HPE “제로트러스트의 근간은 SASE…단일 솔루션 아닌 여정”
“매트릭스에서 모피어스가 네오를 설득할 때, “지금 내가 보고 있는 게 진짜인지 아닌지, 진짜 그걸 믿을 수 있겠느냐”고 말하는데, 네트워크와도 연관이 있다고 봅니다.”
<바이라인네트워크>가 지난 18일 서울 잠실 롯데호텔 3층 크리스탈볼룸에서 개최한 ‘사이버보안 기술 전략 컨퍼런스’ 기조강연에서 김세현 HPE 매니저는 “아이디와 패스워드만 가지고 인증할 수 있는 환경”이라며 “단순한 정보만을 가지고 신뢰를 담보할 수 없는 데에서 제로트러스트(Zero Trust)가 시작된다”고 말했다.
그는 이날 제로트러스트 방법론의 기반이 SASE(Secure Access Service Edge)로, 중장기적인 로드맵을 그리고 제로트러스트를 실현해야 한다고 강조했다.
제로트러스트란 물리적 위치와 무관하게 리소스 보호에 중점을 두고 사용자와 접속기기 모두를 적극 통제하는 개념이다. 말 그대로 ‘절대 믿지 말라’는 의미다.
김 매니저는 제로트러스트 논의가 빨라진 배경으로 근무와 인프라 환경 변화를 들었다. 코로나19 이후 원격과 재택 등 하이브리드 근무가 자리잡았고, 과거 사내에 있던 애플리케이션과 서버는 클라우드와 SaaS로 옮겨갔다.
회사 내부에서 하던 업무와 애플리케이션의 무게 중심을 외부로 옮겨가면서, 기존의 보안 경계 자체가 의미를 잃었다는 게 그의 진단이다.
제로트러스트에 대해 김 매니저는 “보안을 하나하나 챙기려다 보니, 아예 다 믿지 않겠다는 식의 개념이 보안에 들어온 것”이라며 “지금까지 안전한 영역에 있던 것까지 안전하지 않다고 가정을 하고 이용자에 대해 면밀히 다 구분해 필요한 권한만 열어줘 측면 피해를 차단할 수 있는 환경을 만드는 것”이라고 설명했다.
특히 김 매니저는 “제로트러스트가 테슬라라면 SASE는 전기차”라며, 제로트러스트의 기본으로 SASE를 강조했다.
그의 설명에 따르면 SASE는 SSL VPN 클라이언트에 보안 기능을 더한 SSE와, 사이트 간 VPN 연결에 지능형 기능을 입힌 SD-WAN 두 축으로 구성된다. 김 매니저는 “SASE를 도입한다는 것은 장비 하나를 사는 것이 아니라 SSE와 SD-WAN을 결합해 프레임워크를 구성하는 것”이라며, 여기서부터 제로트러스트 구축이 시작된다”고 말했다.
구체적인 구현 또한 시나리오로 제시했다. 예를 들어 외부 협력사 직원이 내부 리소스에 접근할 때, 전통적 IPsec VPN은 접속 이후의 행동을 제어할 수 없고 IP가 노출되는 한계가 있다. 김 매니저는 클라우드의 PoP를 경유해 공격 표면을 줄이고 사용자별로 권한을 세분화하는 ZTNA(Zero Trust Network Access)를 해법으로 들었다.
또 재택근무자처럼 내부에서도 일하는 경우에는 트래픽이 클라우드를 왕복하며 병목이 생기는 경우에 대한 해결책도 제시했다. 김 매니저는 가트너가 제시한 ‘유니버설 ZTNA’와 사내에 두는 ‘프라이빗 엣지’로 동일한 정책과 속도를 함께 확보해야 한다고 설명했다. 또 원격 사용자의 인터넷 사용은 시큐어 웹 게이트웨이(SWG)로 관리하고, SaaS로의 파일 유출은 CASB로 차단해야 한다고 덧붙였다.
또 SASE의 또 다른 축인 SD-WAN은 속도를 맡는다고 설명했다. 전용회선을 터널 본딩해 회선 효율과 SLA를 높이고, 인증·정책 서버를 연동하면 POS나 CCTV처럼 로그인하지 않는 단말까지 자동 분류해 마이크로 세그멘테이션을 자동화할 수 있다는 이야기다. 김 매니저는 사용자를 넘어 네트워크 전체로 확장한 이 형태를 ‘유니파이드 SASE’로 규정했다.
다만 그는 제로트러스트가 ‘멀리 가야 하는 여정의 방법론’이라며, “고객이 해달라고 해서 완료되는 일이 아니다”라고 강조했다. 내외부에서 긴밀하게 협업해, 내부 리소스를 파악하며 방법을 찾아가, 단계적으로 적용해야 한다는 설명이다.
이어 김 매니저는 “SASE를 통해 내부 네트워크를 탄탄하게 잡은 후 제로트러스트 방법론을 통해 내부와의 긴밀한 협업으로 앞으로 나아간다면 제로트러스트 달성에 가장 근간이 되는 네트워크를 잘 구성할 수 있다”고 했다.
글. 바이라인네트워크
<성아인 기자> aing8@byline.network
