디바이스는 왜 제로 트러스트 보안에서 취약지대가 되었나

제로 트러스트 보안에서 다뤄지는 키워드들은 여러가지들인데, 이중 사용자들이 네트워크 및 애플리케이션들에 대해 접근할 때 철저한 인증을 거치는 것에 대한 관심이 높다. 

여기에서 사용자는 사람만 의미하는 건 아니다. 사람들이 쓰는 기기들 역시 큰틀에서 보면 사용자다.  그런 만큼, 디바이스 아이덴티티(Identity)를 제로 트러스트 모델로 검증하고 관리하는 것에 대한 관심도 높아지고 있다.

그러나 현장 상황은 좀 다른 것 같다. 제로 트러스트 모델을 구현할 때 디바이스들에 대한 보안은 상대적으로 간과될 때가 많다는 지적이다.  이같은 상황은 조직들 IT보안에서 기기들이 취약한 지점으로 남는 결과로 이어진다. 보안에 취약한 기기를 쓰는 사용자가 특별한 통제를 받지 않고 민감한 데이터와 서비스에 접근할 가능성이 높아지면서 리스크도 그만큼 커졌다.  기기들이 보안에 문제가 있으면 사용자 인증과 네트워크 환경이 제로 트러스트 원칙 아래 관리 된다고 해도 무용지물일 수 밖에 없다.

이에 따라 제로 트러스트 보안에서 디바이스 아이덴티티(Device-Identity)를 둘러싼 문제를 해결하려는 관련 업체들 행보도 빨라지고 있다.  인피니포인트(nfinipoint)도 그중 하나. 

인피니포인트는 조직들이 워크스테이션과 모바일 기기들에 제로 트러스트 모델을 구현할 수 있도록 서비스형 디바이스 아이덴티티(Device-Identity-as-a-Service: DIaaS) 솔루션을 제공하고 있다.

[사진: pixabay]


디바이스 제로 트러스트 보안, 관심 높지만 실행은 저조...왜?

제로 트러스트 담론에서 디바이스 아이덴티티는 꾸준히 다뤄져온 주제다. 하지만 현장에서 디바이스 아이덴티티 관리를 제로 트러스트 관점에서 구현한 경우는 상대적으로 낮은 것으로 파악되고 있다.

2022년 3월 인피니포인트과  버추얼 인텔리전스 브리핑(Virtual Intelligence Briefing, ViB)이 IT 및 보안 전문가 388명을 조사한 결과에 따르면 제로 트러스트 보안에서 디바이스 아이덴티티에 대한 관심은 높지만 현장에서 구현되는 비중은 낮은 것으로 나타났다. 

조사 결과를 구체적으로 살펴보자.

조사에 참여한 응답자 68% 응답자는 디바이스 보안에 제로 트러스트 접근을 사용할 계획이라고 답했지만 56%는 현재 관련 모델을 수행하지 않고 있다고 했다. 의사와 행동 사이에 상당한 차이가 있는 셈이다. 

응답자 30% 정도는 제로 트러스트 실행을 완료했거나 진행 중이라고 답했다. 조직 내에서 액티브 제로 트러스트 모델(active Zero Trust model)을 보유한 이들만 좁혀서 보면 42%만이 기기들에 제로 트러스트 보안을 구현했다고 했다. 제로 트러스트 구현에 있어 디바이스는 네트워크, 사용자 접근, 애플리케이션 뒤로 밀렸다.

제로 트러스트 보안에서 디바이스 부분이 취약한 것은 구현 과정에서 발생하는 장애물들과 무관치 않다.

이번 조사 결과를 보면 IT지원 문제들에 대한 우려(concerns around IT support issues), 관리적인 부담(administrative burden), 최종 사용자 접근에 어려움(disruption to end user access), 복원 옵션들 부족(lack of remediation options) 등이 디바이스 접근을 제로 트러스트 모델로 관리하는 것을 가로막는 걸림돌들로 꼽혔다.

응답자들 중 33%는 치명적인 취약점들에 대한 패치 레벨 소프트웨어 업데이트를 내부에서 직면한 가장 큰 보안 과제로 꼽았고, 31%는 어느 기기들에 어느 서비스에 접근하는지에 대해 가시성을 확보하는 것도 도전이라고 답했다.

