Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
IT 관리 / 글로벌 트렌드 / 네트워크 / 보안

제로 트러스트를 구현할 때 반드시 피해야 할 5가지 실수

Jaikumar Vijayan | Network World 2022.07.14
지난 2년 동안 많은 기업이 원격 근무자, 협력 업체, 서드파티 업체가 클라우드와 온프레미스 환경의 데이터에 접근하는 더 나은 방법을 모색했다. 이런 상황에서 주목받기 시작한 것이 바로 제로 트러스트(Zero Trust) 보안이다.
 
ⓒ Getty Images Bank

제로 트러스트 보안을 트렌드로 이끈 요인은 매우 다양하다. 갈수록 정교해지는 사이버 위협, 클라우드 도입의 가속, 코로나19 팬데믹으로 인한 원격 및 하이브리드 근무환경 도입 등이 대표적이다. 많은 기업이 경계 안에 있는 모든 것을 암묵적으로 신뢰하는 전통적인 보안 모델이 경계가 존재하지 않고 데이터와 사용자가 갈수록 탈중앙화되는 오늘날 환경에 적합하지 않다는 사실을 깨달았다.

미국에서는 2021년 5월 바이든 행정부가 연방 기관에 제로 트러스트 보안을 구현하라는 행정 명령을 내리면서 제로 트러스트 보안에 대한 연방 기관의 관심이 커졌다. 보안 업체 일루미오(Illumio)의 위탁을 받아 포레스터 리서치가 실시한 최근 조사에 따르면, 응답자의 2/3가 2022년 제로 트러스트 예산을 높였다고 답했다. 응답자 중 절반 이상(52%)이 자사 제로 트러스트 프로그램이 중대하고 전사적인 이점을 가져올 것이라고 답했고, 50%는 클라우드 마이그레이션이 더 안전해질 것이라고 전망했다.

사이버보안 업체들은 큰 기회를 감지하고 ‘제로 트러스트’라는 단어가 붙은 제품들을 서둘러 내놨다. 리서치 업체인 IT하베스트(IT-Harvest)가 약 2,800곳의 업체의 웹사이트를 대상으로 시행한 비공식 조사에 따르면, 조사 대상 사이트 중 238곳이 제로 트러스트를 유독 강조하는 것으로 나타났다. IT하베스트의 최고 연구 애널리스트 리처드 스타이넌은 “백악관과 CISA가 제로 트러스트 접근법으로 전환하라는 가이드를 발표한 후부터 모두가 이 가이드에 발맞추고 싶어 하는 것”이라고 말했다. 

제로 트러스트를 둘러싼 과대 선전은 상당한 혼란을 초래했다. 급기야 제로 트러스트라는 개념을 처음 소개했던 포레스터 리서치는 2022년 초 “보안 업체들이 제로 트러스트에 대해 퍼뜨린 가짜 뉴스가 보안 전문가에게 혼란을 유발했다”면서 현대의 제로 트러스트에 대한 정의를 명확히 했다. 포레스터에 정의에 따르면, 제로 트러스트는 다음과 같다. 
 

“제로 트러스트는 애플리케이션과 데이터에 대한 액세스를 기본적으로 거부하는 정보 보안 모델이다. 지속적이고 맥락적이고 위험에 기반한 검증으로 통지된 정책을 사용하는 네트워크와 워크로드만으로 사용자와 관련 기기 전반에 걸친 액세스를 허용함으로써 위협을 예방할 수 있다.”


포레스터의 정의를 염두에 두고 제로 트러스트 보안 전략을 구현할 때 피해야 할 5가지 실수를 살펴보자. 


제로 트러스트는 ZTNA가 전부라고 생각하는 것

제로 트러스트를 달성하기 위해서는 제로 트러스트 네트워크 액세스(Zero Trust Network Access, ZTNA)를 구현하는 것이 중요하다. 그러나 ZTNA가 제로 트러스트의 전부는 아니다.

ZTNA는 원격 근무자, 협력 업체, 비즈니스 파트너 등이 기업 애플리케이션과 데이터에 안전하고 적응성 있는 정책을 기반으로 액세스할 수 있도록 보장하는 접근법이다. ZTNA를 기반으로 사용자는 신원, 역할, 기기의 보안 상태, 위치처럼 다양한 요소에 대한 실시간 정보에 따라 최소 액세스 권한을 획득한다. 

기업 애플리케이션, 데이터, 서비스에 대한 모든 액세스 요청은 이런 위험 요소에 따라 검증되며, 액세스는 전체 네트워크가 아니라 요청된 특정 리소스에 대해서만 허용된다.

