원격 근무와 B2B SaaS 환경에 적합한 제로 트러스트가 새로운 보안 패러다임으로 관심을 끌면서 점점 주목받는 기술이 있으니 바로 제로 트러스트 네트워크 액세스(zero-trust network access, ZTNA)다.
기업들이 네트워크에 대한 다양한 접속을 세분화해 관리하고 통제할 수 있도록 지원하는 ZTNA는 언제부터인가 제로 트러스트 보안 관련 소식들에서 단골로 언급되는 핵심 기술 키워드들 중 하나로 떠올랐다.
기술 분야에서 패러다임이 바뀔 때는 뜨는 해들이 있으면, 지는 해들도 있게 마련이다. ZTNA가 떠오르는 기술로 대접을 받으면서, 존재감이 상대적으로 약해진 기술이 있으니 바로 가상사설망(Virtual private network, VPN)이다. 제로 트러스트 담론에선 한시대를 풍미한 VPN의 후계자로 ZTNA를 주목하는 흐름이 두드러지는 분위기다.
[사진: pixabay]
왜 VPN 대신 ZTNA를 주목하는가
VPN은 그동안 기업들이 원격 근무자들이 내부 네트워크에 안전하게 접근할 수 있게 해주는 현실적인 수단으로 통했다. VPN은 방화벽과 함께 네트워크 보안 시장을 대표하는 솔루션 중 하나였다.
하지만 클라우드 기반 업무 환경이 부상하고, 코로나 19 상황 속에 여러 기업들이 분산된 근무 환경으로의 전환을 가속화하면서 VPN은 이런저런 한계를 노출하고 있다는 지적을 받고 있다. 보다 많은 정보들이 클라우드에 존재하고, 회사 밖 네트워크에 근무하는 직원들이 증가하는 가운데, VPN은 규모와 유연성 그리고 효과 측면에서 모두 기대치를 맞추기는 중량감이 떨어진다는 것이 한계론의 골자다.
VPN은 기존 퍼블릭 또는 프라이빗 네트워크 상에서 전용 회로(dedicated circuits) 또는 터널링(tunneling) 기술을 사용해 원격지에 있는 직원들이 기업 네트워크에 안전하게 접근할 수 있는 환경을 제공한다. VPN은 페리미터에 초점을 맞춘(perimeter-focused), 다시 말해 경계를 중심으로 하는 보안 전략을 상징하는 기술 중 하나다. 페리미터 기반 보안에선 네트워크 밖에 있는 건 신뢰하지 않고 네트워크 안에 있는 건 신뢰한다.
하지만 요즘 기업 환경을 고려하면 이같은 방식 현실성이 떨어진다. 이제 기업 데이터는 퍼블릭과 프라이빗 클라우드, 또는 온프레미스(내부 구축 인프라) 환경에 존재한다. 기업들은 자본 비용을 줄이고 운영 측면에서 민첩성을 개선하기 위해 점점 클라우드 기반 서비스들과 플랫폼으로 전환하고 있다.
VPN으로 이를 커버하기는 무리며, ZTNA 중심으로 원격 접속 환경을 꾸리는 것이 현실적이라는 목소리가 커지고 있다. VPN은 전체 인터넷 연결을 안전하게 하는데 초점이 맞춰진 반면 ZTNA는 특정 자원에 대한 접근만 허가하고 수시로 인증을 요청할 수 있도록 지원한다.
최소 권한 원칙을 지원하는 요소 기술로 부상하다
제로 트러스트는 명백한 검증(explicit verification), 최소 권한의 원칙(Principle of least privilege), '사용자가 침해를 당했다는 가정'이라는 3가지 요소에 기반한다. ZTNA는 이중 최소 권한의 원칙을 구현할 수 있도록 지원하는 기반 기술로 통한다.
ZTNA 기반 환경에서 사용자는 ZTNA 서비스 인증을 거쳐야만 특정 애플리케이션들 또는 자원들에 접근할 수 있는 승인을 얻을 수 있다.
