보안기업과 사용자를 위한 A to Z 실증 사례 시급
현장에선 개념부터 기술까지 여러 혼란 존재…실증사례 등 도움 시급
기관·기업의 보안담당자에게 물어본 제로트러스트 보안 인식조사 결과
[인터뷰] 한국인터넷진흥원 변순정 보안산업진흥팀장, 최영준 정책대응팀장
국내외 대표 제로트러스트 보안 솔루션 : 모니터랩, 시만텍, 프라이빗테크놀로지, 소프트캠프, 엔키, 파이오링크
[보안뉴스 원병철 기자] 한 킬러가 병원에 입원중인 주인공을 죽이려고 병원에 잠입한다. 처음엔 병원 청소부를 공격해 병원 출입증과 청소복을 구하고, 다시 이를 이용해 병원에 잠입한 뒤 세탁실에 있던 의사 가운을 찾아 의사인척 각 병동을 다닌다. 몇 곳의 병실을 뒤진 끝에 드디어 주인공을 찾았다. 그런데 여기에 제로트러스트(Zero-Trust)를 적용하면 어떻게 될까? 청소부로 변장한 킬러는 세탁실로 진입할 수 없다. 청소부에게 정해진 청소구역이 있기 때문이다. 때문에 청소부가 가지고 있던 출입증으로는 세탁실을 들어갈 수 없다. 어찌해 의사 가운을 찾았다고 해도 역시 병동을 돌아다닐 수 없다. 의사 역시 전공에 따라 병실을 다니는 만큼 해당 병동, 예를 들면 소아과라면 소아과 출입증 혹은 소아과 의사증이 있어야 들어갈 수 있다는 거다. 처음에는 병원에 들어왔지만, 세탁실로 갈 때, 혹은 병실에 들어갈때도 계속 해당 구역에 들어갈 수 있는 신분인지를 확인하는 것, 이게 바로 제로트러스트를 쉽게 설명해주는 예시다.
[이미지=gettyimagesbank]
제로러스트 활성화 위한 첫발 디뎠다
2023년은 제로트러스트(Zero-Trust)의 해였다고 할정도로 보안분야 최고의 이슈로 자리잡았다. 2024년도 예외는 아니다. 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA)이 준비하는 ‘제로트러스트 가이드라인 2.0’이 공개를 앞두고 있고, 제로트러스트 보안 모델 실증사업도 지난 2023년 11월 성과공유회를 통해 그 결과를 공개한 이후 올해 보다 자세한 내용이 공개될 예정이다.
하지만 실제 사용자들은 명확하게 제로트러스트에 대한 개념도, 솔루션도, 필요성도 잘 모르고 있는 경우가 많다. 그럴 수밖에 없는 게, 제로트러스트는 하나의 ‘개념’으로 모든 보안 솔루션에 적용이 가능하기 때문에, 시장에 나와 있는 솔루션들이 저마다 다른 내용을 말하기 때문이다. 제로트러스트의 세상은 현재 혼란의 소용돌이다.
제로트러스트에 대한 정의는 그간 미 NIST(국립 표준기술연구소, National Institute of Standards and Technology)를 비롯해 다양한 기관 및 기업들이 해왔다. 핵심은 간단하다. ‘Never Trust, Always Verify(절대 믿지 말고, 항상 확인해라)’다. NIST는 “네트워크가 이미 침해됐다고 가정하고, 이로부터 보호해야 할 데이터와 서비스에 접근하려는 사용자를 다시 확인하고 최소한의 권한만 부여하는 것”이라고 표현했다.
이는 기존 보안이 ‘경계 기반 보안(Perimeter-Based Security)’에 입각해 단 1번만 정상적인 사용자임을 확인했다면, 그 다음부터는 자유롭게 네트워크를 이용해 데이터와 서비스를 이용할 수 있게 했기 때문에, 한 번만 경계가 뚫리면 그 이후로는 방어하기가 어렵다는 것을 보완하기 위함이다. 제로트러스트 가이드라인에 따르면, 모바일과 사물인터넷, 그리고 클라우드의 확산으로 원격재택 근무환경이 조성되고, 코로나 펜데믹으로 비대면 사회가 가속되면서 기업망 보호를 위한 전통적인 사이버보안 체계의 변화가 필요해졌다. 게다가 디지털 전환의 가속화로 기존 네트워크 경계가 확장되고 다변화되면서 사이버보안 역시 일상생활과 다양한 산업분야로 확장됐다. 아울러 갈수록 늘어나는 해킹이나 랜섬웨어로 인한 피해는 경계 기반 모델의 문제를 드러내며, 기존 솔루션으로는 완벽한 해결책을 제공하지 못한다는 설명이다.
다만 보안전문가들은 제로트러스트가 단순히 경계 기반 보안을 ‘대체’한다거나, ‘네트워크 보안’에만 적용되는 것처럼 보이는 것에 대해 경계심을 드러내고 있다. 즉, 기존 경계 기반 보안의 한계가 명확해 제로트러스트로 ‘대체’하는 것이 아니라 ‘보완’하는 것이며, 상당기간 공존할 것이라는 설명이다. 게다가 제로트러스트가 네트워크 보안에만 적용된다거나, SDP(소프트웨어 정의 경계, Sofetware Defined Perimeter)나 ZTNP(제로트러스트 네트워크 액세스, Zero Trust Network Access) 등 핵심 솔루션 그 자체인 것으로 오해하는 것도 우려하고 있다.
그렇다면, 제로트러스트는 어떻게 시작했으며, 어떻게 움직이고 있는지, 현재 기술력과 플레이어들은 누가 있는지, 그리고 사용자들은 제로트러스트를 어떻게 받아들이고 있는지 알아보자.
제로트러스트의 등장과 확산
제로트러스트는 2010년 처음 그 개념이 소개됐으며, 당시에는 경계 기반 보안 모델의 한계를 보완하기 위한 여러 논의 중 하나였다. 사실 엄밀히 따지면 1994년 S.P. March의 ‘Formalising Thrust as a Computational Concept’ 보고서와 2003년 제리코 포럼(Jericho Forum)의 ‘조직 IT시스템 경제 정의’, 그리고 2009년 구글의 제로트러스트 환경 ‘BeyoundCorp’ 등에서 이미 제로트러스트와 관련된 내용이 언급된 바 있다. 즉, 아주 새로운 개념은 아니라는 의미다.
이후 2016년 9월 미연방 인사관리처(OPM)에서 발생한 개인정보 유출사고에 대한 미국 하원 감독개혁위원회 보고서에서 ‘제로트러스트 모델을 도입하자’는 내용이 나오면서 본격적으로 논의되기 시작했다. 특히 NIST가 2020년 8월 ‘SP 800-207 보고서’에서 ‘Zero Trust Architecture’를 소개하며 내부 사용자가 한 번 뚫리면 연쇄적으로 공격당하는 것을 막을 수 있는 방법을 제안한 것이 본격적인 제로트러스트 활성화의 방아쇠가 됐다.
2019년 코로나 펜데믹이 전 세계를 덮치면서 보다 강화된 네트워크 보안이 요구됐고, 2021년 5월 바이든 미국 대통령의 ‘국가 사이버보안 개선을 위한 행정 명령(Executive Order 14028)’과 2021년 6월 미국 사이버보안 전담기관 CISA의 ‘제로트러스트 성숙도 모델(Pre-decisional Draft)’, 2021년 7월 NIST의 ‘행정명령(EO-14028)’ 관련 주요 소프트웨어에 대한 보안성 관련 지침, 미국 백악관관리예산처(OMB)의 제로트러스트 사이버 보안 원칙을 향한 미 연방정부 전략에 관한 각서, 2022년 5월 NIST의 ‘제로트러스트 아키텍처 계획 : 연방 관리자를 위한 계획수립 지침 백서 CSWP 20’ 및 8월 제로트러스트 아키텍처 구현(SP-1800-35A~D, Preliminary Draft) 발간 등 적극적이면서도 구체적인 도입 계획을 수립했다.
다만 미국을 제외한 영국과 일본 등 주요 선진국은 제로트러스트 설계 원칙과 가이드라인을 위주로 연구하고 있다. 이처럼 대부분 미국의 움직임을 관망하며 도입 여부를 검토하고 있기 때문에 우리나라도 빠르게 움직인다면 늦은 편은 아니라는 것이 전문가들의 분석이다. 과기정통부가 2022년 10월 제로트러스트·공급망보안 포럼‘을 발족하며 제로트러스트 도입에 발벗고 나선 이유도 그 때문이다.
우리나라는 앞서 소개한 것처럼 2022년 6월 ‘디지털플랫폼정부’의 정의 및 관련 체계 구축을 위한 TF를 결성하면서 제로트러스트에 관한 연구를 시작했고, 이를 바탕으로 2022년 10월 제로트러스트·공급망보안 포럼을 만들어 본격적인 연구 및 산업화에 나섰다.
제로트러스트 실증사업 추진
과기정통부는 KISA와 함께 제로트러스트·공급망보안 포럼을 발족하고 본격적으로 제로트러스트에 대한 연구를 진행한 후, 2023년 7월 ‘제로트러스트 가이드라인 1.0’과 하반기 실증 시범사업을 추진했다. 아울러 2024년 상반기 ‘제로트러스트 가이드라인 2.0’이 나올 계획이다.
