“원격 액세스 보안 업그레이드” ZTNA 솔루션 17종 선택 가이드

지난 몇 년 동안 ZTNA(Zero Trust Network Access)에 대한 관심이 폭발적으로 증가했다. 제로 트러스트(Zero Trust) 접근방식은 기존 경계 방어 모델을, 사용자가 특정 데이터와 애플리케이션을 증명하고 그들의 활동이 지속적으로 모니터링되는 ‘최소 권한’ 프레임워크로 대체한다. 
 

ZTNA는 코로나19 팬데믹에 이어 더 많은 직원이 재택근무를 하면서 확산했다. VPN 같은 기존 경계 방어 모델은 원격 사용자에게 내부 사설 네트워크에 있는 것처럼 권한을 제공하는 보안 인터넷 연결을 제공한다. 이는 제로 트러스트 사고방식과 일치하지 않으며, 많은 기업의 인프라가 VPN을 통해 연결하는 다수의 재택근무자로 인해 형성된 트래픽 부하를 처리할 수 없는 것으로 나타났다.  
 

제로 트러스트는 제품이 아닌 프레임워크

이에 따라 네트워크와 보안 업계는 VPN 연결을 보완하거나 심지어 대체하는 일련의 제품과 서비스를 내놓았는데, 바로 ZTNA다. 이런 ZTNA 툴은 다양한 네트워크와 애플리케이션 보안 기법을 사용해 제로 트러스트에 원격 액세스에 적용한다. 여기에는 불법 액세스를 방지하는 에이전트(Agent) 또는 에이전트리스(Agentless) 기법에 의한 사용자 종점 모니터링이 포함된다.

하지만 제로 트러스트는 특정 기술이 아니라 프레임워크이기 때문에(NIST 문서 참조) ZTNA는 기술보다는 마케팅에 가깝고, 제품마다 접근방식과 장점이 다르다. 포레스터 리서치의 책임 분석가 데이비드 홈스는 “처음에 업계가 ZT 마케팅을 했을 때 과장광고라는 비판이 있었다. 이후 많은 업체가 ZTNA 기능을 단독형 제품 또는 서비스가 아닌 다른 더 포괄적인 보안 솔루션에 새로운 기능 중 하나로 포함시켰다"라고 말했다.

또한, 제로 트러스트를 구현하려면 기업의 상당한 노력이 필요하다. 홈스는 “제로 트러스트를 도입하는 것은 단순한 구매가 아니다. 솔루션을 도입해 연결만 하면 작동하지 않는다. 기업은 데이터 분류에 대한 설득력 있는 접근방식이 필요하며, 누군가는 직원과 서드파티 권한을 감사해야 한다. 이 둘은 모두 중요하며, 일반적으로 수동 작업이다”라고 말했다.
 

주요 ZTNA 솔루션 17가지

ZTNA 솔루션을 제공하는 주요 업체와 솔루션을 간략하게 살펴보자. 더 자세한 내용은 IDC 마켓스케이프(MarketScape) 보고서 ‘전 세계 ZTNA 2023 업체 평가(Worldwide Zero Trust Network Access 2023 Vendor Assessment)’를 참고하면 된다.

아카마이 EAA(Akamai Enterprise Application Access). 아카마이 EAA를 사용하면 브라우저를 통해 보호된 애플리케이션에 액세스할 수 있다. 클라이언트 기반 툴도 지원한다. 기기 프로파일링은 제품의 정책 시행 기능에 내장되어 있지만 DLP(Data Loss Prevention) 또는 위협 감지 기능은 빠졌다. 기업은 아카마이 EAA와 기존 신원 서비스 제공업체 및 MFA(Multifunction Authentication) 시스템을 통합할 수 있다. 또한 아카마이의 MFA 솔루션과 함께 사용해 네트워크 액세스 제어와 미세 세그멘테이션 툴 등을 쓸 수 있다.

앱게이트(Appgate). ZTNA 시장에 비교적 일찍 진출한 앱게이트는 단일 패킷 승인, 숨겨진 애플리케이션과 AP(Access Point), 클라이언트 액세스, 직접 라우팅, 추가적인 보호 리소스 등 여러 가지 기능을 지원한다. 클라우드 호스팅부터 온프레미스까지 다양한 방식으로 도입할 수 있다. 이 제품의 강점은 다수의 특수 네트워크 프로토콜을 지원한다는 것이다. 덕분에 OT, IoT, 산업용 롤아웃 등에 적합하다. DLP 또는 NESaaS(Network Edge Security as a Service) 등의 네이티브 번들 도구는 없지만 서드파티 솔루션으로 그 공백을 메울 수 있다.  

