보안

글로벌 칼럼 | 제로 트러스트, ZTA, 그리고 ZTNA의 차이

Peter Newton | CSO 2021.03.17
많은 네트워크 및 보안 공급업체가 제로 트러스트(Zero Trust)라는 용어를 사용하고 있지만, 모든 이가 동일한 의미로 사용하는 것은 아니다. 혼동 가능성을 더하는 것은 ZTA(Zero Trust Access), ZTNA(Zero Trust Network Access)라는 용어가 종종 같은 의미로 사용되기 때문이다. 
 
ⓒ Getty Images Bank

이와 유사한 용어와 약어가 너무 많기 때문에 제로 트러스트 솔루션에 대해 논의할 때에는 공급업체가 실제로 말하는 내용을 이해하는 것이 중요하다.
 
필자는 매주 여러 기업 고객과 자주 이야기를 나누는데, 최근 제로 트러스트 솔루션에 대한 논의가 확실히 증가하고 있다. 대부분의 경우, 기업 고객은 제로 트러스트에 대한 연구를 시작하기 위해 광범위한 개요를 찾고 있다. 일부만이 ZTNA 솔루션의 세부 사항을 조사하고 있다. 이들의 질문을 듣고 몇 가지 확인 질문을 함으로써 그들의 인지 단계가 어디에 있는지 쉽게 알 수 있다. 

제로 트러스트의 개념은 ‘내부는 신뢰할 수 있음’과 ‘외부는 신뢰할 수 없음’이라는 기존 네트워크 보안 모델이 더 이상 작동하지 않는 것에서 유래했다. 경계 기반의 접근 방식(perimeter-based approach)은 지난 수년 동안 사용자의 모바일 기기와 비즈니스 파트너가 네트워크 접근이 필요하는 등의 새로운 과제를 해결하기 위해 VPN(Virtual Private Networks)이나 비무장 지대(DMZ)를 사용해 조정해왔다. 

이런 경계 기반의 접근 방식은 오늘날 고도로 복잡한 네트워크에 내재된 단점이 있는데, 과도하게 묵시적 신뢰를 부여한다는 점이다. VPN을 사용하든, 직접 네트워크에 연결하든 내부 네트워크에 연결만 되면 신뢰하는 것이다.  


제로 트러스트란?

제로 트러스트 모델은 네트워크 위치를 기반으로 하는 묵시적 신뢰를 제거했다. 대신 트랜잭션 별로 신뢰를 평가하는 데 중점을 둔다. 제로 트러스트는 네트워크 위치, 또는 IP 주소를 더 이상 신뢰하지 않는다는 걸 의미한다. 제로 트러스트 모델에서의 신뢰는 ID와 컨텍스트 기반의 혼합에서 비롯된다고 명시적으로 규정한다.
    
네트워크 접근과 관련해 제로 트러스트는 모든 사람과 모든 것에 대해 기본적으로 거부 상태로 시작하는 것에서 이름이 유래됐다. 즉, 신뢰 제로다. 제로 트러스트 모델을 사용하면 사용자 또는 기기가 리소스에 대한 접근을 요청할 때마다 접근 권한이 부여되기 전에 검증해야 한다. 이런 검증은 사용자와 기기의 신원과 함께 시간 및 날짜, 지리적 위치, 기기 보안 상태와 같은 속성과 컨텍스트를 기반을 한다.  

기기와 사용자가 검증되면 필요한 적절한 신뢰만 부여한다. 최소 권한 원칙에 따라 접근 권한을 제공한다. 사용자가 HR 애플리케이션에 대한 접근을 요청하고 이것이 검증되면 해당 애플리케이션에 대한 접근 권한만 부여한다. 

사용자에게 특정 항목에 대한 접근 권한을 부여할뿐 다른 항목도 볼 수 있다는 의미가 아니다. 접근은 전체 네트워크가 아닌 특정 리소스에 대한 접근 권한만 부여하는 것을 의미한다. 제로 트러스트 모델의 핵심 요소는 신뢰를 지속적으로 재평가한다는 것이다. 사용자 또는 기기의 중요한 속성이 변경되면 검증을 취소하고 접근 권한을 제거할 수 있다. 


제로 트러스트 접근이란? 