가이드라인은 민간 기업이 제로트러스트를 쉽게 도입할 수 있도록 만들어졌다. 이와 관련 과기정통부 정은수 정보보호산업과장은 “제로트러스트가 본격화되면서 정부는 포럼을 만들어 대응할 수 있는 준비를 하기 시작했고, 민간 기업이 제로트러스트를 쉽게 도입할 수 있도록 가이드라인 1.0을 만들었다”면서, “아울러 모델별로 성숙도 모델을 구체화하고, 기업이 실질적인 도움을 받을 수 있는 가이드라인 2.0을 2024년 상반기까지 마련할 것”이라고 설명한바 있다.
또한 제로트러스트·공급망 보안 포럼의 운영위원장을 맡았던 순천향대 염흥열 교수도 “제로트러스트 1.0이 나와 모든 산업에서 도입할 수 있게 됐는데, 좀 더 자세하기 들여다보면 산업별로 사용하는 보안모델이 다르기 때문에 이에 대한 세부적인 가이드가 필요하다”고 말했다.
이러한 움직임은 2개 컨소시엄과 1개 검증기업을 통한 실증사업으로 이어졌다. 에스지에이솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄, 그리고 엔키가 검증기업으로 참가했다. 물론 정부와 보안기업, 그리고 사용자 역시 제로트러스트에 대한 이해가 부족했기 때문에 이 실증사업도 쉬운 일은 아니었다. 게다가 불과 몇 개월 사이에 기획부터 마무리까지 급하게 이뤄지면서 여러 시행착오도 겪은 것으로 알려졌다.
가장 중요한 것은 이번 컨소시엄 구성을 통해 보안기업들이 제로트러스트를 위한 ‘협업’의 중요성을 알게됐다는 사실이다. 사실 미국 정부도 완전한 제로트러스트 아키텍처의 복잡성 때문에 단일 기업이 제로트러스트 아키텍처의 모든 측면을 다룰 수 없다고 인식하고 있다. 때문에 다양한 지침이나 백서, 나아가 정부와 기업의 모임을 만들어 제로트러스트 성숙도를 위한 연구를 계속하고 있다. 우리 기업들 역시 이번 컨소시엄과 한국제로트러스트위원회 등의 모임을 통해 기업 간 협업에 대해 부단히 노력하고 있다. 아울러 엔키의 검증으로 제로트러스트의 유효성을 검증할 수 있는 방법론도 어느 정도 정립됐다.
이런 결과로 앞으로의 방향성은 분명하게 잡았다는 것이 관계자들의 판단이다. 특히 NIST 등 미국의 움직임에 기준을 잡고 기초를 잡았지만 이번 실증사업으로 우리가 움직여야 할 방향과 방법, 보완해야 할 점 등을 알게 된 것이 가장 큰 수확이라는 것이다. 이러한 실증사업은 2024년 상반기 나올 ‘제로트러스트 가이드라인 2.0’에 자세하게 소개될 것으로 보인다.
제로트러스트 실증 및 공동연구는 미국도 이미 오래 전부터 실행하고 있다, 미국은 디지털 정부 전략에 대응하기 위해 설립된 ‘ATARC(첨단기술 학술연구센터)’이 ‘Zero Trust Integration Lab(ZTIL)’을 만들어 정부와 민간의 보안전문가들을 모아 CISA가 정의한 제로트러스트를 위한 기술 아키텍처와 하드웨어 및 소프트웨어 솔루션을 연구했다. 특히 통합 솔루션에 대한 개념 증명을 지원하고, 여러 보안 솔루션을 통합하며, 시뮬레이션된 환경에서 제로트러스트를 구현하고 있다. ZTIL에는 미 정부기관은 물론 학계와 IT 및 보안기업 전문가들이 모여 제로트러스트 역량 모델과 데모 시나리오를 공유하고 있다. 주목할 것은, 유튜브 채널을 통해 각자의 제로트러스트 기술과 제품을 소개하고, 이에 대한 토론을 진행해 관련 기관 및 기업들이 보고 배울 수 있도록 공개하고 있다는 점이다.
제로트러스트에 대한 상호 이해 및 사례 공유
현재 제로트러스트의 상황이 좋은 것만은 아니다. 정부의 정책적인 지원과 보안 솔루션 기업의 적극적인 연구, 그리고 제로트러스트가 필요해진 현실 등 여러 가지 상황이 잘 맞아떨어지긴 했지만, 새로운 개념의 적용과 개발, 그리고 필요성은 느끼지만 당장 도입하는 것에 대한 비용문제 등은 어려움으로 다가온다.
업계에서는 제로트러스트에 대한 정의가 논란이다. 애초에 제로트러스트가 ‘개념’으로 등장한 만큼 ‘Never Trust, Always Verify(절대 믿지말고, 항상 확인해라)’라는 논조에만 부합하면 ‘제로트러스트 솔루션’이라는 측과 미국에서도 처음엔 개념으로 접근했지만, 점차 NIST SP 800-207이나 NIST SP 1800-35 등 개념 정립을 통해 기술적 가이드라인이 만들어진 만큼, 그에 따른 기술적 뒷받침이 있어야 한다는 측으로 나뉘고 있다.
실제로 제로트러스트 가이드라인 1.0에 따르면 제로트러스트 아키텍처는 제어 영역과 데이터 영역으로 구분되며, 접속 요구 제어를 위한 정책결정지점(PDP)과 정책시행지점(PEP)이 있다. PDP는 정책엔진(PE)과 정책관리자(PA)로 나뉘며, PE는 신뢰도를 판단해 접속 허가를 최종 결정하고 PA는 PEP에 명령해 정책을 실행한다. PDP는 PEP와 다양한 보안 솔루션(PIPs, 예를 들면 SIEM, C-TAS, IAM, LMS 등)에서 생성한 보안 정보를 바탕으로 한 ‘신뢰도 평가’를 통해 자원 접근 여부를 결정하고, 접근 허가 후에는 양방향 보안 통신경로를 생성한다. 이 때문에 PDP나 PEP 등 핵심기술과 PIPs를 명확히 구분해야 한다는 것이다.
또한, 제로트러스트 개념이 그 어떤 보안 솔루션에도 적용이 가능한 만큼 전체로 묶어야 한다는 측과 경계 기반 보안을 강화하기 위해 나온 것이니만큼 SDP나 ZTNP 등에 초점을 맞추고 이후 다른 보안 솔루션에 적용하는 것이 좋다는 측의 의견으로 나뉘고 있다.
이 때문에 보안전문가들은 미국 ATARC의 ZTIL과 같은 사례가 필요하다고 조언한다. 제로트러스트를 적용하는 솔루션이 서로 다른 각자의 솔루션인만큼, 보안기업들이 제로트러스트 솔루션을 개발하면 전문가들이 함께 의견을 나누며 하나의 ‘사례’를 만들어 공유하는 것이 필요하다는 뜻이다. 실제로 앞서 소개한 ZTIL에서 운영하는 유튜브를 보면, 약 50여개의 기업들이 ‘Zero Trust Demo’를 공유하고 있는데, 이 영상을 보면 각각의 제로트러스트 솔루션이나 제로트러스트 적용사례를 소개하고 마지막에 Q&A를 진행한다.
우리나라 역시 이렇게 다양한 제로트러스트 적용사례를 공유하고 이를 통해 서로 협업할 수 있는 길을 마련해 점차 협력할 수 있는 길을 제시하는 것이 필요하다는 지적이다. 어차피 제로트러스트는 1~2개의 솔루션으로는 완성할 수 없는 만큼 협업이 필수이기 때문이다
실제 고객들의 제로트러스트 도입 반응은
그럼 현재 제로트러스트 솔루션 도입 반응에 대해 알아보자. 이는 일반 기관과 기업, 즉 사용자 입장의 도입과 보안솔루션 회사의 도입 두 가지로 나눠 확인할 수 있다. 먼저 보안기업의 제로트러스트 도입 반응을 보면, 아직은 초기 단계지만 시장을 선도하는 기업들을 중심으로 빠르게 도입하고 있는 것으로 알려졌다. 특히 국내에서는 약 12개의 보안업체가 이미 제로트러스트 관련 솔루션을 서비스하고 있고, 20개 이상의 기업들이 관련 솔루션을 개발하고 있는 것으로 알려졌다.
이와 반대로 사용자들의 제로트러스트에 대한 니즈는 높지만 실제로 도입하거나 계획을 세우는 곳은 그렇게 많지 않은 것으로 보인다. 즉, 제로트러스트가 2022년부터 2023년까지 매우 핫한 키워드로 떠오르면서 많은 보안전문가들이 이에 대한 기대나 고민은 크지만, 아직까지 도입을 고민하는 곳은 적다는 의미다. 게다가 제로트러스트를 마치 만병통치약으로 여겨 그동안의 보안 홀을 모두 메워주기를 바라기 때문에, 실제 제로트러스트 솔루션과의 차이 때문에 괴리감을 느끼는 경우도 많은 것으로 알려졌다. 아울러 이미 구축한 기존 인프라와의 호환성과 사용성 등으로 인해 선뜻 손을 내밀기도 쉽지 않은 상황이다.
다만 금융권 등 보안 트렌드에 민감한 분야를 중심으로 조금씩 제로트러스트 도입에 대한 기대감이 커지고 있고, 정부기관과 대기업 등 대형 사이트를 중심으로 조금씩 도입 움직임을 보이는 상황이다. 특히 이번 과기정통부의 제로트러스트 가이드라인 1.0 발표와 국가정보원의 공공기관 제로트러스트 도입 발표 이후 이러한 움직임은 더 활발해졌다고 업계에서는 이야기한다.
