[ZTNA ②] 차세대 네트워크 보안으로 부상한 ‘ZTNA’
사용자 인증 고도화 및 엔드포인트 외부 노출 차단 기능 갖춰
[아이티데일리] VPN이 사이버공격의 온상이 되고 있다. 많은 기업에서는 코로나19 대유행으로 원격 근무 환경을 구축하기 위해 VPN을 도입했다. 그러나 VPN은 구조적 약점으로 인해 해커들이 내부 네트워크로 침투하는 경로로 악용됐다. 특히 과도한 권한 부여와 정적인 접근 제어 방식은 공격의 표적이 되기에 충분했다.
지능화된 사이버 위협에 대응하기 위해 ‘제로 트러스트 네트워크 액세스(Zero Trust Network Access; ZTNA)’가 떠올랐다. ZTNA는 모든 접속 시도를 검증하고 최소 권한만을 부여하는 방식으로 VPN보다 강화된 보안을 제공한다. VPN이 주된 공격 표적이 된 이유와 그 대안으로 떠오르고 있는 ZTNA에 대해 알아봤다.
“아무도 믿지 않는다”
제로 트러스트(Zero Trust)는 네트워크가 항상 침해됐다고 가정한 채, 사용자를 검증하고 보호해야 할 자원(데이터, 컴퓨팅 서비스 등)에 대한 접근을 최소한으로 부여하는 보안 모델이다. 포레스터 리서치(Forrester Research) 존 킨더박(John Kindervag) 애널리스트가 2010년 처음 소개했다. 여기서 ‘제로’란 내재적 또는 암묵적 신뢰가 없다는 의미이다.
제로 트러스트는 새로운 보안 체계를 구성하는 모델이자 접근 방식이다. 정답이 정해진 개념이 아니기 때문에 회사마다 해석하는 방법이 다르다. 하지만 모든 아키텍처가 따라야 할 핵심 원칙은 있다. 기본 원칙은 △위치와 관계없이 모든 자원에 안전히 접속 △최소 권한 전략으로 엄격한 접근 제어 △모든 트래픽의 검사 및 기록 등 세 가지다.
ZTNA는 제로 트러스트 원칙을 네트워크 보안에 적용한 프레임워크다. 가트너(Gartner)가 2018년 보고서에서 사용자 대 서버 보안에 ZTNA라는 이름을 제안하며 대중에 널리 알려졌다.
ZTNA는 제로 트러스트의 접근 제어 아키텍처에 근간을 둔다. 미국 국립표준기술연구소(NIST)가 SP 800-207에서 제안한 아키텍처는 전체 체계를 크게 컨트롤 영역과 데이터 영역으로 나눈다. 데이터 영역은 주체(사용자, 기기)-시스템-정책 시행 지점(PEP)-자원(리소스)으로 구성된다. 주체는 컨트롤 영역에 있는 ‘정책 결정 지점(PDP)’에서 ID를 인증받고 최소한의 권한만을 얻으며, 이를 PEP가 실행함으로써 접속이 승인된다.
자원 위치는 숨기고 접근 권한은 줄이고
VPN과 ZTNA는 원격에서 기업 내부에 안전히 접근할 수 있도록 지원하는 기술이라는 점에서는 같다. 하지만 근본적인 보안 모델, 작동 방식, 접근 제어 범위에서 큰 차이를 보인다. 우선 VPN은 전통적인 경계 보안 모델에 기반한다. 인증을 통해 터널 안으로 들어온 사용자에게는 시스템 자원에 자유롭게 접근하는 권한이 주어진다.
반면 ZTNA는 제로 트러스트 원칙에 근거해 네트워크 위치와 관계없이 모든 접근 시도를 신뢰하지 않는다. 사용자 신원과 장치 상태, 위치 등 여러 정보를 토대로 매번 검증이 이뤄지며, 인증이 완료됐다 해도 권한을 최소한으로 부여한다. 또 인증이 이뤄지기 전까지는 접속이 이뤄지는 엔드포인트가 외부에 노출되지 않는다. 공격자가 침투하기 어려우며 설령 들어온다 해도 접근할 수 있는 영역이 제한적이다.
VPN과 ZTNA를 경복궁과 광화문으로 쉽게 비유할 수 있다. 광화문을 통과해야 경복궁으로 들어갈 수 있다. 이때 광화문에 보초를 세우고 보안 절차를 마련함으로써 신원불상자가 침입하는 일을 막을 수 있다. 하지만 광화문의 위치는 지도상에서 누구나 확인이 가능하며, 일단 문만 넘어서면 경복궁을 활보할 수 있다. 이게 VPN의 기본 구조다.
ZTNA 환경에서는 광화문의 위치가 외부에 노출되지 않으며, 대신 별도의 검문소(PDP)에서 접근을 통제한다. 경복궁에 들어가기 위해선 검문소에서 보안 체계를 통과해야 한다. 신원이 확인되면 광화문의 위치가 일시적으로 공개된다. 광화문을 통해 경복궁에 들어간다 해도 갈 수 있는 구역이 근정전, 경회루, 강녕전 등으로 제한된다. 출입 시 매번 이러한 과정을 거쳐야 하며 자원의 위치는 외부 노출 없이 보호된다.