ZTNA는 사용자가 접근에 대한 적절한 허가를 갖고 있지 않은 다른 앱들과 서비스들까지 볼 수 있는 것을 막아준다. 또 공격자가 접근 권한을 확보했다고 해도 이걸로 공격 가능한 다른 서비스들을 찾을 수 없도록 차단하는 역할을 할 수 있다.
큰틀에서 ZTNA는 SASE 솔루션을 뒷받침하는 중요한 축이다. 서비스형 방화벽(Firewall as a Service, FWaaS), 시큐어웹 게이트웨이(Secure Web Gateway, SWG), 클라우드 액세스 시큐리비 브로커(Cloud Access Security Broker, CASB) 솔루션들이 실전에서 효과를 내도록 지원하는 기반 기술로서 점점 관심을 끌고 있다.
ZTNA를 통해 기업 직원들은 VPN 없이 어디서나 어떤 기기로든 내부 시스템과 네트워크에 접근할 수 있다. 개인이 보유한 기기로 회사 일도 하는 이른바 BYOD(Bring your own device) 환경에도 이상적이다.
ZTNA는 기존 페리미터 기반 보안 네트워크 모델과는 근본적으로 다르다. 예전처럼 기기들을 신뢰할 수 있는 존(Zone)에 두고, 네트워크 자원들에 자유롭게 전급하도록 승인하는 방식이 아니라, 처음부터 아예 어떤 기기도 신뢰하지 않는다는 전제를 깔고 출발한다. 사용자가 신뢰를 받는 존에 있어도 네트워크 자원들에 대한 접근을 승인받기 위해서는 추가적인 인증들을 거친다.
ZTNA는 인증(authentication)과 허가(authorization)을 사용해 자원들에 대한 네트워크 접근을 승인한다. 인증에는 비밀번호, 생체인증 토큰 등의 수단이 사용되고 허가는 각각의 사용자 역할과 허락(permissions)에 기반한다.
ZTNA 모델에서 ID 관리 시스템은 자격(credentials)을 저장하고 있는 어떤 기기에 대한 인증을 수행한다. 이 과정에서 해당 기기는 위치, 사용자 행동, 날짜 등 몇몇 요인들에 기반한 신뢰 스코어(trust score)를 갖게 된다. 신뢰 스코어가 높으면 인증이 자동으로 이뤄질 수 있지만, 그 반대일 경우 사용자는 번거로운 절차를 밟아야할 수 있다.
ZTNA는 네트워크 접근 제어(network access control, NAC), 보안 정보 및 이벤트관리(security information and event management, SIEM) 기술 들간 조합으로도 이뤄진다. 이를 기반으로 신원, 기기, 사용자, 애플리케이션, 데이터를 관리한다.
NAC의 경우 허가되지 않거나 관리되지 않는 기기들로부터 네트워크를 보호하기 위한 정책을 강제하는데 사용된다. SIEM은 사용자 행동 패턴을 분석하고 비정상적이라고 판단될 경우 잠재적인 공격이나 데이터 침해를 예고할 수 있다.
요즘 제로트러스트 관련 소식들을 접하다 보면 ZTNA에 다양한 출신 성분의 유력 회사들이 다리를 걸치고 있다는 것을 볼 수 있다. ZTNA를 기반 기술로 활용해 SWG, CASB 같은 제품을 제공하는 곳들도 있고 ZTNA를 플랫폼으로 선보이는 곳들도 있다. 분명한 것은 ZTNA가 점점 제로 트러스트 경쟁의 격전지로 부상하고 있다는 것이다. 인수합병과 관련 스타트업들에 대한 투자도 활발하다. 업계 움직임을 보면 ZTNA에 대한 업계 행보는 더욱 공격적이고, 빨라지는 방향으로 진행될 가능성이 높다. 해외는 이미 그렇고 한국 시장도 ZTNA가 전략적 요충지로 떠오르는 흐름이 가시화되고 있다.
