컨텐츠 바로가기

ZTNA 솔루션 구매 전 업체에 꼭 물어야 할 8가지

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
클라우드에서 핵심 비즈니스 애플리케이션을 운영하는 일이 늘어나고 팬데믹으로 인해 원격 근무가 확산하면서 전통적인 ‘기업 해자(corporate moat)’ 방식의 보안 개념은 자취를 감추었다. 오늘날의 하이브리드 워크에서 직원은 외근하고 집에서 일하고 일주일에 한두 차례 사무실에 방문한다. 따라서 네트워크 및 보안팀은 네트워크, 신원, 인증을 관리하는 더 유연한 접근법을 도입해야 하는 상황이다.
ITWorld

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>



제로 트러스트 네트워크 접근법(Zero Trust Network Access, ZTNA)은 오늘날 보안이 가진 이런 문제에 대응하는 인기 있는 방법으로 주목받고 있다. 개념은 그리 어렵지 않다. 제로 트러스트는 방화벽, IDS/IPSes, 안티바이러스 소프트웨어라는 계층적 경계를 구축하는 대신, 충분히 검증되기 전까지 '어떤 사용자나 기기도' 신뢰하지 않는 것이다.

그러나 이 간단한 개념을 구현하는 과정은 그리 쉽지 않다. 대다수 기업은 제로 트러스트 업체의 온갖 마케팅에도 불구하고 IT 임원이 제로 트러스트를 기성품으로 구매해 단기간에 적용할 수 없음을 알고 있다. 제로 트러스트는 제품이 아니다. 프레임워크이자 아키텍처이고 철학이다. 여러 형태를 취할 수 있고 성공적으로 구현하는 데는 상당한 시간과 노력이 필요하다는 의미다. 기업이 제로 트러스트를 도입할 때 제로 트러스트 업체에 반드시 물어야 하는 질문을 정리했다.

ZTNA로 전환할 때 기존의 보안 및 네트워킹 인프라를 어떻게 활용할 수 있나

기업은 여러 해에 걸쳐 보안/네트워킹 하드웨어 및 소프트웨어에 상당한 돈을 투자했다. 따라서 기존 기술을 최대한 활용하면서 ZTNA로 전환하는 것이 매우 중요하다. 대다수 기업은 ID 관리, 접근 제어, 이중 인증, 네트워크 분할, 정책 관리 등 ZTNA에 필요한 조각을 이미 갖고 있다. 그러나 종합적이고 확장성 있고 정책 주도적 방식으로 제로 트러스트의 모든 측면에 두루 숙달된 기업은 별로 많지 않다. 네트워크 자동화 업체인 글루웨어(Gluware)의 보안 부사장 팀 실버린은 “회사가 이미 가지고 있는 인프라를 최소한으로 변경하면서 어떤 요소가 방어하기에 가장 쉬운가를 규명하는 데 도움을 줄 수 있는 업체를 찾아야 한다”라고 말했다.

제로 트러스트로 달성하고 싶은 비즈니스 목표에 대해 업체가 어떤 도움을 줄 수 있는가

기술에 대한 이야기로 제로 트러스트에 관한 논의를 시작하는 업체를 지양하고 기업이 직면한 비즈니스 수준의 어려움, 그리고 추구하는 혜택을 정의하도록 요청하면서 시작하는 업체를 찾는 것이 좋다. 사이버 위험 관리 회사인 심스페이스(SimSpace)의 보안 전략 총괄인 데이비드 버리너는 "집에서 근무하는 직원의 안전한 원격 엑세스, 온프레미스와 클라우드에서의 기밀 데이터 보호, 또는 소프트웨어 개발자를 위한 API 보안 강화 등이 목표가 될 수 있다. 이처럼 제로 트러스트 업체가 기업의 비즈니스 요구에 따라 솔루션을 어떻게 수정하는지 파악해야 한다"라고 말했다.

신원을 관리하고 이를 기업 네트워크 전반의 보안 제어 수단에 적용하는 계획은 무엇인가

실버린에 따르면, ZTNA 업체는 기업 고객의 눈높이에 맞춰야 하고 기업 네트워크 전반에 신원 제어를 적용하는 일이 말처럼 쉽지 않다는 점을 인정해야 한다. 그는 "예를 들어 직원의 웹 애플리케이션 액세스 등에서 미시적 신원 관리를 소홀히 하는 기업이 많다. 이런 공백이 많고 메우려 노력하지만 모든 ID 이용 사례를 아우르는 단일 솔루션을 제공하는 업체가 많지 않다. 적절히 통합되지 않는 채 웹 애플리케이션 방화벽처럼 지엽적인 솔루션이 상당히 많다”라고 말했다. 이어 "긍정적인 측면을 볼 때 한층 성숙한 보안 조직은 통합의 복잡성을 최대한 줄이기 위해 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation, and Response, SOAR) 툴이나 확장 검출 및 대응(Extended Detection and Response, XDR)을 이용한다"라고 덧붙였다.

제로 트러스트에서 초기에 성공을 거둘 수 있도록 중요한 것의 우선순위를 정하는 데 제로 트러스트 업체가 어떤 도움을 줄 것인가

반얀 시큐리티(Banyan Security)의 최고 보안 임원인 덴 존스는 이용자 경험을 우선시하는 업체를 찾으라고 조언한다. 기업은 제로 트러스트를 최대한 마찰 없게 구현해야 하고, 그렇지 않으면 직원은 새 보안 제어 수단을 우회하는 방법을 찾아낼 것이다. 한 가지 방법은 디지털 인증서에 기반한 인증을 통해 거추장스러운 이용자 이름과 비밀번호에서 단계적으로 탈피하는 것이다. 사용자가 클라우드나 여타 인터넷 대면 앱을 통해 생산성 앱에 액세스할 때 비밀번호 없이 이중 인증으로 액세스할 수 있다면 제로 트러스트 과정의 다른 과정도 한층 거부감 없이 수용할 것이다.

