 넣어 코스트 퍼포먼스가 뛰어난 방법도 제안되게 되었습니다.


그중 하나가 제로 트러스트 네트워크 액세스(ZTNA: Zero Trust Network Access)입니다. 제공하는 벤더에 따라 내용은 조금씩 다르지만, 기본적인 특징으로 사용자 단말기와 서버 간, 사용자 단말기와 클라우드 애플리케이션 간 등을 end to end로 암호화해 안전한 통신을 할 수 있습니다.


기술 면의 핵심은 클라우드 측의 중계 시스템입니다. 두 지점 간의 통신은 반드시 ZTNA를 운용하고 있는 사업자의 시스템을 경유하고 있습니다. 또한, 중계 시스템 액세스 시 도입 기업이 정하는 보안 정책에 기반한 사용자/디바이스 인증이 이루어지고, 통신 내용 등은 외부에서 보이지 않기 때문에 공격에 대한 내성이 높아집니다.



또 다른 장점은 전용회선, FW, VPN 장치 등 새로운 설비투자가 불필요하다는 점입니다. 제로 트러스트에 필요한 기본기능은 모두 클라우드 측에 입력되어 있어서 클라우드상의 관리화면에서 엔드 투 엔드 통신하는 사용자나 그룹을 지정하여 정책을 설정하는 것만으로 유연하게 안전한 통신로를 확보할 수 있습니다.


현재 일본 시장에서 ZTNA의 인지도는 아직 20% 정도로 낮지만, VPN으로 어려움을 겪고 있는 기업이 많은 것은 사실입니다. 앞으로 VPN으로부터의 환승을 추진하기 위해 ZTNA와 그 제품인 Ananda Networks의 인지도 향상을 도모해 나가도록 하겠습니다.



by Yozawa Shinichi,  번역 전윤경

4 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.