Zero Trust Network Access(ZTNA)
제로 트러스트(Zero Trust)는 ‘아무것도 신뢰하지 않는다’는 것을 전제로 한 사이버 보안 모델로,사용자나 기기가 접근을 요청할 때 철저한 검증을 실시하고, 검증이 이뤄진 후에도 최소한의 신뢰만 부여해 접근을 허용하는 방식입니다.
ZTNA (Zero Trust Network Access)는 ‘초세분화 적응형 인증 및 컨텍스트(Context) 인식 정책’으로, 원격 위치 또는 단말기에 클라우드 혹은 기업 데이터 센터에서 호스팅 되는 프라이빗 애플리케이션을 안전하게 제공하는 방법입니다. LAN(Local Area Network)에 대한 완전한 접근을 허용하는 VPN(Virtual private network)과 달리 ZTNA는 사용자에게 명시적으로 부여된 서비스의 접근만 허용합니다.
ZTNA는 사용자가 ZTNA 서비스에 대해 인증한 후 접근이 설정됩니다. 그런 다음, 암호화된 보안 터널을 통해 사용자를 대신해 ZTNA 서비스가 애플리케이션에 대한 접근을 제공하는데요. 이렇게 하면 공개적으로 볼 수 있는 IP주소를 차단해 기업 애플리케이션과 서비스에 추가 보호를 도입할 수 있습니다. 또한, ZTNA는 다크 클라우드 개념을 활용해 사용자가 접근 권한이 없는 애플리케이션과 서비스를 볼 수 없도록 차단합니다.
기업은 주로 아래 4가지 중 하나를 해결하기 위해 ZTNA를 도입합니다.
1) 관리가 어려운 VPN 대체
VPN은 불편하고 느리며, 보안에 취약하고 관리가 어렵습니다. 가트너는 2023년까지 기업의 60%가 VPN보다 ZTNA를 선호할 것이고, VPN 정책을 단계적으로 폐지하리라 예측했습니다.
2) 멀티클라우드에 안전하게 액세스
하이브리드 및 멀티 클라우드 액세스 보안은 조직이 ZTNA 전환을 시작하는 가장 중요한 이유입니다. 클라우드 애플리케이션 및 서비스를 채택하는 기업이 증가하면서 이들 중 37%가 멀티클라우드 액세스를 제어하기 위해 ZTNA를 도입하고 있습니다.
3) 외부사용자가 초래할 수 있는 위험 감소
대부분 외부에서 온 사용자는 과도한 권한을 가지고 관리되지 않은 단말기를 사용해 애플리케이션에 접근합니다. 이는 사용자와 단말기 모두에 위험을 초래할 수 있기에 주의가 필요한데요. ZTNA는 외부 사용자가 네트워크에 접근할 수 없게 하고, 허용된 애플리케이션에 인증된 사용자만 접근할 수 있게 함으로써 위험을 줄일 수 있습니다.
4) M&A 통합 가속화
M&A 과정에서 네트워크를 통합하는 데는 수년이 걸립니다. 조직이 클수록 여기에 더 오랜 시간이 필요한데요. 비용 측면에서 통합을 포기하는 경우가 생기기도 합니다. ZTNA는 성공적인 네트워크 통합에 필요한 시간과 관리를 줄이고, 비즈니스를 위한 보안 가치를 단순화해 신속하게 제공합니다.
가트너는 90% 이상의 기업과 기관이 ZTNA를 구현하고 있는 것으로 추정했습니다. ZTNA는 리소스 활용, 유연성 및 대응력, 세분화에서 낮은 성능을 보이는 VPN을 대체하는데요. 이를 통해 초세분화, 인증 및 접근, 전체적인 제어, 가시성 확보에 이점을 얻으려는 움직임이 활발해진 것으로 보고 있습니다.
Security Service Edge(SSE)
SSE(Security Service Edge)는 2021년 가트너가 처음 사용한 용어로, 2019년 정의한 Secure Access Service Edge(SASE)에서 A를 뺀 개념입니다. SASE는 클라우드 액세스 보안 브로커(Cloud Access Security Broker, CASB), 보안 웹 게이트웨이(Secure Web Gateway, SWG), 통합 SD-WAN(Software-defined wide area network), 서비스로서의 방화벽(Firewall as a Service, FWaaS), 그리고 ZTNA를 합친 개념입니다.