원격 및 재택 근무 환경이 확산되면서 디바이스가 기업 보안에 미치는 위협은 점점 커지고 있다. 인피니포인트 조사 결과 IT 및 보안 전문가 82%가 원격 근무 확산은 전반적으로 조직 차원에서 리스크를 키웠다는데 동의한 것은 사실 놀라운 결과로 보기 어렵다. 예상 가능한 반응이다.

반면 커진 위협에 대한 대응 측면에서 보면 원격 근무 확산에 따른 보안 리스크에 조직들이 적절한 대응 역량을 갖췄다고 보기는 어려운 수준이다.

이번 조사 결과 27%만이 회사 애플리케이션들에 연결되는 엔드유저 기기들이 안전하다는  것을 매우 확신한다(very confident)고 답했다. 63%는 다소 확신한다(somewhat confident)는 반응을 보였다.

이어 69%는 위협을 줄이기 위해 회사 보안 정책을 따른다고 검증된 기기들만 회사 서비스와 애플리케이션들에 접근하는 것이 아주 중요하다고 답했다. 54%는 사용자 접근에 대한 지속적인 보안 상태 체크는 매우 중요하다고 답했다.

그런데도 보안 상태 체크를 하고 있다고 응답한 비중은 28%에 불과했다. 상태 체크를 지속적으로 한다고 답한 비중은 더 낮았다. 보안 상태 체크를 한다고 답한 이들 중 35%만 이를 지속적으로 하는 것으로 파악됐다.

[인피니포인트 제품 개요]


기존 솔루션으로는 한계, 실용적인 디바이스 제로트러스트 보안으로 승부

인피니포인트 조사에 따르면 기기 관련 위협을 막기 위해 응답자 73%는 방화벽에 의존하고 있다.

70%는 멀웨어 또는 안티바이러스 보호 솔루션을, 68%는 엔드포인트 보호 플랫폼(endpoint protection platforms (EPP)을 실행하고 있다. 

XRP(extended detection and response)을 사용하다고 답한 비중은 51%였다. 그럼에도 이들 솔루션들을 결합한다고 해도 디바이스 보안에 대한 확신은 낮은 상황이란게 인피니포인트 지적이다.

인피니포인트는 기존 솔루션들 만으로 디바이스 취약점을 해결하는 것은 한계가 있으며, 해법은 디바이스에도 제로 트러스트 모델을 적용하는 것이라고 강조하고 있다. 

하지만 기존 솔루션들은 구현 과정에서 발생하는 문제들을 완전히 해결하지 못했다고 인피니포인트는 지적한다.

랜 램퍼트(Ran Lampert) 인피니포인트 공동 창업자 겸 CEO는 "인피니포인트 DIaaS는 이들 장애물들을 해결했다. 디바이스 접근에 제로 트러스트 원칙들을 간단하고 보다 자동화되고 확장성 있는 방식으로 적용할 수 있게 해준다. 마찰이 없고, 생산적인 엔드유저 경험을 제공한다"고 치켜세웠다.

회사측에 따르면 인피니포인트 DIaaS는 제로 트러스트 관점에 기반한 광범위한 기기 아이덴티티 및 상태(posture) 관리 솔루션으로  싱글사인온(Single-Sign-On: SSO)에 한 부분으로 통합돼 있다.

인피니포인트 DIaaS는 조직들이 사용자 디바이스(user-device-service) 시퀀스(sequence, 연속적인 사건들)에 기반해 접근을 지속적으로 통제할 수 있도록 지원한다. 위협 인텔리전스를 기반으로 정적 그리고 동적 정책들을 실행하고  디바이스 보안 상태와 발견된 취약점들에 대해 독자적인 원클릭 복원(one-click remediation) 환경도 제공한다. 

클리우드 기반 완전 매니지드 서비스 모델로 제공되며 규모와 성능 및 간소화된 관리도 특징이라고 회사측은 설명한다.

인피니포인트는 자사 DIaaS에 대해 가트너와 미국 국립표준기술연구소(National Institute of Standards and Technology: NIST) 가이드 및 구글 내부 베스트 프랙티스를 반영했다는 점도 강조한다.

#제로트러스트 #디바이스보안 #DIaaS #인피니포인트, 


2 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.