체크 포인트 HCRA(Check Point Harmony Connect Remote Access). 이 체크 포인트의 제품은 최신 ZTNA의 보안 엔클레이브(Enclave)와 리소스 포탈 모델을 지원한다. 동시에 여전히 VPN 연결을 사용하는 많은 기업에 중요한 서비스형 VPN 기능을 가지고 있다. 체크 포인트의 VPN에는 기기 상태 검사와 함께 침투 방지, DLP 기능 등이 포함돼 있다. HCRA는 체크 포인트의 NESaaS 스위트에 포함된 솔루션 중 하나다. 가장 큰 단점은 클라우드 서비스가 여전히 초기 상태라는 것이다. 체크 포인트는 현재 AWS와 애저(Azure)와만 협력하고 있다. 

시스코 시큐어 클라이언트(Cisco Secure Client). 시스코의 제품은 VPN과 ZTNA를 지원하는 통합 클라이언트다. 여전히 ZTNA로 이전 중이거나 VPN 연결을 사용하는 기업에 매력적일 수 있다. 시스코는 ZTNA 앱 커넥터(App Connector)를 구현하거나 VPN을 역전송하는 유연성을 제공하며, 서드파티 SD-WAN 솔루션과의 통합도 지원한다.  시큐어 클라이언트는 ZTNA와 NESaaS 관리를 위한 통합 대시보드를 제공한다. 앞으로 시스코의 광범위한 사이버 보안 제품과 더 긴밀하게 통합될 예정이다. 현재 제품은 듀오(Duo)와 USC(Umbrella Secure Cloud) 서비스 등 다른 시스코 기술을 기반으로 하므로, 기존에 시스코 기술을 쓰고 있는 기업에는 유리하다. 반면 시스코 솔루션에 투자한 적이 없는 기업엔 제약일 수 있다.

시트릭스 SPA(Citrix Secure Private Access). 시트릭스는 기존의 원격 액세스 전문성을 살려 ZTNA를 지원한다. VPN, 가상 데스크톱, 시트릭스 EB(Citrix Enterprise Browser), 서비스형 데스크톱 제품과 호환되며, 클라우드는 물론 온프레미스 방식을 지원한다. 애플리케이션 발견 기능과 함께 애플리케이션 액세스 정의 및 정책 규칙 생성을 자동화하는 워크플로우를 제공하며, 사전 작성 파라미터 및 단일 접속 개시를 위한 수백 개 템플릿이 포함되어 있어 더 신속하게 온보딩, 구성할 수 있다. 시트릭스는 BYOD, 관리형, 비관리형 기기를 지원하는 네이티브 클라이언트 사용자 인터페이스, 네이티브 브라우저, 기업 브라우저 기반 컨트롤을 모두 제공하는 몇 안 되는 업체 중 하나다. 하지만 SPA는 NESaaS 플랫폼에 포함되어 있지 않으며, 마이크로 세그맨테이션 솔루션과의 통합도 지원하지 않는다.

클라우드플레어 액세스(Cloudflare Access). 클라우드플레어는 기존의 콘텐츠 딜리버리 전문성을 ZTNA으로 녹여 냈다. 즉, 
인테넷 트래픽에 대한 인사이트로 학습시킨 머신러닝 알고리즘을 기반으로, 웹 애플리케이션 방화벽, DDoS 완화, 위협 감지 등 ZTNA 제품으로 구현했다. 클라우드와 온프레미스는 물론 IoT 기기를 포함해 관리형 또는 비관리형 사용자 기기를 지원한다. RDP 애플리케이션에 대한 지원도 강력하다.  반면, 클라우드플레어 액세스는 마이크로 세그맨테이션, 네트워크 액세스 관리, MFA 등 일부 클라우드 관련 제로 트러스트 기술을 지원하지 않는다. 기업은 API를 통해 이런 툴과 통합할 수 있는데, 이는 장점이기도 하지만 누군가에겐 학습 곡선이 될 수 있다.

포스포인트 원 ZTNA(Forcepoint ONE ZTNA). 포스포인트는 클라우드 네이티브 및 클라우드 라우팅 ZTNA 솔루션을 제공하며, 에이전트리스 및 에이전트 기반 배포를 모두 지원한다. DLP 통합이 가능하고 심층 암호 등의 특수 기능을 포함한다. 포스포인트의 SD-WAN과 방화벽 제품은 ZTNA 애플리케이션 커넥터로 기능하므로, 기존 사용자가 손쉽게 ZTNA를 구현할 수 있다. 제품 전체에 걸쳐 준법 감시를 매우 강조하는 것이 특징인데, 기업이 준법감시를 구현하고 보안 태세를 강화할 수 있는 사전 정의 템플릿을 제공한다. 단점은 단일 패킷 승인, 리소스 클로킹, 전용 마이크로 세그맨테이션 솔루션 등 소프트웨어 정의 경계 요소를 제공하지 않는다는 것이다. 