그런데 모든 기업이 5가지를 전부 원하는 건 아니었는데요. Zero Trust에 대한 관심이 증가하면서 ZTNA 요구는 증가했습니다. 하지만 ZTNA만 도입해서는 Zero Trust를 실현할 수 없으니 SASE 도입이 부담스러운 조직은 일부 필요한 요소만 벤더에게 요구했죠. 그 중 CASB, SWG, ZTNA만 포함한 솔루션이 인기를 끌자 SSE라는 새로운 개념으로 정의된 것입니다.
가트너에 따르면, 향후 수 년 동안 많은 조직이 SSE를 선호하게 될 것이라고 합니다. 2025년까지 ZTNA를 구현하는 조직의 70%가 독립형 대신 SSE를 선택할 것이라고 전망했는데요. 이는 작년보다 20% 증가한 수치입니다. CASB, SWG, ZTNA를 독립적으로 선택하는 곳보다 통합된 SSE 솔루션을 선택하는 기업도 2021년 15%에서 2025년 80%로 늘어날 전망입니다.
Secure Web Gateway(SWG)
SWG는 웹 접근과 관련한 정책을 설정해 외부의 웹 기반 위협으로부터 내부 시스템과 사용자를 보호합니다. 사용자가 악의적인 웹 트래픽, 웹 사이트, 바이러스 및 멀웨어에 액세스하거나 감염되는 것을 막기 위해 사용하죠. 가트너는 최소한 URL 필터링, 악성코드 탐지 및 필터링, 인스턴트 메시징, 보편적인 애플리케이션에 대한 통합된 제어를 포함해야 한다고 정의합니다.
이 과정에서 사용자를 웹 사이트에 직접 연결하는 대신 SWG에 1차 액세스하고, 웹 사이트에 연결하기 전에 보안 조치를 수행합니다. 이를 통해 부적절한 웹 사이트 또는 콘텐츠에 대한 임직원의 접근을 차단하고 무단 침입 및 데이터 전송 탈취를 방지할 수 있습니다.
Cloud Access Security Brokers(CASB)
CASB는 클라우드 서비스를 이용하는 사용자 단말기와 다수의 클라우드 서버 사이에서 클라우드 보안 기능을 제공하는 서비스입니다.
클라우드 서비스 이용자는 CASB로 클라우드 서버에 저장된 데이터를 보호받을 수 있고, 클라우드로 유입되는 악성 파일과 사이버 공격으로부터 보호받을 수 있습니다. 클라우드 서비스 제공자는 CASB로 클라우드 데이터 접근을 통제하고 사용자의 내부 정보 유출을 막을 수 있죠. 그 밖에 클라우드 사용자의 비정상 행위를 탐지하고 분석, 공격행위 차단 등의 보안 기능을 제공받을 수 있습니다.
CASB는 2012년 가트너가 처음 소개했습니다. 기업이 클라우드를 이용하면서 저장한 데이터에 대해 가시성(데이터의 흐름을 모니터링)을 확보하고, 사용자의 접근을 통제해 기업의 자산을 보호하겠다는 목적이었습니다.
코카콜라의 Zero Trust 실현
코카콜라는 Zscaler와 협력해 2020년 3월부터 수천 명의 직원이 집에서 일할 수 있도록 했습니다. CASB, Cloud DLP(Data Loss Prevention) 등의 기능을 통해 코카콜라에 외부 네트워크의 보안 안전성을 지원한 것인데요. 생산성을 낮출 수 있는 VPN 연결을 피하는 것도 중요한 과제였습니다.
특히, MS 오피스 365의 간소화 및 보안이 중요했습니다. 코카콜라는 오피스 365를 업무에 깊게 사용하고 있었기 때문이죠. 또한, 이상적인 원격근무를 실현하려면 어디서나 업무를 수행하도록 직원의 스트레스를 최소화해야 했고, 신뢰성을 제공해야 했습니다.