제로트러스트 도입의 가장 큰 문제점
그렇다면 제로트러스트 솔루션 기업들이 바라보는 가장 큰 문제는 무엇일까? 우선 제로트러스트가 기존 보안 솔루션과의 개념이 다르기 때문에 이에 대한 고객의 이해와 결단이 필요하다. 아울러 제로트러스트는 기존 경계 기반 보안과 달리 보안성을 강화한 개념이기 때문에 더 복잡하며, 그로 인해 더 많은 리소스가 필요한 것은 물론 비용이 증가할 수 있다. 즉, 제로트러스트가 모든 리소스에 대한 접근을 제한하고, 이에 대한 엄격한 인증과 승인을 요구하기 때문에 기존 보안 솔루션을 사용할 때보다 더 복잡하고 다양한 솔루션을 사용해야 한다는 얘기다.
이 때문에 네트워크 트래픽이 많은 환경에서는 성능 저하가 발생할 수 있으며, 이를 해결하기 위한 운영 비용이 증가할 수밖에 없다. 게다가 제로트러스트를 네트워크 등 한 두 개의 솔루션이나 분야에 도입했다고 해서 모든 보안 홀이 해결되는 것이 아니기 때문에, 이러한 투자와 비용 증가는 계속 늘어날 수밖에 없으며, 이러한 것은 단순히 비용을 넘어 사용자의 불편함을 초래하기도 한다.
즉, 제로트러스트의 도입은 새로운 보안 솔루션의 구축과 기존 솔루션의 연동문제로 인한 비용 증가와 사용상의 불편함과 직원 교육 등 다양한 문제가 필연적으로 발생한다. 하지만 모든 보안 솔루션이 그렇듯 보안은 단순히 비용처리가 아닌 기관이나 기업 등 조직의 영속성을 위해서 반드시 필요한 수단이다. 이에 보안 솔루션 기업 역시 제로트러스트의 활성화를 위한 방안을 고민하고 기업과 기관들이 쉽게 도입할 수 있도록 할 필요가 있다.
시장을 리딩하는 제로트러스트 구현 솔루션
다행이 현재 시장을 리딩하는 보안기업들은 이미 제로트러스트 구현 솔루션을 시장에 선보이고 있다. 국내에서 서비스되는 제로트러스트 보안 솔루션과 기술은 어떤지 알아보자.
모니터랩, 제로트러스트 핵심보안기능 접목한 ‘Cloud 기반의 SSE 플랫폼’
모니터랩은 가트너에서 제시한 제로트러스트 구현을 위한 플랫폼인 SSE(Security Service Edge)를 통해 이의 핵심 보안 기능인 SWG, ZTNA, CASB 기능을 자체 개발한 단일 플랫폼에서 제공해 각 기능별로 다른 벤더를 사용함으로써 발생할 수 있는 성능저하나 관리의 복잡성 및 어려움, 비용 상승 등의 문제를 해소할 수 있다. 아울러 device posture 및 인증 등 제로트러스트에서 필요로 하는 기본적인 부가 보안 기능들도 함께 제공하고 있다.
특히, 제로트러스트의 핵심 보안 기능 중 하나인 SWG(Secure Web Gateway)에 대한 오랜 운영 경험과 많은 고객사로부터 받은 피드백을 통해 차별화된 기능과 안정적인 서비스를 제공하고 있다. 아울러 AILABS라는 이름의 자체적인 위협관리시스템(Threat Intelligence)과의 상시 연동을 통해 평판정보 등 최신의 위협 정보를 실시간으로 제공한다.
소프트캠프 ‘SHIELDEX Remote Browser’
소프트캠프는 신기술 및 융·복합기술로 평가되는 RBI(Remote Browser Isolation)의 국가·공공기관에 도입의 근거를 마련하고자 신속확인서를 취득했다. 소프트캠프의 RBI 기술 기반의 가상화 솔루션이 인증되면서, 제로트러스트 보안을 구현하는 SDP(Software Defined Perimeter) 기술 기반의 제품과 더불어 고객들이 제로트러스트 구현 방법에 보다 폭넓은 선택이 가능해졌다.
제로트러스트 기반의 원격 브라우저 격리(RBI : Remote Browser Isolation) 제품인 ‘SHIELDEX Remote Browser’는 원격 브라우저 격리(RBI) 보안 제품으로 신속확인서를 취득한 국내 첫 사례다. 원격 브라우저 격리(RBI)란 원격 서버 환경에 가상 브라우저를 실행해 접속한 화면을 사용자 브라우저에 전송하는 가상화 격리 기술을 말한다. 가트너는 RBI를 SSE(Secure Service Edge)의 핵심 기술 중 하나이며, 제로트러스트 보안의 중요한 기술로 평가하고 있다. RBI는 논리적 망분리에 사용되는 VDI(Virtual Desktop Infrastructure)를 보완할 수 있는 기술로 여겨지며, 해외 유수 보안솔루션 회사들은 이미 제로트러스트 보안솔루션에 RBI 기술을 적극적으로 활용하고 있다.
시만텍 ‘Secure Access Cloud’
Symantec Secure Access Cloud는 다양한 인증 방법을 통해 사용자를 식별하고, 안전하게 접속하도록 도와준다. 이를 통해 불법적인 접근을 차단하고 권한 없는 사용자의 리소스 접근을 방지한다. Secure Access Cloud의 제로트러스트 핵심 기술은 크게 4가지다.
리소스를 마이크로 단위로 분할하고 보호하는 마이크로세그먼테이션은 제로 트러스트의 핵심 개념 중 하나로, 네트워크와 애플리케이션을 미세하게 분할해 필요한 권한과 접근만을 허용하도록 한다. 아울러 사용자의 행동 패턴을 실시간 분석해 이상징후를 식별해 보안 위협을 탐지하고 예방할 수 있도록 지원하는 위험 평가 및 보안 분석도 핵심 기술이다. 또한 클라우드 보안을 강화하고 엔드포인트를 보호하는 다양한 기능을 제공해 종합적인 보안을 구축할 수 있도록 지원하며, 마지막으로 에이전트를 배포하고 관리해야 할 필요가 없는 에이전트리스(agentless) 솔루션으로 사용자는 어떤 기기를 사용하든 동일한 편의성과 사용자 경험, 강력한 데이터 보호를 제공받을 수 있다.
엔키 ‘제로트러스트 토탈 서비스’
엔키는 화이트햇 서비스 회사로서 기본적으로 공격표면 제로화를 모토로 운영하고 있어, 제로트러스트 개념을 창업 초기 시점부터 접목해왔다. 기관 및 기업이 제로트러스트를 도입하고자 할 때, 현재의 성숙도 수준을 객관적으로 증명된 방법으로 측정하고, 가장 개선이 시급한 부분을 제시하며, 해당 개선사항을 만족할 보안 솔루션을 함께 추천한다. 이를 통해서 보안수준의 향상 정도를 공격자 관점에서 측정하는 제로트러스트 토탈 서비스를 제공한다.
지니언스 ‘지니안 ZTNA’
지니언스의 ‘지니안 ZTNA’는 IT와 보안 환경을 위한 최적의 아키텍처로 정보 통제 기능을 강화한 제로 트러스트 솔루션이다. 해당 제품은 △원격근무를 위한 Always On ZTNA △ZTNA Anywhere △클라우드 접근통제(Cloud Gateway) △더욱 세분화된 정책(Micro Segmentation) △FIDO, Passkeys 지원으로 더욱 강력해진 인증 △트래픽/애플리케이션 가시성 및 제어 기능 △IP Mobility 지원(내/외부 상관없이 동일 IP 할당)을 통해 최적의 제로 트러스트 환경을 구축한다는 특징을 가지고 있다.
특히 △본사/지사 등 원격접속 환경 △써드파티/기업간 협업 환경 △업무망/인터텟망 망분리 환경 △온프레미스/클라우드 활용 환경 △OT/ICS 등 산업 제어 환경 △M2M(Machine-to-Machine) 환경 등 주요 기관 및 기업들의 확장된 네트워크 환경에 통합 대응해 사용자를 강력하게 보호한다.
파이오링크 ‘티프론트 ZT’
파이오링크는 티프론트 ZT 플랫폼을 통해 내부 네트워크 제로트러스트를 제공한다. 사용자와 기기가 네트워크와 통신하는 접속 단계에서부터 마이크로 세그멘테이션을 통해 접근 권한을 최소화하고, 리소스 접근을 제어해 보안 위협 확산을 예방한다.
티프론트 ZT는 보안스위치와 통합관리 시스템으로 구성돼 있다. 보안스위치는 내부 네트워크인 LAN 구간에서 각 사용자와 기기의 네트워크 접근을 제어하는 호스트 기반 마이크로 세그멘테이션을 제공하며, 통합관리 시스템을 통해 다양한 기술 솔루션과 연동해 보안 환경을 강화한다.
프라이빗테크놀로지 ‘프라이빗커넥트(PRIBIT Connect)’와 ‘패킷고(PacketGo)’
프라이빗테크놀로지는 제로트러스트 보안 모델 3요소인 EIG, SDP, Micro-Segmentation을 하나의 아키텍처로 통합했다. 이 3요소는 OSI 7계층을 기준으로 동작 계층이 다르기 때문에 하나의 요소로는 모든 요건을 준수할 수 없고, 결합을 통해 빈틈없는 제로트러스트 모델을 구현해야 한다. 그래서 기존 글로벌 시장은 제로 트러스트를 아이덴티티와 네트워크 중심으로 구분한 뒤 각 솔루션을 결합해 제로트러스트 아키텍처를 구현하는 방식을 사용했다.