포티넷(Fortinet). 포티넷은 ZTNA를 포티패브릭(FortiFabric) 생태계에 긴밀히 통합했다. 결과적으로 마이크로 세그맨테이션, 신원 관리, 다중 인증, SIEM, SOAR,  EDR, SD-WAN, 기타 여러 보안 및 네트워킹 제품이 포함한다. 포티넷의 ZTNA 솔루션은 최종 사용자가 쓰고 있는 애플리케이션에 따라 동시에 열 수 있는 별도의 터널을 통해 VPN과 함께 원활하게 작동한다. 포티넷 사용자가 아니면 ZTNA 솔루션은 단독형 제품으로 구매할 수 없다.  이 ZTNA 제품은 업계에서 가격 경쟁력이 높은 솔루션이며, 분기별로 소프트웨어 업데이트와 함께 새로운 기능을 제공한다.

구글 비욘드콥 ZTES(BeyondCorp Zero Trust Enterprise Security). 이 리스트에 구글이 있을 것으로 예상하지 못했을 수 있는데, 구글의 ZTNA 제품은 구글의 유명 브라우저인 크롬의 구성요소를 가리킨다. ZTNA 솔루션을 위해 백그라운드에서 추가적인 소프트웨어나 에이전트를 구동할 필요가 없기 때문에 복잡성을 줄여주고 신속한 롤아웃이 가능한 것이 특징이다. 구글의 전 세계 관리형 네트워크와 호환되기 때문에 강력한 네트워크 성능이라는 장점도 있다. 반면 브라우저에만 국한되고 전용 종점 에이전트가 없다는 것은 단점이다. 이는 일부 기업에 장애 요인이 될 수 있다. 이 솔루션은 팔로알토 네트웍스 툴과 통합된 구글의 NESaaS 제품에 포함돼 있다.  

아이보스(iboss). 아이보스 네트워크 보안 서비스에는 제로 트러스트 원리가 반영돼 있다. 아이보스 ZTNA 서비스는 네트워크 보안 기능의 풀 스택을 가능하게 하는 컨테이너화 아키텍처를 기반으로 하므로, 클라우드 엣지 서비스 뒤에 모든 애플리케이션과 리소스를 숨겨 스캔과 프로빙(Probing)을 방지한다. 사용자 브라우저는 클라이언트이며, 모든 기능과 데이터를 데이터 또는 코드가 아니라 픽셀로 스트리밍하기 때문에 최종 사용자 기기에는 데이터가 존재하지 않는다.  전통적인 방화벽과 연동할 수는 없지만, 필요한 경우 아이보스의 온프레미스 클라우드 게이트웨이를 방화벽으로 배치할 수 있다.

룩아웃 SPA(Lookout Secure Private Access). 룩아웃의 ZTNA 제품은 에이전트 및 에이전트리스뿐 아니라 인라인(Inline), 클라우드 또는 직접 라우팅 등 다양한 배치 모델을 지원한다. 또한 DLP 및 문서 관리 정책을 적용할 수 있다. 룩아웃의 에이전트는 해당 업체의 전체 보안 제품군에 대한 액세스를 통합하며, SPA는 다른 룩아웃 NESaaS 제품 및 SD-WAN 기능과의 심층적인 결합을 제공한다. 기존 온프레미스 ZTNA 및 NESaaS 기능이 부족하다고 느꼈다면, 룩아웃의 ZTNA가 매력적일 수 있다. 

넷스코프 PA(Netskope Private Access). 넷스코프의 ZTNA 제품은 데이터 보호와 위협 방지 기능을 지원하는 광범위한 NESaaS 스위트에 포함돼 있다. 넷스코프는 자사의 DLP 및 사용자 분석 기능을 활용하는데, 예를 들면 수십 개의 신호와 머신러닝 모델을 활용해 UCI(User Confidence Index) 점수를 산출한 후 이를 ZTNA 솔루션 전반에 걸친 적응형 액세스 컨트롤로 바꾼다. 넷스코프는 ‘ZTNA 넥스트(Next)’라는 차세대 제품도 개발하고 있다. 기업의 VPN 연결을 완전히 대체하고 기존 ZTNA 접근방식을 복잡하게 만드는 특수 프로토콜을 가진 온프레미스 VoIP 등 기존 애플리케이션을 지원하는 것이 목표다.

