제로트러스트에도 새로운 패러다임이 필요하다

기업의 보안을 유지할 때 가장 중요한 미덕은 무엇일까? ‘불신’이다. 아무도 믿지 말고, 끊임 없이 계속해서 검증하라는 뜻의 ‘제로트러스트’는 지난 2010년 이후 기업 보안 활동의 표준이 되어 왔다. 그러나 이 제로트러스트에도 변화가 필요한 시점이다. 코로나 팬데믹 이후 기업의 업무 활동에 근본적인 변화가 생겼기 때문이다.

장성민 팔로알토네트웍스 상무는 최근 바이라인네트워크가 주최한 클라우드 네이티브 보안 웹세미나에서 ‘제로트러스트의 새로운 패러다임 ZTNA2.0’을 주제로발표했다.

ZTNA는 제로트러스트 네트워크 액세스의 약자로, 제로트러스트를 구현하는 가장 기본적인 도구를 말한다. 장성민 상무는 “기업의 환경이 클라우드, 그리고 서비스형 소프트웨어(SaaS) 애플리케이션 사용으로 변화하면서 제로트러스트가 가장 중요한 역할을 수행하게 됐다”면서 “그러나 기업의 업무 환경 변화로 기존의 ZTNA로는 막을 수 없는 부분이 생겨났다”고 설명했다.

장성민  팔로알토네트웍스 상무, 프리즈마 CTO 

코로나 이후 달라진 보안 환경

지난 2년 기업의 업무 환경을 바꾼 것은 코로나 팬데믹이다. 원래 기업들은 주요한 데이터나 업무 애플리케이션을 데이터 센터에 놓고 이용해왔다. 그러나 팬데믹 이후에는 기업의 중요한 데이터들이 SaaS 벤더의 클라우드로 옮겨 가는 추세다. 임직원도 원격, 하이브리드 근무 환경에서 클라우드를 통해 앱에 직접 연결해 업무를 보게 된다. 기존처럼 보안 장비를 거치지 않기 때문에, 코로나 이전 대비 더 많은 사이버 보안 공격을 받고 있다는 것이 장 상무의 설명이다.

상황이 바뀌면 보안을 위한 도구도 달라져야 한다. 제로트러스트가 10년도 전에 등장한 개념이라는 것을 감안하면, 코로나 이후 바뀐 환경에 따라 ZTNA도 바뀌는 것이 바람직하다는 뜻이다. 기업의 모든 애플리케이션과 서비스가 회사의 데이터센터에 위치해 있는 것을 감안해 고려된 기존의 1세대 ZTNA는 하이브리드 멀티 클라우드 환경에 대한 고려가 없다.

장성민 상무는 “글로벌 팬데믹 이후에 가장 많이 변화된 환경은 바로 SaaS 애플리케이션의 폭발적인 증가”라며 “변화한 IT환경에서 데이터 보호를 기존 데이터센터와 동일하게 할 수 있을 것인가에 대한 고려가 필요하다”고 강조했다.

문제는, 시중에 나와 있는 제품들이 ZTNA 1.0을 기반으로 만들어졌기 때문에 달라진 환경을 충분히 반영하기 어렵다는 점이라고 장 상무는 지적했다. 사용자가 기업 내외 애플리케이션에 접속할 때 ZTNA 1.0은 애플리케이션을 IP와 포트(port)로 정의해 버린다. 이 경우, ZTNA의 주요한 원칙인 ‘최소 권한 접근제어’를 위배하게 된다. 사용자의 접속 요청을 받아들여 허가를 내릴 때 필요 이상의 너무 많은 권한이 제공된다는 이야기다.