이때 각 솔루션의 연동 과정에서 어쩔 수 없이 발생하는 작은 틈을 통해 공격이 들어오면 기업은 큰 피해를 입을 수밖에 없다. 프라이빗테크놀로지는 이러한 틈이 발생하지 않도록 3요소를 결합한 하나의 통합 모델을 구현하는 데 성공했다. 또한 한국정보통신기술협회(TTA)를 통해 제로트러스트 가이드라인 준수 시험을 진행했고, 과기정통부의 가이드라인을 준수하는 첫 사례로, ‘향상’ 이상의 성숙도 모델을 준수함을 확인했다.
휴네시온 ‘제로트러스트 아이원넷’
휴네시온은 망연계 업계 최초로 제로트러스트 기술을 적용한 ‘제로트러스트 아이원넷(Zero Trust i-oneNet’ 서비스를 구현했다. 제로트러스트 아이원넷은 사용자 및 단말에 대한 인증절차 없이는 누구도 신뢰하지 않는다는 제로트러스트 원칙에 기반해 보다 안전한 자료전송을 제공하고 내부정보유출을 방지한다. 강력한 사용자 인증 체계를 구현해 권한이 있는 사용자일지라도 지속적인 검증을 통해 업무망으로 연계가 가능하다.
제로트러스트 아이원넷은 온프레미스와 클라우드 혹은 다중 클라우드 망간 연계를 모두 지원해 온프레미스, 클라우드 어디서나 적용이 가능하다. 사용자에 대한 본인 확인과 인증 과정을 거쳐 사용자 가시성을 확보하고, 이에 대한 감사를 강화했다. 더불어 생체인증, SMS 인증 등 추가 인증의 불편함을 해소해 사용 편의성을 높였다.
=====================================================================
[제로트러스트 보안 인식 및 선택기준에 대한 설문조사]
많은 기업 및 기관이 제로트러스트 도입 고민중…비용 부담은 걸림돌
앞서 제로트러스트의 등장부터 확산까지 현재 상황과 도입 활성화를 위한 방안까지 살펴봤다. 다만 이는 보안담당자 또는 제로트러스트 적용 보안 솔루션 기업의 입장에서 작성된 내용으로 실제 사용자들의 입장은 이와 다를 수 있을 것이다. 이에 와 는 2024년 1월 17일부터 22일까지 6일간 약 10만명의 보안담당자에게 ‘제로트러스트 보안 인식 및 선택기준에 대한 설문조사’를 실시했다. 이번 설문조사에는 공공(21.3%)과 민간(78.7%)분야 보안관계자 2,210명이 응답했다.
▲제로트러스트 도입 고민 여부[자료=보안뉴스]
설문조사 응답자의 58.4%가 제로트러스트 보안 솔루션 도입 고민중
이번 설문조사에 응답한 보안담당자 중 58.4%가 제로트러스트 보안 솔루션의 도입을 고민한 것으로 조사됐다. 즉, 보안담당자의 절반이상이 제로트러스트의 존재를 알고 있는 것은 물론 실제 도입을 고민하고 있다는 이야기다. 물론 도입을 고민하지 않았다는 응답도 41.6%에 달했지만, 제로트러스트 자체가 우리에게 알려진 것이 얼마 안됐다는 것을 감안하면, 생각보다 현장에서의 니즈는 높다고 볼 수 있다.
그렇다면 이들은 제로트러스트 보안 솔루션 도입 시기를 언제쯤으로 보고 있을까? 놀랍게도 응답자의 34.5%가 내부검토중이긴 하나 비용 부담으로 인해 고민중이라는 답변을 내놓았다. 또한 24.4%는 1~2년 이내, 6.3%는 6개월 이내라고 대답해 근 시일내 도입을 검토하고 있는 보안담당자가 꽤나 많은 것으로 조사됐다. 다만 도입할 의사가 없는 보안담당자도 19%에 달했다.
▲제로트러스트 도입 시기와 걸림돌, 정부에 바라는 점[자료=보안뉴스]
제로트러스트 도입 걸림돌은 도입비용…하지만 다른 문제도 많아
앞서 34.5%가 도입을 검토중이지만 비용 부담으로 고민중이라고 답변을 했는데, 또 다른 걸림들은 무엇이 있을까? 이에 대해 보안담당자들은 역시나 도입 비용(37.6%)을 가장 많이 선택했다. 하지만 두 번째부터 다섯 번째까지 4개 항목은 큰 차이가 없었다. 즉, 다른 솔루션과의 연동 문제(17.6%), 운영 문제(16.3%), 제로트러스트 통합 솔루션 부재(14.9%), 보안 담당자의 제로트러스트 이해도 문제(12.7%) 등 모든 항목에서 어려움을 느끼는 것으로 조사된 것이다. 이는 제로트러스트가 기존 보안개념과 다른데서 오는 문제점으로 인한 것으로 보인다. 제로트러스트 산업활성화를 위해서는 이러한 점을 해결해야 할 것이다.
이러한 탓일까? 설문에 참여한 보안담당자들은 제로트러스트 보안 솔루션 도입과 관련해 실질적인 솔루션 도입 지원금(48.4%)이 필요하다고 입을 모았다. 이와함께 제로트러스트 보안 솔루션에 대한 설명회외 구축사례 전파(36.2%)도 시급하며, 각종 보안 규제 적용 완화(15.4%)에 대한 필요성도 드러냈다.
이는 과기정통부가 지난해 발간한 제로트러스트 가이드라인 1.0이 참고가 됐지만 실질적인 도움이 되지 않았다고 응답한 이들이 37.1%에 달한 것만 봐도 알 수 있다. 또한 제로트러스트 솔루션 도입 전이라 해당사항이 없다는 응답도 36.2%에 달해 보다 명확한 가이드라인이 시급한 것으로 조사됐다. 다행이 2024년 상반기에 나오는 제로트러스트 가이드라인 2.0에는 앞서 소개한 실증사례와 검증사례를 중심으로 실질적인 도움이 될 내용이 담길 것으로 알려졌다.
제로트러스트, 모든 보안에 적용 가능한만큼 시간을 들여 노력해야
제로트러스트는 앞서 설명한 것처럼 하나의 ‘개념’ 혹은 ‘철학’이며, 모든 보안에 적용이 가능하다는 것이 여러 보안전문가들의 의견이다. 물론 제로트러스트를 적용하기 위해서는 주요 기술과 솔루션도 필요하며, 이를 모두 아우를 수 있는 체계와 조직, 그리고 전문가가 필요하다.
즉, 조직이 제로트러스트를 도입하기 위해서는 제로트러스트에 대한 이해와 전문가, 그리고 이를 바탕으로 한 솔루션 도입과 정책이 마련되야 하며, 솔루션 기업은 해당 기업에 필요한 제로트러스트 기반 솔루션들과 이를 통합 운용할 수 있는 기술력을 제공해야 한다.
이러한 것이 한 번에 이뤄지기는 만무할터. 게다가 아직 솔루션 기업도 사용자도 모두 제로트러스트에 처음인 만큼 서로가 시간을 갖고 이에 대한 노력을 해야만 보다 안전한 조직, 사회를 만들 수 있을 것이다.
========================================================================
[인터뷰] KISA 변순정 보안산업진흥팀장, 최영준 정책대응팀장
제로트러스트 가이드라인 1.0은 국내 보안산업 활성화 위한 노력의 산물
디지털 사회의 급속한 전환으로 기존 경계 기반 보안모델이 한계 상황에 봉착하고 있으며, 새로운 보안 철학 도입이 시급한 시점이다. 글로벌 정보보안 산업에서 이슈화되고 있는 제로트러스트 개념과 철학에 대해 국내에 널리 알리고, 보안체계 개선을 통해 안전한 디지털 환경이 구축될 수 있도록 지원하고자 한국인터넷진흥원(이하 KISA)은 다각적인 노력을 기울이고 있다. 특히 KISA는 과기정통부와 함께 지난 2023년 7월 제로트러스트의 개념과 보안원리, 핵심원칙을 설명해주는 ‘제로트러스트 가이드라인 1.0’을 선보여 많은 관심을 끌었다. 이에 와 는 가이드라인 1.0의 주역 중 변순정 보안산업진흥팀장과 최영준 정책대응팀장을 만났다.
▲한국인터넷진흥원 변순정 팀장과 최영준 팀장(좌측부터)[사진=KISA]
가이드라인 1.0이 만들어진 목적은 무엇인가요?
최영준 팀장 제로트러스트 가이드라인 1.0은 국내 정부·공공 기관 및 기업 관계자들이 제로트러스트 아키텍처 개념을 빠르고 쉽게 이해하고, 향후 국내 정보통신 환경에 적합한 방식으로 도입될 수 있도록 지원하고자 한국제로트러스트포럼 등 전문가 의견수렴과 국내외 동향 분석을 거쳐 2023년 7월 발간했습니다.
가이드라인을 발표할 때, SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 통신·금융·공공 분야에 제로트러스트 보안 모델을 구현하고, 화이트해커의 공격시나리오로 구성된 검증 모델을 적용한다는 내용이 있었습니다
변순정 팀장 SGA솔루션즈는 접속 요구자의 보안 수준을 점수화해 접속단계에서부터 보안을 강화하고, 접속 이후에도 점수체계에 기반해 접속 차단 및 제한할 수 있도록 동적인증체계를 적용한 제로트러스트 모델을 구현해 냈습니다. 프라이빗테크놀로지는 서버, 애플리케이션 등 보호 대상 리소스를 논리적으로 분리·보호해 횡적이동 등 기존 경계 기반 모델의 보안공격을 방어할 수 있는 한층 고도화된 보안모델을 개발했습니다. 또한, 이렇게 마련된 제로트러스트 보안모델의 객관적인 보안 효과성 검증을 위해 국내 보안성 점검 분야 대표 기업인 엔키가 제로트러스트 가이드라인의 핵심요소 및 성숙도 모델에 따라 총 30종의 검증 시나리오를 마련했으며, 시나리오 기반 침투 테스트 등을 통해 제로트러스트 보안모델이 도입된 산업현장에 보안 수준이 향상됨을 입증했습니다.