팔로알토 네트웍스 PA ZTNA(Palo Alto Networks Prisma Access ZTNA). 팔로 알토 네트웍스의 ZTNA 솔루션은 ZTNA, 보안 웹 게이트웨이, 서비스형 방화벽이 단일 제품으로 통합된 형태다. 이 업체는 제품군 전반에 걸쳐 일관된 서비스 품질을 확보하기 위해 구글의 프리미엄 파이버 네트워크를 사용한다. 또한 팔로알토의 다른 NESaaS 제품과 통합할 수 있는 장점이 있으므로, 이 업체의 다른 제품까지 도입을 검토하는 기업이라면 참고할 필요가 있다. PA ZTNA는 다양한 배치 모델을 지원하고, OOB(Out Of Band), 인라인, 프록시 기반, 클라우드 라우팅, 에이전트를 통한 직접 라우팅, 에이전트리스, 온프레미스 게이트웨이/셀프 호스팅, 컨테이너화 롤아웃 등이 모두 가능하다.  

스카이하이 PA(Skyhigh Private Access). 스카이하이는 미승인 액세스 또는 스캔으로부터 애플리케이션을 보호하는 ZTNA 클라우드 라우팅 모델을 제공한다. 스카이하이 SPA(Security Private Access)는 고급 EDM, IDM, OCR과 조합된 광범위한 DLP 컨트롤을 지원한다. 또한, 이 제품에는 에뮬레이션을 사용해 제로데이 위협을 감지하는 인라인 샌드박스 기능이 포함돼 있다. 에이전트 및 에이전트리스 액세스를 모두 제공하며, BYOD 및 모바일 장치를 지원한다.  단, 이 제품은 종점 DLP를 네이티브 방식으로 제공하지 않는다. 그러나 이 기능은 해당 기업의 스위트에 포함되어 있으므로, 포괄적인 DLP 정책을 가진 기존 기업은 PA가 매력적인 부가기능이 될 것이다. 규제가 엄격한 산업을 위한 다수의 정책 템플릿도 제공한다.

소포스(Sophos) ZTNA.  소포스의 ZTNA는 소포스의 기존 기업용 종점 솔루션과 긴밀히 통합된다. 이 둘은 액세스 권한을 실시간으로 제한하고 랜섬웨어와 다른 위협으로부터 보호하기 위해 에이전트와 위협 원격 측정 및 상태와 건전성 정보를 공유한다. 소포스의 ZTNA는 또한 광범위한 소포스 생태계와 통합되며, 상시 감지 및 대응 서비스가 포함된다. 소포스 ZTNA의 장점 대부분은 다른 소포스 제품과의 긴밀한 통합에서 나오므로, E2E(End to End) 기기 보안을 강화하기 위해 소포스 제품을 이미 쓰고 있던 기업이라면 소포스 ZTNA를 검토할 필요가 있다.

시만텍(Symantec) ZTNA. 본래 루미네이트(Luminate)가 개발한 시만텍 ZTNA는 에이전트를 통하거나 통하지 않고 운용할 수 있으며 일부 사용자가 액세스하지만 데이터를 다운로드할 수 없는 리버스 프록싱 및 브라우저 고립을 사용하는 ‘미러 게이트웨이(Mirror Gateway)’ 기능이 지원하는 것이 특징이다. 기업은 시만텍 ZTNA API를 사용해 이 솔루션을 데브섹옵스(DevSecOps) 자동화 활동에 통합할 수 있다. 이 플랫폼은 현재 브로드컴(Broadcom)의 광범위한 NESaaS 제품 스위트의 일부이며 대기업을 대상으로 한다.

지스케일러 PA(Zscaler Private Access). 지스케일러는 클라우드 기반 보안 서비스에 집중하고 있는데, ZTNA 서비스도 다르지 않다. 모든 사용자와 기기 트래픽은 포괄적인 가시성과 통제 및 일관된 보안 태세를 위해 지스케일러 ZTE(Zero Trust Exchange) 플랫폼을 거친다. 여기에는 자동화된 사용자-애플리케이션 액세스 분할을 위한 AI 생성 정책이 적용돼 있다. 지스케일러는 지스케일러 IA(Internet Access)와는 다른 데이터센터에서 PA 서비스를 처리한다. 저지연 애플리케이션을 지원하기 위해 클라우드를 개발하고 있으며 AWS의 데이터센터에서 추가로 ZPA를 호스팅하고 있지만, 일반적으로 비즈니스 애플리케이션을 호스팅하지 않는 특정 원격지는 지원하지 않는다.
editor@itworld.co.kr