또한, 존스는 경영진이 초기의 성공을 인지할 수 있도록 하는 것이 좋다고 조언했다. 예를 들어 네트워크상의 사용자 활동 모니터링을 자동화하는 등 성과를 보여주면 경영진은 한층 복합적인 제로 트러스트 프로젝트에 대한 자금 지원에도 더 긍정적으로 반응한다. 그는 "IT 임원이 경영진에게 제로 트러스트를 단순하게 설명하는 것이 가장 좋다. 즉, 경영진은 제로 트러스트가 비용이 더 적게 들고, 사용자에게 더 쉽고, 보안을 전반적으로 향상한다는 말을 듣고 싶어 한다"라고 말했다.

보호해야 할 데이터의 우선순위를 정하고 전사적으로 데이터를 제로 트러스트 관점에서 관리하는 데 업체가 어떤 도움을 줄 것인가

침투 테스팅 업체 그림(GRIMM)의 애플리케이션 및 네트워크 보안 서비스 부사장 댄 웨이스에 따르면 현재 보안 업계는 경계부를 중심으로 하는 낡은 세계의 ‘네트워크 정의’에서부터, 오늘날 원격 및 하이브리드 네트워크의 ‘데이터 정의’로 이동했다. 그는 "기업이 어떤 데이터가 네트워크상에 있는지, 어디에 있는지, 어떻게 추적되는지를 찾아내는 자산 발견을 수행하면서 시작해야 한다. 그 후 어떤 데이터 자산이 가장 민감한지 규정하고 데이터 분류 정책을 확립하고 자산 관리 및 추적을 자동화해야 한다"라고 말했다.

각 최종 사용자에 대한 미시적 액세스 제어를 어떻게 확립할 수 있는가

ZTNA를 구현하기 위해서는 최종 사용자를 이해해야 한다. 즉, 누가 로그인하는지, 각 사용자가 무엇을 할 수 있도록 허용됐는지 알아야 한다. 예를 들어 매출 채권 담당자라면 월 1회 대금 결제를 받을 때만 특정 폴더에 액세스해야 한다. 웨이스는 “제로 트러스트의 핵심은 사용자가 충분히 검증될 때까지 신뢰하지 않는 것이다. 이 사람이 바로 그 사람이고 해야 할 일을 하고 있다는 확신이 들어야 한다. 사용자의 전체 세션에 걸쳐 액세스 제어를 확립하고 강제해야 하는데 여기서 실패하는 기업이 많다"라고 말했다.

네트워크의 공격 표면을 축소하고 공백을 줄일 수 있도록 네트워크 미세 분할을 확립하는 데 업체가 어떤 도움을 줄 것인가

네트워크 분할은 오래된 기술이지만 제로 트러스트는 이 개념을 이른바 미세 분할(micro segmentation)이라는 극히 미시적인 접근법으로 발전시킨다. 제로 트러스트 네트워크에서 기업은 한 엔드포인트나 한 서버 주위로 세그먼트를 생성해 액세스를 제한할 수 있다. 예를 들어 전통적으로 HR 부서는 자체 네트워크 세그먼트를 가질 수 있었지만 이제 세그먼트는 할 수 있는 것과 할 수 없는 것을 상세히 정의한 방화벽 규칙을 가질 수 있다. 미세 분할 접근법하에서 급여 담당자는 급여 앱에는 액세스할 수 있지만 급여 데이터에는 액세스하지 못할 수 있다. 웨이스는 “이런 식이라면 네트워크 구성과 네트워크 제어가 훨씬 더 힘들다”라고 말했다.

제로 트러스트 업체의 침해 통지 정책이 무엇이고 주요 신원 관리 플랫폼이 실패할 때를 대비한 백업 계획이 있는가

기업 임원은 10년 전이라면 이 질문을 하지 않았을 것이다. 그러나 버리너는 "대표적인 신원 관리 업체가 침해당했던 최근의 옥타(Okta) 사건을 반면교사로 삼아 기업은 침해가 발생하면 어떤 일이 벌어지는 지를 제로 트러스트 업체에 반드시 물어봐야 한다. 기업 고객은 지엽적인 실패만 생각할 것이 아니라 거시적 함의를 생각해 질문을 해야 한다"라고 말했다.

예를 들면, 어떤 시스템 및 사용자가 노출되었는가? 어떤 데이터가 접근 가능했는가? 우리의 방어 계층을 우회할 수 있는 악의적 행위자의 횡적 이동이 있었는가? 우리의 치유 전략은 무엇이었나? 등을 물어야 한다는 것이다. 이에 따라 심각한 경우 ‘뜯어내고 대체하기(rip-and-replace)’로 기존 인프라를 고쳐야 한다. 혹은 추가 액세스 권한을 취소해 특정 단말기 혹은 직원을 오프라인으로 배제하는 방식으로 대응할 수도 있다.

버리너에 따르면, 가장 좋은 것은 기업이 ID 솔루션의 훼손에 지속해서 대처하는 팀을 마련하는 것이다. 그렇지 않다면 최소한 제로 트러스트 아키텍처 내에서 유사한 체계가 있어야 한다. 이렇게 하면 이 팀 혹은 체계 내에 대응 방법에 대한 노하우가 쌓이게 된다. 그는 "팀을 ‘대형 사건’에 대비시키는 것이 매우 중요하다. 이 대형 사건에는 ID 시스템의 침해, 국가 주도 공격은 물론 직원 사용자의 오류로 인해 발생한 일반적 침해 등도 여기에 속한다"라고 말했다.
editor@itworld.co.kr

Steve Zurier editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.