코카콜라는 오피스 365로 전송되는 모든 트래픽을 검증합니다. 모든 포트와 프로토콜에서 빠른 사용자 경험을 VPN 없이 제공하며, 하드웨어 요구 없이 배포해 BYOD(Bring your own Device)를 실현합니다.또한, 오피스 365 IP 주소 변경을 자동화하고, SSL 검사에서 면제하는 원클릭 구성을 제공합니다.
코카콜라가 디지털 전환을 이루겠다고 선언한 건 무려 5년 전이었습니다. 경험, 운영, 비즈니스, 문화까지 4가지 주요 변화 영역을 규명했는데요. 이는 마케팅에 관련한 내용이었습니다. 광범위한 소비자 기반을 정의하고, 각기 다른 행동과 선호도를 충족하기 위한 접촉 방법을 디지털 지원으로 해결한다는 내용이 핵심이었죠.
코카콜라의 최고 디지털 책임자(CDO) 데이빗 고즈먼(David Godsman)은 “디지털은 언어나 지역에 상관없이, 통합된 소비자 경험을 창출하고, 소비자를 통합해 유치하는 데에 도움을 준다.”라고 말했습니다.그러나, 디지털 전환 및 브랜딩에 있어서 직원 경험은 간과됐으며, 내부 공격자로부터 보안 위협을 받는 상황이 발생했습니다.
코로나19 팬데믹 이후 코카콜라는 원격근무의 필요성을 느꼈으며, 동시에 보안 문제를 함께 해결함으로써 직원 경험을 개선하려는 시도를 빠르게 진행했습니다. 이를 통해 직원들은 원격근무 경험, 특히 VPN 경험이 아닌 Zero Trust로 구현한 업무 환경에서 사무실과 다를 바 없이 업무를 수행할 수 있게 됐습니다. 이 직원 경험은 130년이 된 기업이 Zero Trust를 통해 내외부적으로 DX 혁신을 할 수 있다는 걸 보여준 사례로 꼽힙니다.
Content Disarm and Reconstruction(CDR)
CDR은 악성 파일의 활성 콘텐츠를 제거하거나 파일 내 악성 코드만 제거하는 보안 기술입니다. 파일 검사라고도 하는 CDR에는 여러 형식이 있는데요. 신뢰할 수 있는 데이터베이스에 의존하는 대신에 모든 파일이 악의적이라고 가정해 방화벽 외부 파일을 모두 검사하는 것이 기본 전제입니다.
기존 방어 체계는 현재 벌어지는 보안 위협에 효과적이지 않습니다. 한 달 평균 1,000만 건의 새로운 악성 프로그램이 보고되고 있으며, 안티 멀웨어 및 안티바이러스 솔루션과 같은 일반적인 사이버 보안 기술은 알려진 위협만 탐지하기 때문이죠. 실제로 성공적인 보안 공격의 80%는 기존 솔루션이 인식하지 못하는 알려지지 않은 것들이었습니다. 또한, 데이터 침해의 90%는 사람의 실수로 발생하는데요. 의심스러운 파일을 다운로드하는 것에 대한 위험을 교육해도 기업 내 직원 중 약 27%는 위험에 노출됩니다.
CDR은 이메일, 웹 브라우저, 파일 서버 및 FTP(File transter protocol), 클라우드 및 기타 단말기 등 여러 소스의 파일을 포함해 다중 채널에서 발생하는 사이버 위협으로부터 조직 네트워크를 보호합니다.
글로벌 사이버 보안 기업 체크포인트(Checkpoint)에 따르면, 2020년 기준으로 이메일의 첨부 파일이나 링크의 70% 이상, 웹 다운로드의 약 30%가 PDF, MS 오피스 등 파일로 전달됐다고 합니다. 모든 문서가 악의적인 공격으로 사용되는 것은 아닌데요. CDR은 실행할 수 있는 요소, 그러니까 악의적인 공격이 일어날 수 있는 요소를 제거해 문서를 재구성합니다. 그렇기에 이메일 무해화, 파일 무해화 등 모든 콘텐츠를 무해화하는 솔루션을 CDR로 정의하며, 이는 Zero Trust의 대표적인 실현 기술로 떠올랐습니다.
