[아이티데일리] 디지털 혁신, 클라우드 애플리케이션, 자율근무 모델 도입으로 기업의 네트워크는 더욱 복잡해지고 분산되고 있으며, 엣지(edge)의 수는 날이 갈수록 증가하고 있다. 점점 더 많은 사용자와 디바이스가 더 다양한 위치에서 네트워크에 연결되면서, 이제 네트워크 경계는 거의 사라졌다. 또한, 신뢰할 수 없는 인터넷으로부터 신뢰할 수 있는 기업 네트워크를 보호하는 경계 기반의 기존 보안 접근방식은 그 효과가 점점 더 낮아지고 있다. 이처럼 크게 확장된 공격면을 최신 위협으로부터 보호하기 위해 기업은 절대 신뢰하지 말고 언제나 확인하는 ‘제로 트러스트(Zero Trust) 모델’을 도입해 분산된 네트워크 전반에 엄격한 액세스 제어를 적용함으로써 사용자와 디바이스, 인프라를 모두 보호해야 한다.

그렇다면 제로 트러스트 구현을 위해 필요한 주요 기술은 무엇일까? 제로 트러스트 액세스(ZTA, Zero Trust Access) 전략의 성공적인 구현을 위해 기업은 주요 사용자와 엔드포인트에 대한 강력한 ID 및 액세스 관리(IAM), 그리고 엔드포인트와 네트워크 및 애플리케이션에 액세스 제어를 제공하는 긴밀히 통합된 보안 솔루션을 구현해야 한다.

ID 및 액세스 관리(IAM, Identity and Access Management)

ZTA를 통해 네트워크 리소스를 보호하기 위한 첫 번째 단계는 액세스 권한을 부여하기 전에 인증을 통해 사용자를 신뢰하는 것이다. ID 및 액세스 관리(IAM)와 역할 기반 액세스 제어(RBAC)로 ZTA의 기반을 구축할 수 있다.

기업 보안 팀은 누가 네트워크에 접속해 있는지 항상 파악하고 있어야 한다. 또한, 모든 사용자들의 사내 수행 역할을 파악해 IT에 접근이 필요한 시점에 각각의 역할이나 작업에 필요한 리소스에 대한 액세스 권한만 부여할 수 있도록 해야 한다.

IAM 솔루션은 다단계 인증(MFA, Multi Factor Authentication)과 디지털 인증서를 통해 계정을 설정한다. 컨텍스트(context) 기반 인증을 추가할 수도 있다. MFA 외에도 범용 인증 프레임워크(UAF, Universal Authentication Framework)와 범용 2단계 인증(U2F, Universal Second Factor) 모두를 지원하는 FIDO(Fast Identity Online)의 하드웨어와 소프트웨어 토큰 옵션을 지원해야 한다. 특별 액세스 권한에 사용할 수 있는 인증 소스에서 역할 기반 정보를 제공해야 하고, 역할 기반 최소 권한 액세스 정책을 설정·적용할 수 있어야 한다. SSO(Single Sign-On) 지원을 통해 사용자 규정을 준수할 수 있도록 도입 환경 개선도 필요하다. 보안 검증 마크업 언어(SAML, Security Assertion Markup Language)를 활용해 클라우드 기반 서비스형소프트웨어(SaaS) 애플리케이션에 액세스하는 사용자를 인증해야 한다. 각각의 애플리케이션 및 세션별로 디바이스와 사용자의 ZTNA 연결 상태도 확인해야 한다.

역할 기반 최소 권한 액세스와 특별 액세스 권한 관리

사용자 수백 명의 개별 사용자 계정 권한을 관리하는 것은 쉬운 일이 아니다. 수천 명의 사용자가 있는 기업이라면 관리가 불가능할 수도 있다. 역할 기반 액세스 제어(RBAC)는 그룹 또는 역할에 일련의 권한을 할당하므로 IT 관리자가 사용자에게 할당된 권한을 보다 효율적으로 관리할 수 있다. 그러나 RBAC가 양날의 검이 될 수 있기 때문에 역할은 명확하게 정의돼야 하며, 각 역할에 요구되는 기능을 수행하는 데 필요한 최소한의 권한만 할당받아야 한다. 이것이 ‘최소 권한의 원칙’이다.

역할이 너무 광범위하게 정의되면, 폭넓은 조치로 모든 사용자의 요구를 해결하려다 대규모의 사용자 그룹에 과도한 권한이 할당될 수 있다. 역할에 대한 정의가 불충분할 경우, 역할을 잘못 이해해 사용자가 역할에 부적절하게 할당될 수 있다.