보안기업이 제로트러스트를 적용해야 할 이유는 무엇인가요?
변순정 팀장 기존 경계 기반 보안모델은 내부자에 대한 암묵적 신뢰와 함께 높은 권한을 부여함에 따라 고도화·지능화된 보안 위협에 노출되고 있습니다. 현재 다수의 기업이 이에 대응하기 위해 고도화된 보안기술 등을 도입하고 있지만, 여전히 기업 내 서버 침투 및 데이터 유출이 용이하다는 문제점을 겪고 있습니다. 제로트러스트는 이를 효과적으로 대응하기 위한 방안으로, 네트워크 보안기업 등 많은 기업은 서둘러 적용할 수 있도록 노력해야 합니다.
기업들의 제로트러스트 이해도 및 관련 솔루션 도입 움직임은 어떤가요?
변순정 팀장 종전에 제로트러스트 시장은 마이크로소프트, 구글, 팔로알토 네트웍스 등과 같은 글로벌 기업에 의해 선점되고 있었으나, 국내에서 ‘제로트러스트 가이드라인 1.0’이 발간된 이후 대기업을 위주로 제로트러스트의 인식 및 인지도가 빠르게 높아지고 있는 상황입니다. 정부는 이러한 상황에 발맞춰 국내 기업의 기술로 이루어진 국산 제로트러스트 모델의 확산을 위해 실증사업 등 다양한 노력을 기울이고 있습니다.
네트워크 보안 제품에 제로트러스트 개념 접목 시 가장 문제가 되는 점은 무엇인가요?
변순정 팀장 기존 네트워크 환경은 개별 보안제품이 각자의 기능을 가지고 별도로 운영되는 특성을 가지고 있으므로 보안 솔루션 간 유기적인 연결체계 및 통합 관리체계를 중요시하는 제로트러스트 개념과 상충하는 부분이 존재한다고 생각합니다. 보안제품 간 연동은 개별 기업의 노력으로 가능한 부분이 아니며, 특히 중소기업 위주로 구성된 국내 보안시장에 현황을 보면 이는 매우 어려운 것이 현실입니다.
여러 보안 제품 중 1개만 제로트러스트를 적용한다고 문제가 해결될 거라고 생각되지 않습니다. 이럴 경우 어떤 해결책이 있을까요?
변순정 팀장 모든 네트워크 보안 제품에 제로트러스트 개념을 적용하는 것보다는 단계적으로 제로트러스트를 적용하기 위한 체계적인 로드맵을 수립하는 것이 더 중요하다고 생각합니다. 이 로드맵에 따라 SDP 등 제로트러스트 철학을 만족하는 네트워크 보안제품을 구성하고, 필요시 이를 지원하기 위해 경계형 보안제품을 연동 및 활용하는 것은 크게 문제 되는 부분은 없을 것으로 생각됩니다.
제로트러스트 개념 도입과 관련해 기업 및 사용자에게 하고 싶은 말이 있다면?
최영준 팀장 2023년 제로트러스트 산업 실태조사 결과에 따르면 아직 시장에서 제로트러스트 개념 및 철학에 대한 인지도가 낮은 것으로 판단됩니다. 특정 기술과 솔루션에 대한 과장된 홍보, 과거에 도입한 기술과 솔루션을 모두 걷어내야 한다는 오해 등 시장에 왜곡된 사실에 대한 명확한 이해가 선행되어야 할 필요가 있다고 생각합니다.
‘제로트러스트 가이드라인 2.0’을 준비 중이라고 들었습니다
최영준 팀장 ‘제로트러스트 가이드라인 2.0’에 포함 예정인 내용에 대해서는 다양한 전문가 의견을 청취하고 있으며, 가이드라인 1.0 발간 이후 진행된 실증사업 결과, 시장 환경변화 등을 반영해 가이드라인에 대한 고도화를 추진하고 있습니다. 다만 아직 논의 중인 내용들이 있어 현재 시점에서 세부적인 방향을 이야기해 드리기는 어려운 점 양해 부탁드립니다.
마지막으로 하고 싶은 말씀이 있다면?
변순정 팀장, 최영준 팀장 제로트러스트 모델은 기업, 기관의 성격에 따라 천차만별일 것으로 예상돼 기업이 제로트러스트 도입에 참조할 수 있는 실증 모델들이 많이 발굴되는 것이 중요할 것으로 판단됩니다.
정부가 제로트러스트 확산을 위한 마중물 역할을 할 수 있도록 다양한 환경, 산업군에서 다양한 참조 모델이 마련될 수 있도록 적극적인 수요처 발굴 등 보다 더 다각적인 노력을 경주할 예정으로 앞으로도 많은 관심 부탁드립니다. 감사합니다.
========================================================================
[제로트러스트 보안 솔루션 집중분석-1]
언제 어디서나 안전한 인터넷 접속을 보장하는 SSE와 ZTNA 기반의 통합보안 솔루션 제시
제로트러스트 원칙을 충실히 구현한 모니터랩의 ‘SIA’, ‘SRA’서비스
임직원들의 원격근무가 일상화되고, 기업의 자산이 SaaS 및 클라우드로 옮겨가면서 기업의 관문에 각종 보안장비를 설치하는 소위 ‘경계선 중심’의 보안 체계는 이제 더 이상 유효하지 않은 보안정책이 되고 있다. 대신, 변화된 IT환경에 적합한 보안 정책으로는 ‘제로트러스트(Zero-Trust)’ 모델이 그 대안으로 제시되고 있으며, 세계적인 IT시장 조사기관인 Gartner에서는 이를 구현하기 위한 솔루션으로서 SSE와 ZTNA가 가장 적합할 것으로 내다보고 있다.
▲모니터랩 제로트러스트 솔루션 소개[자료=모니터랩]
모니터랩에서는 이의 요구조건을 충실히 구현하며 “언제 어디서나 동일한 보안정책 적용 및 안전한 인터넷 접속을 보장”한다는 모토로 클라우드 기반의 SIA(Secure Internet Access) 및 SRA(Secure Remote Access) 솔루션을 출시하며 제로트러스트 시장에 과감한 도전장을 내밀었다.
안전한 인터넷 접속을 위한 SSE 통합 플랫폼 기반의 ‘SIA’ 서비스
모니터랩의 SIA 서비스를 이용하면 사용자의 위치에 관계없이 항시 모든 트래픽이 Cloud기반의 보안플랫폼인 SSE(Security Service Edge)를 거치게 되므로, 관리자가 설정한 보안정책에 의해 유저의 모든 트래픽은 모니터링되고 제어할 수 있게 된다.
특히 속도 저하없는 고속의 Deep Packet Inspection을 통해 각종 애플리케이션 탐지 및 제어될 뿐만 아니라, SWG의 핵심 기능인 카테고리에 따른 URL 필터링, 피싱이나 C&C 등 악성 사이트 및 파일 차단, 키워드나 각종 조건에 따른 DLP 등 다양한 제어기능도 이용할 수 있다.
아울러 사용이 증가하고 있는 각종 SaaS 및 Public Cloud 접속에 대한 모니터링 및 제어가 가능한 CASB 기능까지 제공하고 있어 최근의 IT환경에서 필요로 하는 모든 핵심 보안 기능을 단일한 플랫폼 및 UI에서 쉽게 사용할 수 있다는 장점도 있다.
마지막으로 이의 모든 기능은 자사의 Threat Intelligence 플랫폼인 AILabs를 통해 실시간으로 업데이트되어 반영되고 있으므로, 항시 최신의 보안정보가 적용된다는 점도 큰 장점이라 할 수 있다.
VPN의 치명적인 취약성을 대체하는 ZTNA 솔루션, SRA
모니터랩의 ZTNA(ZeroTrust NetworkAccess) 솔루션인 SRA를 이용하게 되면 디바이스 단말에 설치된 agent를 통해 ID,PW 및 MFA 인증 뿐만 아니라 단말의 보안패치 수준이나 anti-virus 솔루션 설치여부와 같이 디바이스의 다양한 조건에 따라 인증 여부를 결정하게 된다. 아울러 접속 후에는 단말과 애플리케이션간 1:1 터널링을 통해 단말에서는 오직 접근이 허용된 애플리케이션만 보여지게 되고, 이외의 시스템에는 설사 IP를 알고 있거나 같은 네트워크라 하더라도 원천적으로 접근을 할 수 없게 되어 보다 안전한 상호 접속을 보장하게 된다.
이러한 micro segmentation의 특성을 통해 각종 보안 사고를 근본적으로 예방할 수 있을 뿐만 아니라 설사 악성코드에 감염되었다 하더라도 그 피해가 네트워크를 통해 다른 리소스로 확산되는 것을 최소화할 수 있게 되는 것이다.
========================================================================
[제로트러스트 보안 솔루션 집중분석-2]
네트워크 보안에서 일어나고 있는 대격변
시만텍 SAC(Secure Access Cloud), 데이터 중심 SASE를 위한 Zero Trust Network Access
현재 네트워크 보안 업계는 기존의 네트워크 중심 모델 대신 새로운 응용프로그램 중심 아키텍처로 전환되고 있다. PwC의 조사에 따르면, 83%의 기업에서 원격 근무 전환이 성공적으로 이루어졌다. 하지만 이러한 변화로 인해 과거 그 어느 때보다 기업 데이터센터 내부가 아닌 재택근무자, 클라우드 등 외부에서 더 많은 데이터가 생성되고 있다.