#제로트러스트 #보안 #ZTNA #VPN #인증 #NAC #SIEM
원격 근무와 B2B SaaS 환경에 적합한 제로 트러스트가 새로운 보안 패러다임으로 관심을 끌면서 점점 주목받는 기술이 있으니 바로 제로 트러스트 네트워크 액세스(zero-trust network access, ZTNA)다.
기업들이 네트워크에 대한 다양한 접속을 세분화해 관리하고 통제할 수 있도록 지원하는 ZTNA는 언제부터인가 제로 트러스트 보안 관련 소식들에서 단골로 언급되는 핵심 기술 키워드들 중 하나로 떠올랐다.
기술 분야에서 패러다임이 바뀔 때는 뜨는 해들이 있으면, 지는 해들도 있게 마련이다. ZTNA가 떠오르는 기술로 대접을 받으면서, 존재감이 상대적으로 약해진 기술이 있으니 바로 가상사설망(Virtual private network, VPN)이다. 제로 트러스트 담론에선 한시대를 풍미한 VPN의 후계자로 ZTNA를 주목하는 흐름이 두드러지는 분위기다.
[사진: pixabay]
왜 VPN 대신 ZTNA를 주목하는가
VPN은 그동안 기업들이 원격 근무자들이 내부 네트워크에 안전하게 접근할 수 있게 해주는 현실적인 수단으로 통했다. VPN은 방화벽과 함께 네트워크 보안 시장을 대표하는 솔루션 중 하나였다.
하지만 클라우드 기반 업무 환경이 부상하고, 코로나 19 상황 속에 여러 기업들이 분산된 근무 환경으로의 전환을 가속화하면서 VPN은 이런저런 한계를 노출하고 있다는 지적을 받고 있다. 보다 많은 정보들이 클라우드에 존재하고, 회사 밖 네트워크에 근무하는 직원들이 증가하는 가운데, VPN은 규모와 유연성 그리고 효과 측면에서 모두 기대치를 맞추기는 중량감이 떨어진다는 것이 한계론의 골자다.
VPN은 기존 퍼블릭 또는 프라이빗 네트워크 상에서 전용 회로(dedicated circuits) 또는 터널링(tunneling) 기술을 사용해 원격지에 있는 직원들이 기업 네트워크에 안전하게 접근할 수 있는 환경을 제공한다. VPN은 페리미터에 초점을 맞춘(perimeter-focused), 다시 말해 경계를 중심으로 하는 보안 전략을 상징하는 기술 중 하나다. 페리미터 기반 보안에선 네트워크 밖에 있는 건 신뢰하지 않고 네트워크 안에 있는 건 신뢰한다.
하지만 요즘 기업 환경을 고려하면 이같은 방식 현실성이 떨어진다. 이제 기업 데이터는 퍼블릭과 프라이빗 클라우드, 또는 온프레미스(내부 구축 인프라) 환경에 존재한다. 기업들은 자본 비용을 줄이고 운영 측면에서 민첩성을 개선하기 위해 점점 클라우드 기반 서비스들과 플랫폼으로 전환하고 있다.
VPN으로 이를 커버하기는 무리며, ZTNA 중심으로 원격 접속 환경을 꾸리는 것이 현실적이라는 목소리가 커지고 있다. VPN은 전체 인터넷 연결을 안전하게 하는데 초점이 맞춰진 반면 ZTNA는 특정 자원에 대한 접근만 허가하고 수시로 인증을 요청할 수 있도록 지원한다.
최소 권한 원칙을 지원하는 요소 기술로 부상하다
제로 트러스트는 명백한 검증(explicit verification), 최소 권한의 원칙(Principle of least privilege), '사용자가 침해를 당했다는 가정'이라는 3가지 요소에 기반한다. ZTNA는 이중 최소 권한의 원칙을 구현할 수 있도록 지원하는 기반 기술로 통한다.
ZTNA 기반 환경에서 사용자는 ZTNA 서비스 인증을 거쳐야만 특정 애플리케이션들 또는 자원들에 접근할 수 있는 승인을 얻을 수 있다.