ZTA란 네트워크에 있는 사용자와 내용을 파악하고 제어하는 것이다. 역할 기반의 접근 제어(Role-based access control)는 접근 관리의 중요한 구성 요소다. 사용자가 누구인지 확실하게 아는 경우에만 역할에 따라 적절한 수준의 접근 권한을 부여할 수 있다. ‘사용자가 직원, 손님, 계약자인가?’ ‘그의 역할은 무엇인가?’  ‘이런 역할에 따라 그들에게 어떤 네트워크 접근 권한을 부여하는가?’ 

ZTA는 관리 제어 및 가시성이 필요한 사용자 엔드포인트를 다룬다. 제로 트러스트 모델에 맞춰 사용자에게 역할에 필요한 최소 수준의 네트워크 접근 권한을 부여하고 네트워크의 다른 부분에 접근하거나 볼 수 있는 모든 기능을 제거하는 최소한의 접근 정책을 구현하는 것을 의미한다. 

그러나 ZTA는 네트워크에 있는 사용자에만 초점을 맞추는 것이 아니라 네트워크에 있는 모든 것에 대한 보안을 아우른다. 네트워크에 연결된 기기는 프린터에서 난방, 환기 장치, 도어 시스템에 이르기까지 다양한 IoT 기기를 포함할 수 있다. 이런 기기에는 자신과 역할을 식별하기 위한 사용자 이름과 비밀번호가 없다. 이런 헤드리스 기기의 경우, NAC(Network Access Control) 정책을 사용하면 최소 접근의 제로 트러스트 원칙을 이런 IoT 기기에 적용해 역할을 수행하는 데 충분한 네트워크 접근 권한을 부여할 수 있다.   


제로 트러스트 네트워크 접근이란?

제로 트러스트 네트워크 접근, 즉 ZTNA란 가트너 및 기타 분석가 덕분에 업계 표준 용어가 되고 있다. ZTNA는 제로 트러스트 네트워크 접근이라 부르긴 하지만, 사실 이는 사용자의 애플리케이션 접근 권한에 관한 것이다. 따라서 제로 트러스트 애플리케이션 접근이라고 부르는 것이 더 명확할 수 있지만, 좋든 나쁘든 ZTNA다. 중요한 점은 ZTNA가 더 큰 ZTA 제안의 한 요소라는 것이다.
 
원격 작업의 증가로 인해 ZTNA는 사용자 또는 애플리케이션 위치에 관계없이 애플리케이션에 대한 접속을 제어하는 방법이기 때문에 최근 더 많은 관심을 받고 있다. 사용자는 회사 네트워크에 있거나, 집에서 근무하거나, 다른 곳에서 일할 수 있다. 애플리케이션은 기업 데이터센터, 프라이빗 클라우드 또는 공공 인터넷에 상주할 수 있다. 

기존 VPN이 수십 년동안 주류였지만, ZTNA는 VPN의 자연스러운 진화이며, 오늘날 네트워크 복잡성에 비춰볼 때, 더 나은 보안, 더 세분화된 제어 및 더 나은 사용자 경험을 제공하므로 원격 근무자의 안전한 연결을 위한 현명한 선택이 될 수 있다. 

기존 VPN의 경우, 네트워크 경계 제어를 통과한 모든 사람, 또는 모든 기기를 신뢰할 수 있다고 가정한다. 그러나 ZTNA는 그 반대의 접근 방식을 취한다. 즉, 다른 방법으로 입증되기 전까지 어떤 사용자나 기기도 접근할 수 있는 신뢰를 부여하지 않는다. VPN과는 달리 ZTNA는 제로 트러스트 모델을 네트워크 이상으로 확장하고 인터넷에서 애플리케이션을 숨겨 공격 표면을 줄인다.  

 
지속적으로 검증하라 

사용자가 외부에서 기존 네트워크 리소스에 접근하기 때문에 기업은 경계선이 해체되고 더 이상 위치를 기반으로 한 신뢰를 부여할 수 없다. 따라서 제로 트러스트 솔루션에 대해 기억해야 할 핵심 사항은 용어 자체가 ‘아무도 자동으로 신뢰해서는 안 된다’는 것이다. 

일단 검증되면 제한된 접근만을 허용하고 다시 검증한다. 제로 트러스트 개념을 기반으로 ZTA는 네트워크에 접근하는 사람과 기기를 이해하는 데 중점을 두며, ZTNA는 애플리케이션 접근을 중심으로 전개되며, VPN 사용의 대안으로 자주 논의된다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.