▲시만텍 제로트러스트 솔루션 소개[자료=시만텍]
이러한 큰 변화로 인해 제로트러스트의 사용자와 기기 등 아무 것도 믿지 않고, 최소 권한만 허용하는 원칙이 대두되고 있다. Gartner가 제안한 Secure Access Service Edge(SASE) 아키텍처가 이러한 새로운 비전을 받아들여 데이터 중심 및 하이브리드 SASE를 제안했다.
Zero Trust Network Access(ZTNA)는 이러한 네트워크 보안 혁명의 핵심 요소 중 하나다. 이는 Data Loss Prevention(DLP), Secure Web Gateway(SWG), Cloud Access Security Broker(CASB)와 함께 SASE 아키텍처의 중요한 구성 요소로, 기업의 새로운 네트워크 보안 경계(Network Security Boundary)를 Software Defined Perimenter(SDP)로 정의하며 모든 디지털 기기와 사용자, 응용프로그램 및 서비스 주변으로 확장했다.
Zero Trust Network Access
ZTNA 솔루션인 시만텍 Secure Access Cloud(SAC)는 외부 사용자와 네트워크 데이터센터 간의 트래픽을 인터넷으로부터 숨기고 사용자의 특정 응용프로그램에 대한 접근을 승인하고 어플리케이션에 대한 사용 편의성을 지속 제공해 확인되지 않는 사용자의 데이터센터 내에서의 측면 이동(lateral movement)을 방지한다. 네트워크 기반 솔루션보다 더 높은 수준의 보안을 제공한다.
이는 데이터 중심 하이브리드 SASE의 중추이자 오늘날의 변화하는 기업 네트워크의 현실과 클라우드로의 이동을 반영하는 새로운 네트워크 보안 모델로 레거시 네트워크 제품보다 보안성과 접근성, 성능, 비용, 유지보수 측면에서 더 많은 이점을 제공한다.
동일한 사용자 경험과 강력한 데이터 보호
에이전트를 배포하고 관리해야 할 필요가 없는 에이전트리스(agentless) 솔루션인 시만텍 SAC의 사용자는 어떤 기기를 사용하든 동일한 편의성과 사용자 경험, 강력한 데이터 보호를 제공받는 것에 반해, 에이전트 기반 보안 솔루션은 사용자가 기기를 변경하거나 새로운 역할이나 직책을 맡을 때 사용자 경험(UX) 및 기업 보안 관리 모두에게 있어 불편한 사항이었다. 앞서 발표한 조사에서처럼 80% 이상의 기업이 원격 근무를 지지하고 있기 때문에 유연한 사용자 관리와 사용자경험을 위해 에이전트리스의 필요성은 더욱 중요해지고 있다.
아울러 시만텍 DLP가 있다면 DLP 정책을 활용해 기업 자산에 관리되지 않는 장치로부터의 접근뿐만 아니라 민감한 개인정보(PII), 보호된 건강정보(PHI) 또는 DLP에 의해 분류된 다른 종류의 민감한 데이터를 다운로드 또는 업로드하는 등 세분화된 사용자 접근 제어도 가능하다. 데이터 중심 최소 권한 모델을 구현하고 응용프로그램 내의 특정 URI에 대한 명시적인 작업 또는 접근을 허용하거나 방지할 수도 있다.
시만텍 SAC는 데이터 중심 SASE의 핵심 기능이자 제로트러스트 솔루션의 선두 주자로써 강력한 데이터 보안과 모든 원격 액세스에 대한 동일한 사용자경험을 제공하면서 디지털 변환을 앞당기고 있다.
========================================================================
[제로트러스트 보안 솔루션 집중분석-3]
유연한 확장성으로 견고하고 최적화된 제로트러스트 보안 구현
견고한 네트워크로 시작하는 제로트러스트, ‘프라이빗커넥트&패킷고’
사이버 위협은 갈수록 진화하고 있다. 수법은 더욱 지능적이고 다양해졌으며 기존 보안 체계를 우회하는 신종 공격이 등장하고 있다. 신뢰를 기반으로 통신하는 기존의 네트워크 구조는 이러한 사이버 위협에 항상 노출돼 있다. 공격자는 IP 통신 과정에서 구조적으로 발생할 수밖에 없는 작은 틈을 노려 침투한다. 이러한 근본적 문제를 해결할 수 있는 보안체계가 제로트러스트(Zero Trust)다. 신뢰가 아닌 ‘신뢰하지 않음’을 기반으로 네트워크에 접속하려는 모든 시도와 요청을 검증한다. ‘선 인증 후 접속’ 메커니즘을 통해 신뢰할 수 없는 대상은 네트워크에 접속할 수 없도록 차단해 외부 침해의 가능성을 최소화한다.
▲프라이빗테크놀로지 제로트러스트 솔루션[자료=프라이빗테크놀로지]
프라이빗테크놀로지는 지난해 실증 사업을 통해 전통적 경계 보안 모델을 보완하는 제로트러스트 기본 모델을 발표했다. 앞으로 어떤 환경에서도 쉽게 맞춤형 제로트러스트를 이행할 수 있도록 유연한 확장성을 제공하는 개방형 제로트러스트 네트워크 플랫폼을 제공할 예정이다.
제로트러스트 핵심 원칙 통합으로 빈틈없는 보안 모델 구현
프라이빗테크놀로지의 제로트러스트 아키텍처는 여러 개의 솔루션을 결합해 구현할 수 있었던 제로트러스트 보안 모델을 하나의 아키텍처로 통합한 것이 특징이다.
지난해 과학기술정보통신부가 발간한 제로트러스트 가이드라인 1.0에 따르면, 완전한 제로트러스트 솔루션은 △인증 체계 강화(EIG) △마이크로 세그멘테이션(Micro-Segmentation) △소프트웨어 정의 경계(SDP) 등 3가지 핵심 원칙을 모두 포함해야 한다.
기존의 글로벌 시장은 3가지 핵심 원칙을 아이덴티티와 네트워크로 구분해 각각의 솔루션으로 구현해 결합하는 방식을 채택했다. 이러한 방식은 솔루션 간 결합 과정에서 발생하는 사각지대를 통해 공격자가 침투할 수 있다는 취약점이 있다.
프라이빗테크놀로지는 동작 계층이 다른 3가지 핵심 원칙을 하나의 아키텍처로 통합해 사각지대 없는 견고한 제로트러스트 모델을 구현했다. 이를 통해 자격 증명 도용, 세션 하이재킹 등 EIG 단계에서 발생할 수 있는 유출·침해 사고를 방지할 수 있을 뿐만 아니라 여러 개의 솔루션을 사용하지 않고 제로트러스트 보안 모델을 구현할 수 있어 비용 효율적으로 보안을 강화할 수 있다.
사용자가 단말을 통해 네트워크로 접속을 시도하면 에이전트는 단말의 상태와 보안 컴플라이언스 준수 여부를 확인한다. 또한, 접속자와 접속 단말뿐만 아니라 접속 위치, 운영체제, 소프트웨어, 사용하는 통신망 등 접속을 요청하는 모든 통신 요소를 식별한 뒤 신뢰할 수 있는 대상인지 검증한다. 인가된 대상은 상호 연결 기술을 통해 허가된 목적지에만 접근할 수 있다. 네트워크에 접속된 상태라 하더라도 다른 목적지에 접근하기 위해서는 해당 목적지의 접근 권한에 따라 상호 연결이 존재하는지 다시 검증 절차를 거쳐야 하므로 외부 요인에 의해 단말이 탈취됐다 하더라도 네트워크 내 확산이 불가능하다.
기존 업무 환경과 특성에 맞는 최적의 제로트러스트 도입
프라이빗테크놀로지는 각 기업·기관의 기존 업무 환경과 특성에 따라 최적화된 제로트러스트 보안 모델을 제공한다. TTA의 제로트러스트 가이드라인 준수 시험을 수행한 첫 번째 보안 모델로, 향상 수준 이상의 성숙도 모델을 준수할 수 있다.
‘프라이빗 커넥트(PRIBIT Connect)’는 온프레미스(On-Premise)형 ZTNA 솔루션으로, 보호 대상 네트워크가 온프레미스로 구축된 환경에 적합하다. 제로트러스트 기반 솔루션으로는 최초로 CC인증, GS인증을 획득했으며, 조달청 디지털서비스몰을 통해 간편하게 도입할 수 있는 것이 특징이다. 특히 지난해 제로트러스트 보안 모델 실증 지원 사업을 통해 망분리·VDI 기반 업무 환경에 제로트러스트 모델을 적용할 경우 기존 환경 대비 보안이 개선됨을 입증했다.
‘패킷고(PacketGo)’는 클라우드에 기반을 둔 업무 환경에 적합한 제로트러스트 플랫폼이다. 온프레미스와 클라우드 인프라가 함께 구축된 하이브리드 환경에도 적용할 수 있다. 제로트러스트 아키텍처를 구현한 솔루션으로는 처음으로 정보보호제품 신속확인제도를 통과해 공공 분야에서도 제로트러스트를 도입할 수 있다. 실증 지원 사업을 통해 공공 클라우드·SaaS 사용 시 발생하는 문제점을 도출하고, 이러한 위험을 줄이면서도 일원화된 관리 체계를 수립할 수 있는 제로트러스트 보안 모델을 구현했다.
