클라우드-B2B SaaS 시대, 제로 트러스트 보안인가

2022-03-07
조회수 115

코로나 19 상황 속에 기업들이 쓰는 IT인프라 환경에도 변화가 거세다. 변화가 가는 방향은 클라우드 컴퓨팅 서비스와 B2B SaaS 확산으로 요약된다.

IT인프라 구조에 세대교체가 이뤄지면 보안 전략도 달라질 수 밖에 없다. B2B SaaS와 클라우드 확산과 함께 떠오르는 보안 패러다임이 있으니 바로 제로 트러스트(Zero trust ) 보안 모델이다. 제로 트러스트는 구체적인 제품이나 스펙이 정해져 있는 기술이라기 보다는 보안에 접근하는 큰틀의 개념에 가깝다.

제로 트러스트는 지난 수십 년 간 기업 보안 환경을 지배해온 위험한 것들은 일단 내부에 못들 오게 봉쇄하는, 이른바 성과 해자(Castle and Moat)' 사고 방식과 근본적으로 결별하는 메시지를 담고 있다.

[사진: Pixaby]


달라진  환경, 이제  새로운 보안이 필요하다

대표적인 기업 보안 제품 중 하나인 방화벽(Firewall)은 기업 네트워크 보호를 위해 침입자들을 막는데 초점이 맞춰져 있다.

원천봉쇄를 목표로 한 성과 해자 모델은 기업들이 쓰는 애플리케이션들이 회사 소유 데이터센터와 서버들에서 돌아갔을 때 통한 방식이었다. 사용자들은 대부분 사무실에 앉아 회사 소유 PC들을 내부 네트워크에서 쓸 때 성과 해자 모델은 먹혀들 수 있다.

하지만 직원들이 이런 환경에서 일하고 있는 회사는 요즘은 많지 않을 것이다. 지금 기업 업무 환경은 사무실과 재택, 그리고 원격 근무가 버무려진 경우가 일반적이다. 코로나 19 팬데믹 이후 원격과 재택 비중은 더욱 커졌다. 코로나19 상황이 끝난다고 해도 사무실 근무 비중이 늘기는 하겠지만 많은 기업들이 분산되고 유연한 근무 환경 패턴을 유지한다는 것에 큰 변화는 없을 것이다. 회사 밖에서 회사가 제공한 노트북 아니면 개인 휴대폰 및 기기들로 집이나 커피숍에서 업무를 하는 것은 이미 익숙한 장면이 됐다.

업무 인프라 환경도 마찬가지다. 현대 기업 인프라는 기업들이 소유한 자체 데이터센터에 외부 퍼블릭 클라우드를 섞어쓰는 하이브리드 클라우드 환경이 대세가 됐다. 자체 데이터센터를 없애고 클라우드 기반으로 아예 전환하는 사례들도 있지만 기업들 대부분은 비중은 제각각이지만 여전히 자체 데이터센터와 퍼블릭 클라우드를 혼합해 운영하고 있다. 애플리케이션 환경을 보면 구축형 애플리케이션 중심 구조에서 B2B SaaS 비중이 커지는 흐름으로 바뀌는 양상이다. 코로나 19 상황으로 B2B SaaS가 기업 환경을 침투하는 속도는 더욱 빨라졌다.

원격과 재택 근무가 확산되고, 클라우드와 B2B SaaS 중심으로 IT인프라 환경이 바뀌는 상황에서 의심되는 사용자, 애플리케이션, 디바이스는 아예 막아버리는 성과 해자 모델은 근본적인 한계에 직면했다는 지적이 많다. 제로 트러스트의 부상도 이같은 상황을 밑바탕에 깔고 있다.


네트워크부터 인증까지, 제로 트러스트 보안 혁신 가속

위험한 것들은 아예 들어오지 못하게 막는 성과 해자 모델과 달리 제로 트러스트는 공격자가 내부에 이미 침입해 있다는 상황을 전제로 하고 있다.

성과 해자 모델은 어떤 애플리케이션과 사람들, 그리고 기기들이 네트워크에 들어오도록 허락할지 설정하는 것으로 시작하지만 제로 트러스트는 통과 아니면 거부가 아니라 보다 세분화된 접근 방식을 취한다. 사용자와 애플리케이션, 그리고 디바이스와 네트워크 간 인터랙션이 안전한지 판단하기 위해 앱의 특성 및 사용자, 그리고 다른 요소들까지 고려해 상황에 맞게 다양한 시나리오로 통제를 한다.