지난 2년 동안 여러 기업이 VPN에 대한 원격 액세스 대체물로 ZTNA를 구현했거나 구현을 시작했다. 팬데믹으로 인해 분산 업무 환경으로 갑작스럽게 전환하면서 많은 기업의 VPN 인프라에 과부하가 걸렸고 기업은 더 확장성 있는 대안을 찾을 수밖에 없었다.

S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence) 산하 451 리서치(451 Research)의 애널리스트 대니얼 케네디는 “ZTNA를 견인하는 대표적인 이용 사례는 VPN 증강 또는 대체다. 이는 전례 없는 규모의 원격 근무로 인해 촉발됐다”라고 말했다.

역사적으로 VPN은 특정 리소스가 아니라 기업 네트워크에 대한 액세스를 제공했다. 오늘날 리소스는 어느 곳에서든 호스팅될 수 있다. 케네디에 따르면, VPN을 통해 트래픽이 기업 네트워크로 들어왔다가 기업 네트워크 외부에서 호스팅되는 리소스로 다시 나가는 것은 불필요한 단계가 추가된 것이다. 케네디는 “ZTNA는 미시적인 수준에서 액세스를 제공하고, 액세스 시작 시 단순히 인증 관문만 제공하는 것이 아니라 해당 액세스를 재확인한다”라고 덧붙였다.

그러나 ZTNA는 제로 트러스트의 일부일 뿐이다. 포레스터 리서치의 데이빗 홈즈는 “특권 ID 관리나 미세 분할이 구현되지 않았다면 진정한 제로 트러스트가 아니다”라고 지적했다.

포레스터에 따르면, 미세 분할이란 기밀 데이터 및 시스템을 격리함으로써 데이터 유출의 영향을 줄이는 접근법이다. 기밀 데이터와 시스템은 보안된 네트워크 세그먼트에 배치되고, 보안된 세그먼트로에 대한 액세스는 강력한 ID 관리 및 거버넌스로 제한된다.

미세 분할의 목적은 공격 표면을 최소화하고 유출의 여파를 제한하는 것이다. 포레스터는 제로 트러스트의 핵심이 관리 권한이 있는 특권 계정을 포함해 사용자가 필요한 앱 및 데이터 이상으로 액세스하지 못하도록 하는 것이라고 말했다. 


제로 트러스트 구현과 제품 도입을 혼동하는 것 

시중에는 기업의 제로 트러스트 전략 구현에 도움이 되는 수많은 툴과 제품이 있다. 그러나 이런툴과 제품을 제로 트러스트 구현 전략과 혼동해서는 안 된다.

케네디는 “제로 트러스트 원리는 기본적으로 애플리케이션, 기기, 사용자에 대한 암묵적 신뢰를 확대하지 않는 것이다. 오히려 액세스에 대해 기본적으로 거부/최소 권한 접근법을 구현하는 것이다. 그리고 사용자 또는 개체 행동 등의 요소에 근거해 위험을 지속해서 평가하는 것이다”라고 말했다.

제로 트러스트 전략을 구현하기 위해 여러 기술을 고려할 때는 명칭을 무시하고 제로 트러스트의 근본 원리에 부합하는 기능을 가진 제품을 찾아야 한다.

케네디는 “물론 용어는 진화한다. 제로 트러스트라는 용어도 마찬가지다. 그러나 언어에는 함축된 의미라는 것이 있다. 따라서 제품 접근법은 제로 트러스트 원리와의 현실적 연계에 뿌리를 두어야 한다”라고 말했다. 다시 말해 미세 분할, 소프트웨어 정의 경계, 기기 무결성 등 핵심 제로 트러스트 원리를 지원하는 기술이 있어야 한다.

케네디는 “기대가 충족되지 않는 가장 큰 원인은 제로 트러스트 전략이나 원리를 특정한 제품 구현과 혼동하기 때문이다”라고 덧붙였다.


기본적인 보안 위생 없이 시작해도 된다고 생각하는 것

SANS 인스티튜트(SANS Institute)에서 새로운 보안 트렌드를 담당하는 존 페스카토는 보안의 근본 원리에 유의하지 않는다면 적절한 툴을 배치하는 것만으로 충분하지 않다고 말했다. 

페스카토는 “기본적인 보안 위생을 우선적으로 달성하지 않은 채 제로 트러스트를 구현할 수 있다고 생각하는 것은 크나큰 실수다. 엔드포인트가 안전하게 설정되고 계속 패치되고 있는지 신뢰할 수 없다면, 재사용할 수 있는 비밀번호가 사용되기 때문에 ID를 신뢰할 수 없다면, 테스트된 적 없기 때문에 소프트웨어를 신뢰할 수 없다면, 제로 트러스트의 혜택을 얻는 것은 불가능하다”라고 강조했다.