========================================================================
[제로트러스트 보안 솔루션 집중분석-4]
조건부 적응적 정책(ZTCAP)에 의해 신뢰할 수 없는 모든 접근 행위 검증
보안 원격 접속 서비스 소프트캠프의 ‘SHIELDGate(쉴드게이트)’
제로 트러스트는 아무것도 신뢰하지 않는다는 개념에서 출발해 기존 보안 개념과는 상반된 비 경계, 비 신뢰를 기본 원칙으로 가지는 새로운 보안 패러다임이다. 엔터프라이즈 리소스에 접근하는 어떠한 환경, 사용자, 디바이스에 관계 없이 적법한 인증 절차 없이는 신뢰하지 않고 검증하는 개념적 접근이다. 소프트캠프의 보안 원격 접속 서비스 SHIELDGate는 IAP(Identity Aware Proxy)와 RBI(Remote Browser Isolation) 기술 조합으로 최상의 제로 트러스트 보안을 구현한다.
▲소프트캠프 쉴드게이트 CI[자료=소프트캠프]
제로 트러스트 아키텍처를 실현하는 보안 격리 접속 서비스 ‘SHIELDGate(실드게이트)’
제로 트러스트 보안을 구현하는 기술 기반에는 다양한 선택의 폭이 있다. 대부분의 기업 환경의 기술적 보안 체계는 네트워크 보안 기술이나 보안 솔루션을 근간으로 하는 경계 보안 모델(SDP)을 기반으로 구축되고 있다. 외부로부터 접속이 빈번해진 최근 업무 환경에서 가상사설망 사용으로 인한 보안 취약성에 따른 공격 경로 증가, 사용 할당량 초과, 연약한 인증 및 명확하지 않은 권한 통제 등의 문제점이 발생한다. 이에 기존의 주어진 환경에서 접근한 내부 사용자에 대한 암묵적 신뢰를 통해 내부자 공격, 데이터 유출 등을 막을 수 없는 한계성이 지속적으로 문제되고 있다.
SHIELDGate는 에이전트와 VPN없이, 브라우저를 통해 어디서나 안전하게 접속할 수 있게 한다. 마이크로 세그멘테이션 환경에서도 조건부 접속 정책을 적용한 SHIELDGate를 이용하면 복잡한 방화벽 설정없이 공격자의 수평 이동을 차단할 수 있다.
기존 업무 시스템 환경이나 Microsoft 365, Google Workspace 등 협업 솔루션, 재택·원격근무 환경 모두에서 사용 가능하다. SHIELDGate는 사용자 장치의 신원 및 상태를 기반으로 웹 리소스에 대한 접근을 동적으로 허용하거나 제한하는 IAP(Idectity Aware Proxy)와 모든 웹 콘텐츠는 신뢰할 수 없는 것으로 간주하여 사용자의 브라우저를 격리하고 위협을 차단하는 RBI(Reꠓmote Browser Isolation) 기술 조합으로 최상의 제로 트러스트 보안을 구현한다. 조건부 적응적 정책에 의해 설치없이, 흔적없이 신뢰할 수 없는 모든 접근 행위에 대한 인증 및 권한을 지속적으로 한다.
– Zero Trust Conditional Adaptive Policy : 최소 권한을 설정하기 위해 접속 Client의 환경에 대한 다양한 조건에 따라 사내 리소스의 접속/사용 권한을 부여하며, 사용자(ID), 접속 위치(IP), 접속시간(Time), 접속대상 시스템(App) 등 기본 조건에 따라 접속 차단, 스크린 워터마크, 다운로드 및 프린트 차단 등 다양한 보안 정책 적용이 가능하다.
– Secure Web Gateway : 모든 연결에 대한 맬웨어, 랜섬웨어, 피싱 등 악성코드와 같은 웹 환경 내 보안 위협으로부터 데이터를 안전하게 보호한다. 접속하는 모든 사용자의 행위 및 기타 기록을 로그한다.
– Remote Browser Isolation : SHIELDGate에 적용된 브라우저 격리 기술은 별도의 독립된 네트워크 혹은 클라우드에 쿠버네티스 컨테이너의 격리된 브라우저에서 웹을 연결해 위협이 사용자에게 영향을 미치지 못하도록 하며, 비주얼 스트림만 렌더링 해 보여줘 사용자 경험을 해치지 않으면서 △공격 노출면 최소화 △데이터 유출 위험 감소 등 외부 보안 위협으로부터 사내를 보호한다.
SHIELDGate는 기업이 민감한 데이터를 보호하고, 원격 접속의 보안을 강화하며, 제로 데이 위협을 방지하는 데 중요한 역할을 한다. 특히 ‘브라우저 격리 기능’, ‘지속적인 접근 행위 검증’은 차별화된 경쟁력 포인트라고 볼 수 있다.
========================================================================
[제로트러스트 보안 솔루션 집중분석-5]
도입 컨설팅과 솔루션 평가로 안전하고 효과적인 제로트러스트 환경 구축
엔키, 제로트러스트 완등을 위한 완벽한 셰르파
“Never Trust, Always Verify”, 새로운 보안 키워드로 제로트러스트(ZT, Zero Trust)가 대두되고 있다. 제로트러스트 보안 모델이란 기존 암묵적 신뢰 모델을 전면 부인하고, 모든 사용자에 대해 매 순간, 매 행위마다 검증을 수행하고 해당 검증 결과를 기반으로 사용자 행위의 유효성을 판단하는 보안 모델이다. 네트워크 내/외부 사용자를 구분하지 않고 모든 네트워크 트래픽에 대한 보안 검사를 수행하므로, 기업은 내부와 외부 모두에서 발생할 수 있는 위협을 효과적으로 관리할 수 있게 된다.
▲엔키 ZT 토탈 서비스[자료=엔키]
그러나 적절한 보안 솔루션과 ZT 구축 기준 없이는 안전하고 효과적인 제로트러스트 보안 환경을 성공적으로 도입하기 어렵다. 사실 국내의 제로트러스트 도입 논의와 솔루션 개발은 걸음마 수준으로, 현재 사용 중인 보안 아키텍처 대비 얼마만큼의 보안성 향상을 기대할 수 있는지는 잘 알려진 바가 없다. 현 시점에는 제로트러스트 보안 환경 도입을 위해 필요한 정보에 한계가 있고, 단순히 솔루션 제조사의 주장만을 믿기에는 충분한 신뢰가 부족하기 때문이다.
트러스트 보안환경 구축을 위한 여정
제로트러스트 환경 구축을 위한 솔루션 도입을 위해서는 조직의 현재 IT 인프라 및 보안 수준과 필요한 솔루션에 대한 정보(유효성, 보안성 등), 도입을 통해 얼마만큼의 보안 수준 향상을 기대할 수 있는지, 그리고 투자 대비 효과는 얼마인지 등 여러 요인을 비교하고 분석해야 한다. 성공적인 ZT 도입을 위해서는 우선적으로 조직이 직면한 실질적인 위협을 확인하고 보안 수준을 파악하는 것이 중요하다. 이를 위해선 침투테스트를 받는 것이 가장 이상적이라 할 수 있는데, 보안 아키텍처 및 솔루션의 존재 여부로만 안전성을 판단하기에는 무리가 있고 솔루션 제조사에서 예상하는 침투 경로와 실제 공격자가 설계한 침투 경로가 일치한다고 확신할 수 없기 때문이다.
또한 침투테스트에서 파악된 취약점을 도입 예정 솔루션이 보완할 수 있는지 검증해야 한다. 이는 취약점 증명용 공격 코드를 재사용하는 방식으로 단순하게 검증할 수 있다고 생각하기 쉽지만, 신규 솔루션 도입으로 발생하는 환경 변화를 고려해야 하기 때문에 침투테스트를 진행한 조직에게 재검증을 맡기는 것이 필수적이다. 즉, ZT솔루션 도입 전후로 침투테스트 기반 컨설팅을 거쳐 유효성과 보안성을 검증하는 것이 가장 정확한 방법이다.
안전하고 효과적인 제로트러스트 보안 환경 도입을 위한 ZT 토탈 서비스
엔키는 글로벌 Top-Tier 수준의 화이트햇 해커들로 구성된 보안 전문 기업으로, 제로트러스트 도입 컨설팅 및 제로트러스트 솔루션 평가 서비스를 제공하고 있다. 엔키는 침투테스트 컨설팅 노하우를 바탕으로 ZT를 적용한 기업들의 On-Premise/Cloud 인프라 환경에서 제로트러스트 보안 모델의 안전성 검증을 수행한 바 있다.
엔키는 과학기술정보통신부와 한국인터넷진흥원에서 발간한 제로트러스트 가이드라인에 제시된 6가지 핵심요소(식별자 신원, 기기 및 엔드포인트, 네트워크, 시스템, 응용 및 워크로드, 데이터)와 성숙도 모델을 바탕으로 점검 기준을 수립한 뒤, TTP를 이용해 점검을 수행했다. 점검에 활용된 유효성 검증 시나리오는 총 32개이며, 이 중 외부 공격자 관점의 점검으로 확인 가능한 18개 항목의 경우 침투시험을 수행했고, 시스템 내부 동작구조 식별을 통해서만 확인 가능한 14개 항목은 구축 업체와의 인터뷰를 통해 점검을 수행했다.
제로트러스트 보안 모델이 적용되기 전과 후를 수치화하고 비교한 결과 평균 보안효과 향상률은 약 41%로 나타났다. 또한, 현재 구성된 제로트러스트 보안 환경에 대한 각 기준별 목표 성숙도에 따른 개선 요구사항을 제시하여 차후 보안성 향상을 위한 로드맵을 제공했다.