ZTNA는 사용자가 접근에 대한 적절한 허가를 갖고 있지 않은 다른 앱들과 서비스들까지 볼 수 있는 것을 막아준다. 또 공격자가 접근 권한을 확보했다고 해도 이걸로 공격 가능한 다른 서비스들을 찾을 수 없도록 차단하는 역할을 할 수 있다.
큰틀에서 ZTNA는 SASE 솔루션을 뒷받침하는 중요한 축이다. 서비스형 방화벽(Firewall as a Service, FWaaS), 시큐어웹 게이트웨이(Secure Web Gateway, SWG), 클라우드 액세스 시큐리비 브로커(Cloud Access Security Broker, CASB) 솔루션들이 실전에서 효과를 내도록 지원하는 기반 기술로서 점점 관심을 끌고 있다.
ZTNA를 통해 기업 직원들은 VPN 없이 어디서나 어떤 기기로든 내부 시스템과 네트워크에 접근할 수 있다. 개인이 보유한 기기로 회사 일도 하는 이른바 BYOD(Bring your own device) 환경에도 이상적이다.
ZTNA는 기존 페리미터 기반 보안 네트워크 모델과는 근본적으로 다르다. 예전처럼 기기들을 신뢰할 수 있는 존(Zone)에 두고, 네트워크 자원들에 자유롭게 전급하도록 승인하는 방식이 아니라, 처음부터 아예 어떤 기기도 신뢰하지 않는다는 전제를 깔고 출발한다. 사용자가 신뢰를 받는 존에 있어도 네트워크 자원들에 대한 접근을 승인받기 위해서는 추가적인 인증들을 거친다.
ZTNA는 인증(authentication)과 허가(authorization)을 사용해 자원들에 대한 네트워크 접근을 승인한다. 인증에는 비밀번호, 생체인증 토큰 등의 수단이 사용되고 허가는 각각의 사용자 역할과 허락(permissions)에 기반한다.
ZTNA 모델에서 ID 관리 시스템은 자격(credentials)을 저장하고 있는 어떤 기기에 대한 인증을 수행한다. 이 과정에서 해당 기기는 위치, 사용자 행동, 날짜 등 몇몇 요인들에 기반한 신뢰 스코어(trust score)를 갖게 된다. 신뢰 스코어가 높으면 인증이 자동으로 이뤄질 수 있지만, 그 반대일 경우 사용자는 번거로운 절차를 밟아야할 수 있다.
ZTNA는 네트워크 접근 제어(network access control, NAC), 보안 정보 및 이벤트관리(security information and event management, SIEM) 기술 들간 조합으로도 이뤄진다. 이를 기반으로 신원, 기기, 사용자, 애플리케이션, 데이터를 관리한다.
NAC의 경우 허가되지 않거나 관리되지 않는 기기들로부터 네트워크를 보호하기 위한 정책을 강제하는데 사용된다. SIEM은 사용자 행동 패턴을 분석하고 비정상적이라고 판단될 경우 잠재적인 공격이나 데이터 침해를 예고할 수 있다.
요즘 제로트러스트 관련 소식들을 접하다 보면 ZTNA에 다양한 출신 성분의 유력 회사들이 다리를 걸치고 있다는 것을 볼 수 있다. ZTNA를 기반 기술로 활용해 SWG, CASB 같은 제품을 제공하는 곳들도 있고 ZTNA를 플랫폼으로 선보이는 곳들도 있다. 분명한 것은 ZTNA가 점점 제로 트러스트 경쟁의 격전지로 부상하고 있다는 것이다. 인수합병과 관련 스타트업들에 대한 투자도 활발하다. 업계 움직임을 보면 ZTNA에 대한 업계 행보는 더욱 공격적이고, 빨라지는 방향으로 진행될 가능성이 높다. 해외는 이미 그렇고 한국 시장도 ZTNA가 전략적 요충지로 떠오르는 흐름이 가시화되고 있다.
#제로트러스트 #보안 #ZTNA #VPN #인증 #NAC #SIEM