특별 액세스 권한이 있는 계정은 공격자에게 특히 중요한 표적이 되고 있다. 이러한 계정은 일반적으로 네트워크의 중요한 시스템 및 리소스는 물론, 기밀 또는 민감한 데이터에 대한 액세스 권한을 갖고 있다. 특별 액세스 권한을 통해 사용자는 시스템, 애플리케이션, 네트워크 및 보안 인프라에 대한 관리자 수준의 변경(예: 소프트웨어(또는 멀웨어) 설치), 중요한 시스템 파일이나 데이터의 변경(또는 삭제), 새 계정 생성, 사용자 암호 재설정이 가능하다. 특별 액세스 권한은 도메인 관리자, 로컬 관리자, 비상 업무 처리 계정, 슈퍼 유저 및 권한 있는 비즈니스 사용자와 같은 인력이 사용하는 계정 또는 역할에 할당될 수 있다. 또한 특별 액세스 권한은 애플리케이션 및 서비스 계정과 같이 사람이 사용하지 않는 계정에도 할당될 수 있다.

특별 액세스 관리(PAM, Privileged Access Management)는 IAM의 하위 집합이다. IAM이 기업의 모든 사용자를 인증하고 권한을 부여하는 반면, PAM은 보다 높은 권한(즉, 특별 액세스 권한)이 있는 관리자 및 사용자 계정의 관리와 보안에 집중한다.

엔드포인트 탐지 및 대응(EDR, Endpoint Detection and Response)

데스크톱과 노트북, 서버, 사물인터넷(IoT) 디바이스 등을 포함하는 엔드포인트는 사이버범죄자들이 더 중요한 네트워크 리소스에 대한 액세스 권한을 얻기 위해 선호하는 초기 단계의 공격 대상이다. 취약한 사용자의 엔드포인트는 공격자의 표적이 되기 쉽다. 알 수 없는 파일의 다운로드와 설치, 이메일에 첨부된 잠재적 악성 파일 열기, 의심스러운 링크의 클릭 여부 등이 사용자의 판단에 달려 있기 때문이다. 이러한 점에서 효과적인 제로 트러스트 전략을 구현하는 데 있어 EDR이 중요한 부분을 차지한다.

멀웨어를 비롯한 위협 방어에 실패하는 경우, EDR은 엔드포인트와 네트워크의 위협을 탐지하고 대응할 수 있는 도구를 보안팀에 제공한다. EDR은 제로 트러스트 전략의 필수 구성 요소로, 기업이 ‘절대 신뢰하지 말고 언제나 확인’해야 하는 제로 트러스트 보안 태세를 엔드포인트로 확장할 수 있게 해준다.

EDR은 네트워크에 연결된 엔드포인트로부터 데이터를 수집, 구조화, 분석할 수 있는 중앙 도구를 기업에 제공한다. 또한 알림을 조율하고 긴박한 위협에 대한 대응을 자동화할 수 있는데, 이를 위해서는 엔드포인트 데이터 수집 에이전트, 자동화된 사고 대응, 엔드포인트 데이터 실시간 분석 기능이 필수적이다. 이 3가지 요소는 효과적인 제로 트러스트 전략의 일부로 함께 작동해 엔드포인트와 네트워크 환경의 위협을 탐지하고 억제하며, 조사를 통해 퇴치할 수 있다.

네트워크 액세스 컨트롤(NAC, Network Access Control)

기업 조직은 인증과 계정관리를 통해 네트워크에 누가 있는지 파악하는 것뿐만 아니라, 네트워크에 어떤 디바이스가 있는지 알아야 한다. 최근 네트워크에 연결하는 디바이스의 확산으로 기업이 보호해야 할 공격표면이 크게 확대되면서 많은 기업들이 네트워크에 어떤 디바이스가 연결되었는지 가시성과 제어 기능이 약화되고 있다. 가시성이 부족하면 리스크에 노출될 수밖에 없다. NAC 솔루션으로 기업은 네트워크에 연결된 엔드포인트와 디바이스의 확산으로 넓어지는 공격면에 대응할 수 있다.