제로트러스트 보안의 경우 모든 것을 방어자 관점이 아닌 공격자 관점에서 테스트해야 한다. 공격자가 시도할 수 있는 모든 가능성에 대해 대비하고 보안 취약점을 제거해야 진정한 의미에서 제로트러스트 보안이 완성되었다고 할 수 있다. 하지만 조직의 보안수준은 조직의 담당자가 막연하게만 인지하고 있는 경우가 많고, 단 한 건의 보안 취약점으로도 보안사고가 발생할 수 있는 만큼 명확하게 수치화된 보안 수준에 대해 정보를 보유하고 있다면 제로트러스트를 위한 보안 투자 계획 수립 및 이행에 조직이 좀 더 효과적으로 대응할 수 있는 근거를 마련할 수 있다. 또한, 솔루션 도입 전후에 대한 보안 수준을 비교할 수 있는 지표를 가지고 있다면 보다 객관적이고 신뢰할 수 있는 보안 시스템을 구축할 수 있을 것으로 기대해 본다.
========================================================================
[제로트러스트 보안 솔루션 집중분석-6]
호스트 기반 마이크로 세그멘테이션, 에이전트 불필요, 다양한 솔루션 연동으로 제로트러스트 생태계 확장
파이오링크, 티프론트 ZT로 내부망 제로트러스트 구현
원격근무 확산과 클라우드 사용이 늘면서 내부망과 외부망을 구분하는 경계가 불분명해지고 내부망 시스템을 직접 침투하는 공격이 늘어남에 따라 내부 네트워크 보안의 중요성이 더욱 강조되고 있다. 이에 파이오링크는 네트워크 제로트러스트 도입을 검토하고 있는 기관과 기업을 위해 보안스위치를 이용한 ‘티프론트 ZT’로 마이크로 세그멘테이션 기반 내부 네트워크 제로트러스트 보안 모델을 발표했다.
▲파이오링크 TiFRONT ZT 아키텍처[자료=파이오링크]
네트워크 세분화 효과
일반적으로 대규모 경계 분리 네트워크 구조로 정의되어 있는 경우 악의적인 사용자가 네트워크에 침입하면 손쉽게 네트워크 장비를 이동하면서 중요 데이터로 접근이 가능하다. 이를 보완하려면 사용자의 권한에 맞는 네트워크와 애플리케이션 접근을 보장하는 제로트러스트 네트워크 액세스로 전환이 필요하다.
마이크로 세그멘테이션은 네트워크를 여러 부분으로 나누고 사용자와 기기, 애플리케이션에 대해 세분화된 보안 정책과 접근 제어를 적용함으로써 공격자의 횡적 이동을 어렵게 하는 보안 기술로 랜섬웨어가 기업 전체에 확산되지 않도록 하는데 탁월한 효과가 있음이 여러 조사를 통해 확인됐다.
ZTA와 ZTNA 차이점
많은 사람들이 ZTA(Zero Trust Access)와 ZTNA(Zero Trust Network Access)를 같은 의미로 사용하고 있는데, ZTA는 네트워크에 접근하는 사람과 기기를 파악해 제어하는 것이고, ZTNA는 사용자의 애플리케이션 접근 권한에 관한 것으로 ZTA 구성의 한 가지 요소다. 파이오링크는 ZTA 관점에서 내부 네트워크 보안에 중점을 두고 있다.
티프론트 ZT 보안 모델
제로트러스트 아키텍처 보안 모델을 구성하는 접근 방법은 인증체계강화, 마이크로 세그멘테이션, 소트트웨어 정의 경계 보안 모델이 있다. 이 중에서 파이오링크는 보안스위치를 활용한 호스트 기반 마이크로 세그멘테이션을 통해 내부 네트워크에서 제로트러스트를 구현한다. 티프론트 ZT는 보안스위치와 통합관리시스템으로 구성되어 있으며, 보안스위치와 연결된 사용자 기기를 파악, 리소스에 대한 접근을 제어하고 네트워크 가시성을 파악한다.
티프론트 ZT의 핵심 구성 요소는 정책결정지점(PDP) 역할을 담당하는 컨트롤러와 정책시행지점(PEP)을 담당하는 스위치로 구성된다. 이는 티컨트롤러 통합관리시스템과 보안스위치 구성으로 개발된 티프론트 클라우드 보안스위치의 기본 구성과 동일하다.
즉, 티프론트 클라우드 보안스위치 자체가 제어 영역과 데이터 영역으로 나누어져 있기 때문에 티프론트 보안스위치 단독으로도 내부망에 대한 제로트러스트를 구현할 수가 있다. 나아가 EDR, NDR, SDP 솔루션과 연동할 경우에는 내·외부망 전체에 대해 제로트러스트 적용이 가능하다.
티프론트 ZT 적용 방향
티프론트 ZT는 네트워크 구성의 필수 요소인 L2 스위치를 기반으로 네트워크 구성 변경 없이 다음과 같이 적용할 수 있다. ① 모든 네트워크 통신은 액세스 스위치를 통해 시작된다. ② 정책결정지점 역할을 수행하는 티컨트롤러에서 리소스를 자산, IP, 서비스 등으로 세부적으로 정의한다. ③ 보안스위치에 연결된 사용자와 기기 정보를 자동으로 식별하고 가시화한다. ④ 스위치의 물리 포트에 연결된 클라이언트를 기준으로 네트워크 세그멘테이션을 나눈다. ⑤ 세그멘테이션별로 사용자와 기기에 대한 화이트리스트, 블랙리스트 인증 정책을 적용한다. ⑥ 인증된 사용자와 기기에 대해 리소스 접근 정책을 설정한다. ⑦ 보안스위치 보안 엔진에서 실시간으로 사용자 이상행위를 분석하고 비정상적인 접근을 차단한다. ⑧ CTI(Cyber Threat Intelligence)를 통해 실시간으로 외부위협 사이트에 접속하는 사용자 단말을 감시한다. ⑨ EDR, NDR, SDP 솔루션과 연동해 제로트러스트 접근 방법을 확장할 수 있다.
액세스 스위치 레벨에서 제로트러스트 구현 효과
티프론트 보안스위치로 액세스 스위치 레벨에서 제로트러스트 및 마이크로 세그멘테이션을 구현하면 다음과 같은 이점을 얻을 수 있다.
① 이더넷을 사용하는 모든 네트워크 기기의 통신 경로를 제어할 수 있다. ② 다른 제로트러스트 보안 모델과 달리 네트워크 구성에 필수 요소인 스위치를 통해서 내부 네트워크에 대한 제로트러스트를 적용할 수가 있다. 즉 별도로 프로브나 에이전트를 설치할 필요 없이 액세스 스위치를 통해 통신 경로를 제어할 수 있다. ③ 네트워크 디바이스 관리 기능을 통해 사용자, 기기 정보를 자동으로 식별하고 실시간으로 트래픽 사용 현황과 서비스를 모니터링 하여 세분화된 접근 제어 정책을 적용할 수 있다. ④ 일반 L2 스위치는 VLAN과 ACL 등으로 네트워크를 세분화하고 접근제어하기 때문에 네트워크 구성이 변경되면 스위치에 직접 접속하여 설정을 변경해야 하는 번거로움이 있다. 반면 제로트러스트 개념이 적용된 티프론트 보안스위치는 물리적으로 네트워크 망 구조를 나누는 VLAN이 아니라 스위치의 물리 포트에 연결된 클라이언트를 기준으로 관리자가 논리적으로 네트워크를 세분화하기 때문에 기기가 이동하더라도 설정 변경 작업이 필요없다. ⑤ 보안스위치에 내장된 전용 보안엔진을 통해 사용자 이상행위를 분석해 비정상적인 접근을 차단함으로써 내부 보안을 강화할 수 있다. ⑥ 결론적으로 티프론트 보안스위치를 도입하는 것만으로도 사용자와 가장 가까운 액세스망부터 네트워크 인프라 구성 변경 없이 마이크로 세그멘테이션 기반 제로트러스트 보안 모델을 구축할 수가 있다.
네트워크에 대한 향상 수준의 성숙도 충족
티프론트 ZT는 제로트러스트 핵심요소 중 하나인 네트워크에 대한 향상 수준의 성숙도에 요구하는 수준별 특징을 대부분 충족한다. △네트워크 세분화(스위치 물리포트를 최소 단위로 네트워크를 세분화) △위협 대응(보안엔진을 통해 실시간으로 사용자 이상행위를 분석하여 자동 차단) △가시성 및 분석(사용자와 기기 정보를 자동/수동으로 식별) △자동화 및 통합(티컨트롤러에서 네트워크 세분화 및 정책을 통합 적용)을 끝으로 제로트러스트는 특정 기술이나 솔루션 아닌 철학으로 도입 즉시 달성할 수 있는 것이 아니며 모든 기업이 반드시 핵심 요소와 주요 기능에 대하여 최적화 수준에 도달해야 할 필요가 있는 것도 아니다.
과기정통부에서 발표한 제로트러스트 가이드라인 1.0에서도 기업의 규모와 네트워크 구성 방식, 접근 주체와 리소스 종류, 보유 자산에 대한 관리 수준과 필요성을 고려하여 최종적인 목표를 설정하는 것이 바람직하다고 설명하고 있다.
반면 티프론트 ZT는 다른 제로트러스트 보안 모델과 달리, 네트워크 구성에 필수 요소인 스위치를 통해서 인프라 구성 변경 없이 액세스 네트워크부터 제로트러스트를 구현하는 방안을 제시하고 있다. 이에 아직 제로트러스트의 전환 목표와 어떤 기업의 솔루션 도입할지 결정하지 못한 기관과 기업이라면 티프론트 ZT를 통해 내부 네트워크부터 마이크로 세그멘테이션 중심의 제로트러스트를 구축할 것을 제안한다.
[원병철 기자([email protected])]