업체별 강점 살린 ZTNA 솔루션
앞서 언급했듯 ZTNA는 보안 모델 개념이자 방법론이며 접근 방식이다. 명확히 보편화된 방법론이란 없다. 기업은 아키텍처를 참조하되 내부 시스템 환경, 사업 성격에 따라 각기 다른 방식을 선택할 수 있다. 보안 업체 역시 강점을 보유한 기술을 중심으로 ZTNA 구현 방안을 제시하고 있다.
국내에서는 지니언스, 엠엘소프트, 프라이빗테크놀로지, 드림시큐리티 등이 ZTNA 제품군을 제공 중이다. 해외에서도 포티넷, 팔로알토네트웍스, 클라우드플레어, 시스코 등 유수의 기업에서 관련 솔루션을 출시하고 있다.
지니언스는 자사 네트워크 접근 제어(NAC) 솔루션을 기반으로 ‘지니안 ZTNA’를 개발했다. 지니안 ZTNA는 사용자 인증을 위한 에이전트와 게이트웨이 등으로 구성되며, 세분화된 정책을 제공하면서도 기존 VPN과 같은 업무 환경을 구축하도록 지원한다. 특히 보안 강화는 백그라운드에서 이뤄지며 사용자가 인터페이스에서 느끼는 편의성을 유지하기 위해 노력했다.
프라이빗테크놀로지는 구축형 ZTNA ‘프라이빗커넥트(PRIBIT Connect)’를 서비스하고 있다. 이 솔루션은 에이전트 기반으로, 네트워크에 연결하기 전인 장치 수준에서 허용되지 않은 접속을 차단하는 데 초점을 맞췄다. 네트워크 접속 전에 차단이 이뤄져 실제 속도, 대역폭에 영향을 미치지 않으며, 모든 접속 요청에 ‘데이터 플로우 ID’를 부여함으로써 디바이스 성능 저하 없는 사용성을 제공한다.
엠엘소프트와 드림시큐리티는 ‘소프트웨어 정의 경계(Software-Defined Perimeter; SDP)’로 ZTNA를 구현한다. 이 기술은 2014년 클라우드 보안 협회(CSA)에서 제시한 개방형 보안 아키텍처다. 전통적인 경계 보안 모델이 클라우드 환경에 한계를 드러내며 대안으로 나왔으나, 접속 권한 획득 전 인증이 먼저 이뤄지며 그 이후 암호화된 연결을 제공하는 등 제로 트러스트 원칙에 부합한다. 실제로 NIST에서도 SDP를 ZTNA를 구현하는 아키텍처 중 하나로 간주했다.
엠엘소프트는 한국전자통신연구원(ETRI)으로부터 ‘트러스트 접속 프로텍션 솔루션(TAPS)’ 기술을 이전 받아 ‘티게이트(Tgate) SDP’를 개발하고 자사 NAC와 연동했다. TAPS는 SDP 제어기의 보안을 강화하고, 여러 서비스 구조에 대한 호환성을 높였다. 한편, 드림시큐리티는 ‘매직(Magic) SDP’를 중심으로 IAM, 공개 키 인프라(PKI), FIDO(Fast Identity Online) 등을 연계해 제로 트러스트 아키텍처를 구현했다.
여전한 VPN 강세…단계적 접근으로 진입장벽 완화
ZTNA는 VPN보다 더 안전한 기술로 인정받는다. 세밀한 접근 제어로 공격표면을 줄이고 시스템 내 횡적 이동을 차단하며, 사용자 인증을 강화하는 등 지능화된 위협으로부터 네트워크를 보호하는 데 강점을 나타낸다.
관건은 구현이다. 그동안 원격 접속을 위해 만들어둔 VPN 환경을 하루아침 사이 ZTNA로 바꿀 수는 없다. VPN 장비를 위해 투자한 비용과 익숙해진 환경을 바꾼다는 심리적 장벽이 ZTNA 전환을 어렵게 만든다. 이런 이유로 국내에선 VPN이 여전히 강세를 보이고 있다.
프라이빗테크놀로지 제품기획실 양광희 실장은 “ZTNA는 경계 보안 중심인 VPN과 접근 방식이 다르며 인증 강화, 사용자 관리 등을 아우르는 종합적인 기술이다. 솔루션을 교체하는 선을 넘어 새로운 구조를 고민해야 한다”면서도 “아직 국내는 물리적 경계에 관심이 많고 안정적인 대체재를 원하고 있어 VPN 선호도가 높다”고 말했다.
지니언스 이대효 상무는 “ZTNA가 보안 측면에서 강력하다 해도 기업들은 네트워크 인프라를 변경해야 한다는 데에 부담을 느낀다”며 “진입장벽을 낮출 수 있도록 기존 VPN 고객에게 ZTNA로 조금씩 전환하는 방안을 제안하고 있다”고 설명했다.