NAC 솔루션은 정책을 시행하고 동적으로 제어할 수 있는 네트워크 환경 가시성을 제공한다. 디바이스가 네트워크 내부 또는 외부에서 연결됐는지 여부와 관계없이 NAC 솔루션은 침해된 디바이스나 비정상적인 활동에 자동으로 대응한다. NAC 솔루션은 네트워크 액세스를 요청하는 모든 디바이스를 자동으로 식별하고 프로파일링해 디바이스의 취약성을 스캔할 수 있다. 디바이스 침해 리스크를 최소화하기 위해 NAC 프로세스는 몇 초 안에 완료돼야 한다. NAC 솔루션은 중앙에서 손쉽게 배포할 수 있어야 하며 유선 및 무선 네트워크 전반에서 일관된 운영을 제공해야 한다. 효과적인 NAC 플랫폼은 모든 엔드포인트 및 네트워크 인프라 디바이스를 검색할 수 있도록 정책 기반 보안 자동화 및 오케스트레이션을 제공하고, 동적 네트워크 액세스 제어를 구현하기 위한 컨텍스트별 인식을 제공하며, 자동화된 위협 대응을 통해 사이버침해 억제 기능을 제공한다.

기존 VPN의 한계를 극복하는 ZTNA

가상사설망(VPN, Virtual Private Network)이 현재 보편화돼 있지만, 많은 기업은 증가하는 원격 및 모바일 인력을 안전하게 연결할 수 있는 더 나은 솔루션을 찾고 있다. 글로벌 팬데믹으로 최근 원격근무가 확산하면서 VPN의 한계가 드러나고 있다. VPN은 오래된 경계기반 기술로 회사 네트워크에 연결되면 모든 네트워크 리소스에 대한 광범위한 액세스 권한을 갖게 된다. 전달하는 트래픽에 대한 가시성을 확보할 수 없고, 고도로 분산된 네트워크 리소스에 맞게 설계되지 않아 문제가 발생할 수 있다.

ZTNA는 기존 VPN보다 더 우수한 원격 액세스 솔루션을 제공하는 동시에 애플리케이션 액세스 문제를 해결한다. ZTNA는 사용자 위치만으로는 신뢰를 얻을 수 없다는 전제에서 시작한다. 즉, 사용자나 디바이스의 실제 위치는 의미가 없다. 어떤 사용자도 악의적 행동을 할 수 있고, 어떤 디바이스든 침해당할 수 있다. ZTNA는 이러한 현실을 기반으로 구현된다.

ZTNA는 사용자나 디바이스가 인증된 후에만 세션별로 개별 애플리케이션 및 워크플로우에 대한 액세스 권한을 부여한다. 사용자는 액세스 권한을 받기 전에 애플리케이션 액세스에 대한 확인과 인증을 거쳐야 한다. 또한, 모든 디바이스는 애플리케이션에 액세스할 때마다 해당 디바이스가 애플리케이션 액세스 정책을 준수하는지 여부를 확인받아야 한다. 인증 과정에서는 사용자 역할, 디바이스 유형, 디바이스 규정 준수, 위치, 시간, 디바이스나 사용자가 네트워크나 리소스에 접속하는 방식 등 다양한 컨텍스트 정보를 사용한다.

ZTNA를 사용하면, 사용자 및 디바이스가 제대로 인증된 후에 네트워크에 안전하게 연결되고 요청한 리소스에 대한 최소 권한 액세스가 부여된다. 정책을 통해 애플리케이션과 트랜잭션을 처음부터 끝까지 추적한다. ZTNA는 새로운 인증 솔루션도 원활하게 추가할 수 있다. ZTNA 구현 방식은 디바이스에 설치된 에이전트를 사용해 안전한 터널을 생성하는 ‘클라이언트 기반 ZTNA’ 또는 ‘엔드포인트 기반 ZTNA’와, 리버스 프록시 아키텍처를 사용하며 ‘애플리케이션 기반 ZTNA’라고도 부르는 ‘서비스 기반 ZTNA’ 2가지가 있다.

ZTNA는 네트워크 계층에서 운영되는 VPN과 달리, 전송 계층에 집중해 네트워크와 독립된 애플리케이션 보안을 효과적으로 제공한다. ZTNA는 VPN보다 관리하기 쉽다. 사용자가 어디에 있건 애플리케이션을 실행하기만 하면 애플리케이션이 온프레미스에 있든 클라우드에 있든 관계없이 즉시 안전한 연결이 설정된다. 이 암호화된 터널은 백그라운드에서 온디맨드로 생성된다. 사용자와 디바이스는 애플리케이션이나 리소스에 대한 액세스 권한이 부여되기 전에 확인 및 검증을 받는다. ZTNA는 비즈니스에 중요한 애플리케이션을 인터넷으로부터 숨겨 공격면을 줄인다.