공인된 것은 아니지만 국내외에서 나오는 자료들을 보면 제로 트러스트는 크게 3가지 원칙으로 이뤄진다. 명백한 검증(explicit verification), 최소 권한을 가진 접근(least-privileged access)사용자가 침해를 당했다는 가정 바로 그것이다. 이같은 제로 트러스트 원칙 아래 애플리케이션, 사용자, 그리고 기기들은 모든 세션(session) 전에 신원을 증명해야 한다. 인증이 되더라도 최소한으로만 기업 데이터와 애플리케이션에 접근할 수 있다.

인증이 한번 이뤄졌다고 끝이 아니다. 인증은 수시로 일어날 수 있다. 사용자가 인증을 통해 네트워크에 들어온 후에도 특정 시스템이나 파일에 접근할 수 있는지 검증하기 위해 백그라운드에서 끊임없이 오가는 정보를 체크하게 된다.

제로 스트러스 보안을 수준 높게 적용했다고 해도 보안 위협을 당할 수 있다. 그럼에도 기업 네트워크 밖에 있는 퍼블릭 클라우드와 B2B SaaS가 확산되는 상황에서 성과 해자보다는 제로 스러스트가 보다 현실적인 보안 위협 대응 모델이라는 목소리가 커지고 있다. 유력 빅테크 및 보안 전문 회사들도 제로 트러스트를 중심으로 판을 다시 짜고 있고, 미국의 경우 정부 차원에서 제로 트러스트에 기반한 보안 전략을 강조하고 있는 상황이다.

제로 트러스트 환경을 구현하려면 네트워크 및 보안, 인증, 엔드포인트 측면에서 모두 변화가 요구된다. 네트워크의 경우 네트워크와 보안을 융합한 개념인 SASE(Secure access service edge)가 클라우드와 B2B SaaS에 대응하는 패러다임으로 부상했다.

기업 IT 관리자들 입장에선 SaaS 사용이 늘고 원격 근무가 확산되는 상황은 사용자가 접속해서 무엇을 하는지, 특정 사용자가 어떤 애플리케이션에 어느 정도 수준으로 접근하도록 할지, 어디에서 접속하는지 등을 감시해야 리스크를 관리할 수 있다는 것을 의미한다.

SASE는 이를 효과적으로 수행할 수 있도록 지원하는 네트워크 및 보안 방식이라고 할 수 있다. 다음 기회에 좀더 설명하겠지만 SASE는 구축형 보안 인프라 모델로는 구현하는 것이 쉽지 않다. SASE 솔루션들이 구독 기반 B2B SaaS 서비스 모델 중심으로 나오는 이유다.

제로 트러스트 바람을 타고 인증 시장도 변화가 급물살을 타는 분위기다. 인증이라는 프로세스는 쓰는 사람 입장에선 기본적으로 번거로울 수 밖에 없다. 과유불급이라고, 안전하다고 해도 너무 복잡한 인증은 사용자들의 거부감을 살 수 있다. 사용성 훼손이 생산성 저하로 이어질 수도 있다. 이에 따라 요즘은 사용성과 보안 두마리 토끼를 모두 잡는 인증 솔루션을 제공하기 위한 관련 업계 행보도 빨라지고 있다. 인증 관련해 다양한 문제들을 해결하려는 스타트업들 움직임도 눈에 띈다.

제로 트러스트를 구성하는 요소들은 SASE와 인증 외에도 다양한 분야에 걸쳐 있다. 엔드포인트 측면에서 이뤄지는 행보 및 AI 활용한 사례들도 눈길을 끈다. 

제로 트러스트와 관련해 다룰 수 있는 얘깃거리들은 앞으로도 계속 늘어날 것이다. 여기에 맞춰 보안 생태계 판세와 기업 보안 전략에도 상당한 변화가 있을 것이다. 변화의 디테일은 어떤 모습일까? 클라우드와B2B SaaS 시대, 보안 시장에도 아주 흥미로운 게임이 시작됐다.

3 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.