제로트러스트 복잡할 거 없어요…모니터랩 ‘아이온클라우드’

본 기사는 <클라우드 보안 & 제로트러스트 컨퍼런스 2024> 발표 내용을 간추린 것입니다.
발표자: 박호철 모니터랩 상품관리본부 수석연구원

네트워크 유지하고 클라우드 보안만 구독
엄격한 보안 위해 기기마다 커넥터 설치 권고
네트워크 장비에 IPSec 연결도 방법
구독형 특장점…긴밀한 커뮤니케이션 자신

“모니터랩이 제공하는 서비스는 SSE(Security Service Edge) 플랫폼입니다. SASE(Secure access service edge)는 네트워크와 보안을 하나로 합치고 입힌 것이고요. 네트워크와 보안이 하나죠. 이러다 보니 기업에서 도입하기가 쉽지 않습니다. 사업장들이 많은 시간을 들여 변화를 해야 합니다. 그러다 보니까 액세스 부분을 떼어내 네트워크를 그대로 두고 플랫폼 사업자가 제공하는 보안을 그대로 이용하라는 개념이 SSE입니다. 하나의 콘솔에서 모든 보안 서비스를 통합 관리할 수 있습니다.”

박호철 모니터랩 상품관리본부 수석연구원<사진>은 자사의 ‘아이온클라우드(AIONCLOUD)’를 이 같이 소개했다. 네트워크는 그대로 유지하고, 보안만을 클라우드 서비스로 구독한다고 보면 된다.

AIONCLOUD 플랫폼은 모든 사용자와 엔트포인트, 애플리케이션에 대한 액세스를 관리할 수 있는 싱글 포인트를 제공한다. 랩톱과 데스크톱, 스마트폰, 태블릿 등 사용자 기기에 AI커넥터를 설치하고 AIONCLOUD 엣지로 모든 트래픽을 보안 터널링한다. 사용자와 리소스의 직접 연결로 제로트러스트 보안을 구현한다.

“사용자의 모든 트래픽을 엣지(또는 팝)이라고 부르는 사업자 플랫폼으로 들어옵니다. 여기에서 시큐어 웹 게이트웨이 등 여러 보안 솔루션들이 제공되고요. 보안 검사가 일어난 다음에 인터넷을 향하는 트래픽은 다시 인터넷으로 보내주고, 기업 애플리케이션으로 향했던 것들은 다시 넣어주는 방식을 취하고 있습니다. 가장 일반적으로 기기마다 커넥터를 설치하는 방식을 권고합니다. 두 번째는 사람도 별로 없고 커넥터를 깔고 싶지 않다면 네트워크 장비에 IPSec을 지원합니다. 엣지와 팝과 연결할 수 있는 터널링 정보를 제공해주고요. 구독자 고객 입장에서는 이 터널링 사업자가 제공한 티켓 정보를 가지고 IPSec을 통해 연결하게 됩니다. 별도 커넥터 설치가 필요없죠.”

박호철 모니터랩 상품관리본부 수석연구원

박 연구원은 ‘모든 트래픽은 엣지를 경유해서 들어간다’는 원칙을 강조했다. 이용자가 서버 도메인 정보를 알고 있어도 연결할 수 없다. 이를 두고 그는 ‘길이 없다’는 표현을 더했다.

“터널을 통했고 터널에서 보안 검사를 하고 디바이스 포스쳐(Posture) 체크라고 정해진 보안 정책을 준수하는지 기기 OS종류와 버전, 위치, IP, 시간 스케줄 이런 것들을 전반적으로 고려하고 컨디션이 충족이 되면 그제서야 연결이 됩니다. 기존 VPN과 가장 큰 차이입니다. 권한이 있고 필요로 하는 것만 연결될 수 있도록 애플리케이션 기반으로 제어합니다. 기기에 커넥터 설치를 권고하는 이유는 더 엄격하게 컨텍스트, 맥락이라고 얘기하는 것들이 충족시켜줬을 때 더 엄격하게 보안을 적용하거나 또 느슨하게 적용할 수 있습니다. 기기에 설치가 돼야 알 수 있는 정보들이거든요. 보안 스코어가 80점 이상인지 레지스트리에 어떤 값이 쓰여 있는지, 인증서 파일이 존재하는지 이런 정보를 가지고 룰셋을 구성합니다.”

“그런데 사람이 살다 보면 기기를 항상 들고 다닐 수 없습니다. 앱 런처를 이용하는 게 있습니다. 권한 있는 앱들이 리스트업되고 거기를 클릭해서 들어가는 그런 개념입니다. 사업자가 제공하는 포털을 통해 일시적으로 생성되는 애플리케이션의 도메인 정보가 계속 바뀝니다. 난수를 즐겨찾기에 추가하거나 외워도 다음에 로그인하면 또 바뀝니다. 그래서 기업 애플리케이션을 연결하기 위해서는 반드시 앱 런처나 커넥터를 이용해서 적용된 정책을 준수했을 때만 연결될 수 있는 기능들을 ZTNA(Zero Truest Network Access)에 소개하고 있습니다.”

그는 SSE, SASE 사업자들이 많은 보안 스펙을 갖추고 솔루션을 넓혀가려고 하는 이유를 언급했다. “현실적으로 멀티 벤더 선택이 쉽지 않다”는 것이다. “

“SSE 플랫폼 자체가 모든 트래픽이 나한테 온다라는 콘셉트에서 출발을 했기 때문에 이 커넥터에서 어떤 멀티 벤더를 이용한다거나 이런 것들을 전혀 고려하지 않았습니다. 하나의 사업자만 이용할 수 있는 게 현재 허들 정도로 이해하시면 됩니다.”

이어서 박 연구원은 ▲Secure Web Gateway(SWG) ▲Cloud Access Security Broker(CASB) ▲Firewall-as-a-service(FWaaS) ▲NG Deep Packet Inspection(NG DPI) ▲Advanced Threat Protection(ATP) ▲Remote Browser Isolation(RBI) 등 보안 서비스를 소개하면서 고객사와의 긴밀한 커뮤니케이션을 힘줘 말했다.

“이런 구독형 서비스들은 직접 돈 내지 않더라도 이용할 수 있습니다. 이런 게 특장점입니다. 국내 벤더를 고려할 때 커뮤니케이션 부분을 중요시하기 때문이라고 생각합니다. 한국에는 모니터랩이 있고 SSE 플랫폼 기반의 AIONCLOUD 서비스가 있습니다.”

글. 바이라인네트워크
<이대호 기자>ldhdd@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다