툴은 제로 트러스트 보안의 기술적 측면에 도움을 줄 수 있다. 그렇다고 해도 피할 수 없는 두뇌 작업은 수없이 많다. 포레스터의 홈즈는 “예를 들어 기업은 여전히 적절한 데이터 분류 접근법을 필요로 하고, 누군가는 직원 및 서드파티 권한을 조사해야 한다. 모두 사소하지 않고, 수작업이 필요한 부분이다”라고 설명했다.

IT하베스트의 스타이넌은 가장 좋은 접근법은 IT 인프라 내에서 일정한 신뢰를 기반으로 보호되는 영역을 먼저 식별하고 검토하는 것이라고 말했다. 기업이 사용자가 정책을 준수할 것이라고 신뢰하는 고용 협약이나 클라우드 사업자가 기업의 데이터를 어떻게 사용할 것인지(혹은 사용하지 않을 것인지)에 관한 계약 또는 서비스 수준 협약일 수 있다.

스타이넌은 “일단 공백을 파악했다면, 이를 기술적 제어 수단으로 메우기 시작하라. 직원들이 정책을 준수하는지 감시하거나 클라우드 내의 데이터를 반드시 암호화하는 것이다. 그렇다면 직원 혹은 클라우드 업체의 올바른 행동에 의존할 필요가 없다”라고 말했다. 


사용자 액세스 정책을 어설프게 정의하는 것

제로 트러스트 접근법은 기업이 리소스에 대한 액세스를 적응성 있는 정책 기반으로 제어하는 데 도움을 준다. 이때 실시간으로 고려하는 위험 요소는 기기 보안, 위치, 요청되는 리소스 유형을 비롯해 다양하다. 정확히 이행되었을 때는 사용자가 자신이 요청한 정보에만 최소 권한으로 접근하도록 보장한다.

보안 및 IT 관리자는 제로 트러스트 보안을 효과적으로 구현하기 위해 누가 무엇에 액세스해야 하는지 명확히 이해해야 한다. 즉, 사용자 역할을 일일이 나열한 후 직무 요건과 역할을 기초로 배정하는 것이다. 보안 업체 키퍼 시큐리티(Keeper Security)의 보안 및 아키텍처 부사장인 패트릭 티퀘트는 “제로 트러스트는 정말 단순한 개념이다. 직무를 수행하는 데 필요한 리소스에는 액세스하도록 하고, 필요하지 않은 리소스에는 액세스하지 못하게 하는 것”이라고 말했다.

예컨대 10인으로 구성된 한 기업이 직원 모두가 액세스하는 공유 네트워크 드라이브를 보유하고 있다고 가정해 보자. 이 드라이브에 저장된 판매, HR, 회계, 고객 정보에는 직원 역할과 관계 없이 모두가 액세스할 수 있다. 이 경우 무단 액세스, 데이터 소실, 데이터 도난, 무단 공개의 위험이 매우 높다.

티퀘트는 “이런 상황에서 제로 트러스트를 적절히 적용하면 액세스를 제한하면서도 생산성에는 영향을 주지 않는다. 기업의 위험이 크게 줄어든다. 처음에는 잘 정의된 액세스 역할을 고수하고 이후 필요에 따라 개인 사용자에게 액세스 역할을 배정하거나 배정을 해제하는 것이 가장 좋다”라고 덧붙였다.


사용자 경험을 무시하는 것 

제로 트러스트는 최종 사용자에게 큰 영향을 준다. 따라서 사용자 경험을 무시해서는 안 된다. 451 그룹의 케네디는 “인증 및 액세스는 거의 모든 직원에게 영향을 주기 때문에 이런 실수는 CISO에게 큰 부담이 된다”라고 말했다.

사용자를 변화에 적절히 준비시키지 않은 채 서둘러 제로 트러스트 이니셔티브를 진행할 때는 직원의 생산성이 영향을 받을 수 있다. 또한 실패한 이니셔티브나 사용자에게 부정적인 영향을 주는 이니셔티브는 전체 노력의 신뢰성에도 영향을 미칠 수 있다. 

케네디는 “성공으로 향하는 단계들은 이미 잘 알려져 있다. 제로 트러스트 전략에 대해 기업이 바라는 최종 상태를 확립하고, 다른 조각들을 솔루션 업체들과 체계적으로 구현하라. 그리고 사용자에게 필요한 추가 단계가 적절한 보안 이점을 제공할 수 있도록 신중하게 계획, 실행, 테스트해야 한다”라고 말했다.
editor@itworld.co.kr
 Tags 제로트러스트 ZTNA
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.