어댑티브 접근 통제의 부상, 생산성과 보안에 충돌은 없다

허가를 받고 네트워크에 들어왔다고 해도 공격 가능성을 의심하고 반복적인 인증과 최소 권한 부여 등을 통해 리스크를 관리하는 제로 트러스트 보안 패러다임은 기업 사용자들 측면에서 보면 생산성에 마이너스가 될 수 있다.  제로 트러스트 한다고 사용자들을 상대로 뭐좀 하려고 할 때마다 자꾸 이것저것 확인하라고 하면 시간도 시간이지만 생산성 자체에도 해가 될 수 있다.

그런 만큼 보안과 생산성 사이에서 균형을 유지하는 것도 제로 트러스트가 기업 내에서 연착륙하는데 있어 중요한 요소다.

하지만 기업 IT, 보안 팀 입장에서 보안과 생산성이라는 두마리 토끼를 모두 잡는 것은 말은 쉬워보여도 행하기는 꽤 어려운 일이다. 원격과 재택 근무 환경이 확산되면서 확인하고 검증해야할 일들도 그만큼 늘어난 요즘에는 특히 그렇다.

플렉스잡스(Flexjobs)가 지난해 3월 진행한 조사 결과를 보면 코로나19 팬데믹 환경에서 원격 근무를 했던 65%가 앞으로도 계속 집에서 일하고 싶어하는 것으로 파악됐다. 58%는 회사에서 사무실로 출근하라고 한다면 아예 새로운 일을 찾을 것이라고 답했다. 코로나 19 팬데믹이라는 비상 상황이 종료된다고 해도 원격과 재택 그리고 사무실 근무가 공존하는 이른바 하이브리드워크(Hybrid work) 환경은 앞으로도 계속될 것임을 보여주는 대목이다.

이건 보안 측면에선 상당한 부담이자 리스크다.  관리자들이 신경써야 할 것들이 늘면 사이버 공격자들이 이용할 수 있는 취약점도 늘게 마련이다. 하이브리드워크를 둘러싼 보안 리스크는 그냥 하는 우려가 아니라 이미 현실이 됐다는 정황도 포착되고 있다.

시장 분석 업체 포레스터가 IT 및 보안 부문 기업 의사 결정권자들을 상대로 진행한 조사를 보면 응답자 79%가 원격 기기 및 다른 디지털 비즈니스 요구 사항들을 지원해야할 수요가 감당할 수 있는 수준을 넘어섰다고 답한 것으로  조사됐다. 68%는 또 엔터프라이즈 기업들을 겨냥한 사이버 공격들이 코로나 19 상황 전보다 진화했다고 보는 것으로 나타났다.

미국 국립표준기술연구소(National Institute of Standards and Technology: NIST)와 미국 국방부 같은 정부 조직들은 정적이고 네트워크 기반 페리미터(perimeters, 경계)가 아니라 제로 트러스트 보안 모델을 사용해 사용자, 자산 및 자원들에 초점을 맞추는 사이버 보안에 대한 필요성을 인식하고 있는 상황이다.

이를 감안하면 제로 트러스트 접근 방식을 활용한 보안 패러다임은 앞으로 더욱 확대될 수 밖에 없다.

제로 트러스트에서 중요한 것은 사람과 디바이스를 포함하는 사용자에 대한 접근 통제다. 접근 통제는 100% 신뢰할 수 없다고 판단되는 사람과 디바이스들에 대해서는 시스템 접근을 차단할 수 있도록 하는 것이 골자다.


왜 어댑티브 접근 통제인가

서비스형 디바이스 아이덴티티(Device-Identity-as-a-Service, DIaaS) 전문 업체 인피니포인트 최고 마케팅 임원(CMO)인 데이브 버튼에 따르면 디바이스에 대한 접근 통제와 관련해 현재 대다수 IT 및 보안 팀들은 조건부 접근 통제(conditional access control)를 적용하고 있다.

조건부 접근 통제도 제로 트러스트로 가는 길이기는 하지만 최선이 되기는 어렵다. 조건부 접근 통제 수준을 뛰어넘어 디바이스 아이덴티티에 대해 적응형 접근 통제(adaptive access contro)를 적용하는 것이 제로 스트러트 측면에선 바람직한 접근이라는 것이 그의 설명이다.

어댑티브 접근 통제를 통해 조직들은 위험 감소와 사용자 생산성 사이에서 보다 효과적으로 균형을 유지하면서 보다 세분화된 맥락 인지 정책(fine-grained context-aware policies)으로 보안을 강화할 수 있다.

