“NHN클라우드표 제로트러스트 아키텍처 기대하시라”

본 기사는 <클라우드 보안 & 제로트러스트 컨퍼런스 2024> 발표 내용을 간추린 것입니다.
발표자: 박관규 NHN클라우드 이사

제로트러스트 실증 사업하며 아케텍처 지속 보완
SGA솔루션즈 등 국내외 기업들과 제휴 공식 서비스 론칭 예고

“제로트러스트 모델은 클라우드는 물론 존재하는 모든 인프라를 보호해야 합니다. 엔터프라이즈 리소스의 시스템 보호 전략이 반드시 필요하죠. 최근 화두가 되고 있는 컨테이너 애드 서비스, 파스 자체를 이용하지 않고 API로만 코딩을 해서 시스템을 돌리는 서버 리스 환경 등 이런 복잡다단한 게 우리 현황입니다.”

박관규 NHN클라우드 이사<사진>는 회사가 본 ‘클라우드 제로트러스트 아키텍처(ZTA) 플랫폼’ 전략을 발표했다. SGA솔루션즈가 지난해 제로트러스트 실증 사업 주관 기업을 맡아 컨소시엄을 구성했고, NHN클라우드가 사업자로 참여해 실증 적용을 한 바 있다. 관련한 내용에 대해 소개했다.

퍼블릭 클라우드는 이용이 편리한만큼, 공격도 자유롭다. 이 때문에 클라우드 네이티브 및 레거시 보안 기능들이 대부분 제공돼도 기술적 관리적 허점이 발생하기 쉽다. 정책결정지점(PDP)에 모든 리소스를 거치게 하고 확인을 받는 게 제로트러스트의 기본이 된다.

박관규 NHN클라우드 이사

예를 들어 사용자가 붙을 때 디바이스의 리스크 스코어를 수치화해서 어떤 시스템은 90점 이상일지, 80점 이상일지 등을 정하고, 세션 중에 이상 행위가 발생하면 다시 리스크 스코어링을 거쳐 수치가 감소하면 바로 세션을 자르는 등의 능동적 대응이 가능하도록 한 것이 제로트러스트 아키텍처(ZTA)라고 볼 수 있다.

“저희는 2018년부터 마이크로 세그멘테이션 관련 기술을 많이 검토를 했고 2020년에 코로나로 직원들의 재택근무, 클라우드 고객 서비스로서 ZTA 개념을 본격 연구하기 시작했습니다. 저희가 제공하는 리소스에 모든 통신과 행위를 최대한 식별하고 가용하는 모든 수단을 동원해 전체적으로 막겠다는 게 현재 목표이고, 많은 연구를 해왔습니다. 계정과 단말의 단절을 대비한 지속적 검증, 새로운 네트워크나 IP 외 컨테이너 세상에서도 새 접점이 생겼기 때문에 최대한 네트워크 레벨에서 영역을 세분화합니다. 컨테이너 마이크로 서비스 레벨에서도 보안 접점을 저희가 통제할 수 있는 도구, 이용자 애플리케이션까지 지속 검증된 위험도 기준으로 통제할 수 있는 기술, 이 모든 것을 아울러서 클라우드를 포함해 정보 공유나 대응 집행을 유기적으로 연계하는 것을 고민 많이 해왔습니다. 아직 공식 서비스를 론칭하지 못했지만, 곧 나올 것 같은 상황입니다.”

“SGA솔루션즈에서 말씀 주신 제로트러스트 실증 사업도 있었고 저희가 사업자로 참여하면서 부족했던 부분을 SGA와 해결해 나갈 기회가 있었습니다. 그리고 굉장히 좋은 결과를 얻었습니다.”

NHN클라우드는 ▲단말 영역의 기본기 강화부터 시작했다. SGA의 단말 통합 보안과 위험 점수 지속 평가용 UEM 에이전트를 활용했다. 네트워크 접근 시 ZTA 보안존 경유, FIDO 패스키를 이용한 생체 인증, 기준 이하 스코어링 또는 상태를 가진 단말의 추가 활동 격리 등을 적용했다.

▲리소스 접근 통제는 시스템과 웹 네이티브 클라우드 서비스 영역서 통합 대응하고 ▲리소스 보호 강화는 호스트와 컨테이너 및 개발·보안·운영(DevSecOps)으로 나눴다. 각 영역마다 SGA솔루션즈를 적용했다.

유기적 보안 연계 확장을 위해 익명 접속용 서비스의 보호나 호스트 보안시스템 권한 탈취 등 예상치 못한 상황까지 고려해 다양한 네트워크/호스트 기반 보안시스템을 ZTA 체계에 자동화 연계하도록 표준화했다. 또 외부 보안 인텔리전스를 연동해 위협 정보를 공유하도록 했다.

“이번 실증에선 SGA 컨소시엄만 연결했는데, ZTA 기본 정신에 입각해 다른 보안 벤더뿐 아니라 보안 감독 기관들과도 같이 고민을 하고 있기 때문에 기대를 하셔도 될 거 같습니다. 기술적 실증을 했는데 결과가 괜찮았습니다. 해외 저명한 업체들과 제휴를 했고요. SGA를 포함한 국산 전문업체들은 국내 실정을 잘 알고 ZTA 구조상 연계를 많이 해야 하는데 개발에 대한 순발력 같은 게 장점이 있었습니다. 마지막으로 ZTA 체계를 구현하기 위해선 여러분의 방향에 맞는 연구를 끊임없이 해야 한다는 말씀을 드리고 싶습니다.”

글. 바이라인네트워크
<이대호 기자>ldhdd@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다