아울러 일단 한 번 접속 요청을 해서 신뢰를 검증하게 되면 나머지 부분, 하위 세션까지도 아무런 보안 검사를 하지 않는다는 점도 문제가 될 수 있다. 한번 인증을 시작하게 되면 ZTNA를 사용하는 모듈이나 솔루션에 대해 별도의 애플리케이션 보안 검사를 진행하지 않는데, 이 경우 허가된 포트나 IP를 통해 들어오는 여타 악성코드 등에 대해서도 추가 검사를 실시할 수 없게 된다. 한번 비밀번호를 따고 집 안으로 들어온 사람에 대해서는 그 어떤 의심도 하지 않고 모든 방을 들락날락 할 수 있게 해주는 것과 마찬가지의 문제가 ZTNA 1.0의 허점으로 볼 수 있다. 이경우 중요한 데이터를 보호할 수 없게 되는 큰 문제가 생긴다.

따라서 장성민 상무는 “팔로알토네트웍스는 2022년을 새로운 ZTNA를 시작하는 해로 보고 있다”며 “ZTNA 1.0를 대체할 수 있는 ZTNA 2.0을 출시하게 된 배경”이라고 설명했다.

ZTNA 2.0의 다섯가지 주요 원칙

장 상무에 따르면 ZTNA 2.0은 다섯가지 주요 원칙을 갖고 있다. 이 원칙은 ▲최소 권한 접근제어 ▲끊임없는 트러스트 검증 ▲끊임없는 보안 검사 ▲모든 데이터 보호 ▲모든 애플리케이션 보호를 포함한다.

우선, 최소 권한 접근제어는 앱ID나 사용자 ID, 또는 디바이스 ID를 기반으로 네트워크에 접근한 이용자에게 최소한의 권한만 제공하는 것을 뜻한다. 또, 한번 신뢰한 대상에 대해서는 검증이 없었던 1세대와는 달리 디바이스의 상태, 사용자 행위, 앱 행위가 달라질 때마다 액세스 권한을 제한함으로써 끊임없는 트러스트 검증을 실행하고 문제가 발견될 경우 접근을 차단하는 것이 ZTNA 2.0의 두번째 원칙이다.

세번째, 끊임없는 보안 검사는 제로데이 위협을 포함한 모든 위협을 방지하기 위한 것이다. 아무리 신뢰가 검증됐다고 하더라도 일단 허용된 연결에 대해서는 모든 트래픽을 지속적으로 심층 검사하도록 한 것이 여기에 해당한다. 네번째는 데이터 보호와 관련한 것인데, 클라우드 액세스 시큐리티 브로커(CASB)와 데이터 손실방지(DLP) 정책으로 프라이빗이나 SaaS 앱을 막론하고 모든 데이터를 보호하는 것을 뜻한다.

마지막으로, 모든 애플리케이션 보호가 있다. 이는 애플리케이션 ID를 기반으로, 프라이빗과 클라우드 네이티브, SaaS 등 현재 기업이 사용하는 모든 애플리케이션을 검사해 일관된 보호를 제공하는 것을 목표로 한다.

장 상무는 “최근 기업들이 많이 쓰는 팀즈나 줌, 슬랙, 지라와 같은 허가된 애플리케이션을 포함해 직원이 쓰는 여러 종류의 SaaS 애플리케이션에 대한 가시성을 확보하고, 이를 통제하면서 안전하게 쓸 수 있는 방법을 찾아가는 것이 ZTNA 2.0을 통해 제공하고자 하는 것”이라고 강조했다.

팔로알토네트웍스는 현재 ZTNA 2.0의 원칙을 적용한 ‘프리즈마 액세스(PRISMA ACCESS)’라는 보안 솔루션을 내놓은 상태다. 장 상무에 따르면 혼다와 토요타, 폭스바겐을 비롯한 자동차 회사에서부터 액센츄어, 맥킨지, 딜로이트와 같은 서비스 회사, 후지쯔, SAP, IBM, HP등의 테크놀로지 회사 등이 프리즈마 액세스를 사용 중이다.

장 상무는 “팔로알토네트웍스는 ZTNA 2.0 기반의 SaaS보안 솔루션을 통해 기업의 변화한 모든 업무 환경과 인프라 환경, SaaS 애플리케이션까지 포함해 다섯 가지 주요 원칙을 지키는 안전한 보안을 제공하도록 하고 있다”고 강조했다.

글. 바이라인네트워크
<남혜현 기자> smilla@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다