Location Independent Security Access(LISA)
넷플릭스 전 보안 엔지니어 브라이언 짐머(Bryan Zimmer)는 2018년 실용적인 ZTA라는 주제로 위치 독립적 보안 액세스(Location Independent Security Access, LISA)를 발표했습니다. 넷플릭스가 Zero Trust를 실현하기 위해 구현한 아키텍처이고, 다른 기업도 보안 전략을 평가하고 계획하는 데에 참고할 수 있을 정도여서 큰 관심을 끈 개념이었습니다.
짐머에 따르면, VPN의 존재와 마찬가지로 Zero Trust에서 가장 중요한 아이디어는 강력한 인증과 안전한 단말기입니다. 넷플릭스는 AWS를 활용하고 있으며, 일부 방법을 구글에서 차용했는데요. 기본 전제는 애플리케이션 앞에 VPN 대신에 프록시를 설치하는 것이었습니다. VPN을 완전히 배제하는 방식은 아니지만, 큰 비용을 들이지 않고 Zero Trust를 실현하는 방법이었죠.
애플리케이션 앞에 프록시를 설치해 사설 VLAN으로 보안을 강화하는 리사의 아이디어는 현재 IoT 보안에 주로 활용되고 있습니다.
가트너는 보고서를 통해 2020년 말까지 엔터프라이즈 및 자동차 IoT 시장에서만 58억 개의 엔드포인트가 사용되리라 예측한 바 있습니다. 그만큼 노출될 수 있는 취약점이 계속 증가하고 있다는 뜻인데요. 이런 대부분 장치는 보안을 염두에 두고 설계되지 않아서 이미 취약한 상태입니다. 실상 기업의 네트워크 방화벽보다도 공격하기 쉬우며, 복잡도가 증가함에 따라서 더 위험해지리라는 것도 기정사실입니다.
Zero Trust는 IoT 보안을 위한 가장 뛰어난 솔루션입니다. 기존 레거시 기술에 의존한 VLAN 방법과는 근본적으로 다른 설계 방법이기 때문입니다. 핵심은 VLAN에 기반하는 신뢰도를 가정하지 않고, 사용자가 누구이며, 어떤 장치를 사용하느냐에 따라서 결정된다는 점입니다. 로컬 스위치 포트 또는 무선 네트워크에 연결할 때, 각 사용자가 누구인지 질문함으로써 신원 확인이 이루어질 때까지 모든 것이 금지되는데요. 이때, 사용자가 작업을 수행하는 데에 필요한 리소스에만 액세스할 수 있는 권한이 부여됩니다. 이로써 IoT 장치에 대한 모든 엔드포인트의 침해 탐지 및 대응이 가능해지죠.
엔드포인트 다양성이 복잡해진 만큼 모든 엔드포인트가 조직에서 관리되거나 소유되는 것은 아닙니다. 더군다나 IoT가 BYOD로 인해서 직원들 단말기와 연결된다면 취약점은 훨씬 넓어지는데요. 예컨대, 생산용 IoT 장치를 개인 스마트폰과 연결해 작동하는 방식일 때, 스마트폰의 보안 경계를 아무리 강화해도 IoT 취약점으로 보안 경계가 무용지물이 된다는 겁니다.
Zero Trust를 넘어선 Zero Touch
Zero Trust는 보안 경계의 초세분화(Micro-Segmentation)로 보안 위협을 완화하는 현실적인 조치입니다. 그러나 SMS나 생체인증을 통한 일회성 코드 인증과 2차 인증 같은 방법은 지속해서 검증하기 때문에 사용자가 귀찮게 느낄 수 있어 좋은 경험은 아닙니다. 이런 단점을 해결하기 위해 블랙베리가 제시한 Zero Trust 접근 개념이 바로 ‘Zero Touch’입니다.