[사진: pixabay]



조건부 접근은  멀티 팩터 인증(multifactor authentication, MFA)을 포함해 사용자들이 특정 조건들을 이행하는 것에 기반해 기업 애플리케이션들과 데이터들에 접근할 수 있게 하는데 초점이 맞춰져 있다.

데이브 버튼에 따르면 많은 조직들은 제로 트러스트 접근 일환으로 MFA를 이미 도입했다. MFA는 강력한 사용자 아이덴티티 인증을 통해 전체적인 보안 상태를 향상시키고 있지만 크게 보면 제로 트러스트 모델의 일부일 뿐이다. MFA를 적용하고 나면 신뢰할 수 있는 기기 사용을 강제하는 것과 조건부 접근을 결합하는 것이 권장된다.

하지만 앞서 언급했던 것처럼 조건부 접근 통제는 차선이지 최선일 수는 없다. 조건부 접근 통제는 컴플라이언스를 따르는 기기들을 포함해 조건들에 부합하는 것에 기반해 접근을 승인하거나 차단하는 것에 제한돼 있다. 기기가 내부 컴플라이언스를 따르지 않을 경우에는 보통 문제가 해결될 때까지 접근이 차단된다. 이것은 사용자 생산성에 부정적인 영향을 미칠 수 있다.

조건부 통제의 다음 단계로 볼 수 있는 어댑티브 접근 통제는 이같은 문제 해결이 가능한 접근 방식으로 관심을 끌고 있다.

시장 조사 업체 가트너도 어댑티브 접근 통제를 신뢰 수준에 균형을 맞춰주는 맥락적인 인지 접근 통제 사례로 정의하고 있다. 어댑티브 접근 통제를 통해 사용자 경험을 개선하면서도 조직들은 접근 관련 리스크들을 보다 잘 해결할 수 있다는 것이다.


어댑티브 접근 통제와 디바이스 아이텐티티가 결합되고 있다

어댑티브 접근 통제에서 디바이스 아이덴티티가 갖는 중량감은 매우 크다.  디바이스 아이덴티티를 어댑티브 접근 통제와 결합하면 사용자와 디바이스 맥락으로 실시간으로 관리되는 접근 허가 환경을 구현할 수 있다.

예를 들면 조직은 서비스에 읽기만 가능한(read-only) 접근을 허용하거나 컴플라이언스를 따르지 않는 기기로 접근하는 사용자들은 파일들은 다운로드하지 못하도록 막을 수 있다. 이를 통해 내부 사용자들에 대한 접근 중단 없이 비즈니스 지속성을 유지하면서 생산적인 방법으로 어댑티브 제로 트러스트 접근을 제공할 수 있다.  어딥티브 접근 통제는 리스크 감소와 최종 사용자 생산성 사이에서 균형을 유지할 수 있도록 지원하는 효과적인 수단이다. 나아가  셀프 서비스(Self-service ) 또는 자동화된(automated) 옵션들을 포함해 중요한 서비스들에 대해 사용자들이 접근하는 것을 방해하지 않으면서 컴플라이언스를 따르지 않는 기기들에 대한 복원 옵션(remediation options)들도 제공한다.

인피니포인트 DIaaS는 엔터프라이즈들이 신뢰할 수 있는 기기들만 네트워크 접근이 가능하도록 지원한다. 내부 컴플라이언스 기준을 맞추지 못한 기기들에 대해서는 원클릭 업데이트로 통해 정책을 따를 수 있도록 지원한다.

데이브 버튼에 따르면 이미 얼리 어답터들은 제로트러스트 사용자 및 기기 보안을 위해 어댑티브 접근 통제를 다비이스 아이덴티티에 사용하고 있다.

인피니포인트는 어댑티브 접근 통제와 디바이스 아이덴티티 결합을 위해 다양한 기업들과 협력하고 있다. 클라우드 보안 업체인 넷스코프(Netskope)도 그중 하나다.

인피니포인트는 넷스코프와 제휴를 맺고 디바이스 아이덴티티와 상태(posture)에 대한 접근 통제를 지원한다. 양사 협력을 통해 넷스코프를 통해 서비스들에 연결할 때 인피니포인트 DIaaS는 엔드포인트들이 안전하고 지속적으로 컴플라이언스를 다를 수 있도록 지원한다. 문제가 있으면 원클릭으로 개선할 수 있는 환경을 제공한다.

#제로트러스트 #디바이스보안 #DIaaS #인피니포인트 #넷스코프 #접근통제 #어댑티브접근통제


2 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.