Zero Touch는 네트워크에서 이미 식별할 수 있는 사용자 및 단말기와 관련한 모든 컨텍스트 정보를 고려합니다. 컨텍스트 및 위치 데이터의 실시간 분석을 사용해 행동과 위치 패턴으로 검증하는 방법이죠. 즉, 사용자가 별도 인증 절차를 거치지 않아도 자원에 접근할 권한을 얻을 수 있다는 건데요. 위험은 실시간으로 스코어링합니다. 최상의 보안 상태를 유지하기 위해 위험 스코어를 확인하고, 사용자와 관련한 모든 데이터 포인트에서 작업 맥락을 파악해 위험 스코어에 따라서 검증하는 방식입니다.
블랙베리는 지속적인 모니터링과 위험 스코어링을 모든 엔드 포인트에 적용하기 위해 인공지능 기술을 활용해 작업 맥락을 구분하는데요. AI가 구간별 맵핑을 반복해 Zero Trust원칙이 지켜지는지 끊임없이 확인하고, 가시성을 지원합니다.
보안 데이터에 대한 통찰력이 늘어날수록 AI는 더 많은 보안 경계의 보안 상태를 Zero Touch로 전환할 수 있을 것으로 예상합니다. 높은 권한에 적용하기에는 위험도가 높지만, 저위험 경계에서는 사용자가 아무런 제약 없이 Zero Trust 네트워크에서 작업할 수 있게 도움을 줄 것으로 보입니다.
Zero Trust와 Zero Touch 통합, 블랙베리 스파크(BlackBerry Spark)
블랙베리의 Zero Trust 솔루션인 ‘블랙베리 스파크(BlackBerry Spark)’는 ZTA에서 AI 기술을 적용한 제로 터치 경험을 통합해 데스크톱, 모바일, 서버 및 IoT의 모든 엔드포인트 유형에 걸쳐서 지속해서 위협을 탐지합니다.
블랙베리 스파크는 △엔드포인트 보안, △엔드포인트 탐지 및 응답(Endpoint Detection and Response, EDR), △모바일 위협 탐지(Mobile Threat Detection, MTD), △사용자 및 독립 행동 분석(User & Entity Behavior Analysis, UEBA), △데이터 손실 방지(Data Loss Prevention, DLP), △SWG가 포함된 UES(Unified Endpoint Security), △모바일 단말기 관리자(Mobile Device Management, MDM), △모바일 애플리케이션 관리(Mobile Application Management, MAM), △모바일 콘텐츠 관리(Mobile Content Management, MCM), △ID 및 액세스 관리(Identity & Access Management, IAM)가 포함된 UEM(Unified Endpoint Management)를 블랙베리 스파크 스위트(BlackBerry Spark Suite)로 함께 제공합니다.
이렇게 많은 내용을 담고 있지만, 블랙베리 스파크 스위트의 핵심은 AI와 가시성입니다. 블랙베리 UES는 모든 엔드포인트에 AI를 활용합니다. 이와 더불어 사용자, 단말기, 애플리케이션, 콘텐츠, 네트워크 전체 범위에 대한 통찰력에 가시성을 추가합니다. 사람은 모든 엔드포인트를 확인할 수 없는데요. AI는 사람 대신 위협 방지 및 해결 기능을 제공하면서 불필요한 마찰을 줄임으로써 직원이 개인 단말기를 어디서든 자유롭게 사용하도록 지원합니다.
블랙베리에 따르면, 보안 담당자의 58%는 여전히 직원의 사용 편의성보다 엄격한 보안 제어를 우선으로 둔다고 합니다.보안이 중요하다는 사실은 변하지 않습니다. 다만, 편의성 부족으로 BYOD 및 퍼블릭 클라우드 사용이 증가했고, 이러한 흐름 속에서 모바일 보안 위협이 가중됐다는 걸 돌이켜 볼 필요가 있습니다. 미래 보안에서 편의성은 직원의 보안 사고를 방지할 중요한 방법이 될 것입니다. 이는 직원 교육만으로 해결되지 않기 때문에 AI를 활용한 Zero Touch 요구는 점점 증가할 것으로 예상됩니다.
글 ㅣ LG CNS 정보기술연구소 기술전략팀