Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
네트워크

글로벌 칼럼 | 제로 트러스트로 네트워크 기술 부채에 맞서는 방법

John Burke | Network World 2022.03.31
제로 트러스트(Zero Trust)는 기술이 아닌 사고방식이자 방법의 일종이다. 오늘날 제로 트러스트 채택이 추진력을 얻는 이유는 기업 네트워크에서 위험 관리 및 공격 방어 개선의 필요성이 빠르게 증가했기 때문이다. 지속적인 랜섬웨어 공격으로 인한 변화다. IT팀은 제로 트러스트 채택의 시급성을 활용해 기업의 기술 부채를 일부 찾아낼 수 있다. 특히 네트워크 및 네트워크 보안 표준에서 제외된 영역을 찾아 제로 트러스트라는 새로운 패러다임을 촉진할 수 있다.
 
ⓒ Getty Images Bank


제어 대상에서 제외되지 않는 네트워크 컴포넌트

제로 트러스트 환경에서 네트워크는 새로운 노드를 신뢰하지 않을 뿐 아니라 네트워크를 통해 이미 통신하는 노드도 신뢰하지 않는다. 제로 트러스트 네트워크는 처음 발견한 노드에 인증 및 인가 확인 절차를 거칠 것을 요구한다. 신원을 증명하는 유효 인증서가 있는지, 해당 ID를 사용한 연결이 허용되는지, 유효한 소프트웨어 버전과 방어 도구를 실행하고 있는지 등을 확인한다. 통신이 허용되기 전에 노드는 이런 장애물을 제거해야 한다.

또한 제로 트러스트 네트워크는 신뢰 관계가 영구적이거나 맥락에서 자유롭다고 가정하지 않는다. 즉, 네트워크상의 노드는 모든 네트워크 작업을 시도할 때마다 인증 및 권한 부여 절차를 거쳐야 한다. 한 작업과 다음 작업 사이에 신뢰 관계가 손상되었을 수도 있고 노드가 비정상적으로 행동해 권한이 박탈됐거나, 혹은 해당 시스템의 사용자가 해고되었을 수 있기 때문이다.

제로 트러스트를 도입하기 위해서 네트워크 전문가는 그동안 생각하던 네트워크 서비스 방식을 근본적으로 바꾸어야 한다. 실제로 802.1x 기반의 기본적인 승인 제어에 익숙해진 네트워크팀이 많아지기 시작한 것도 최근부터였으며, 여전히 네트워크에는 기본 수준의 승인 제어를 적용하지 않는 포트, 스위치, 세그먼트 및 서브넷이 만연하다. 대부분의 경우 포트/세그먼트/서브넷 등은 제어 대상이 되지 않는다. 이를 통해 연결된 시스템이 (심지어 밑단의 하드웨어 자체도) 보안 프로토콜을 처리할 수 없기 때문이다. 혹은 네트워크에서 해당 부분을 실행하는 담당자가 해당 수준의 보안을 필요로 하지 않거나 채택하려 하지 않거나, 시스템 구현 및 실행의 관리 오버헤드가 너무 높은 것으로 간주하기 때문이다.

제로 트러스트는 관점의 완전한 전환을 요구하고 이사회 수준의 지원이 필요하다. 따라서 채택 과정에서 기업의 기술 부채가 드러나고, 이를 해결할 동기를 찾는 데에도 큰 도움이 된다.


제로 트러스트로 발견하는 기술 부채

제로 트러스트 인프라를 구현하려면 인프라의 모든 수준을 조사해 보안 정책을 시행하거나 정책 적용 지점(Policy Enforcement Points, PEP) 주변에서 최종 실행되지 않도록 구성해야 한다. 

스위치가 PEP인 경우 노드가 스위치를 통해 패킷을 전송할 수 있도록 먼저 허용해야 하며, 푸시된 정책 업데이트의 변경 사항을 확인해 해당 권한을 지속해서 재확인해야 한다. PEP가 별도의 게이트웨이 노드라면 스위치가 모든 트래픽이 해당 게이트웨이를 통과하는지 확인해야 한다. 예컨대 게이트웨이가 스위치의 업스트림에 있을 때는 엣지 포트에서 전송되는 모든 트래픽이 반드시 업링크를 통해 전달돼야 한다. 해당 트래픽이 궁극적으로 자체적인 다른 엣지 포트로 향하는 경우에도 마찬가지다.

제로 트러스트 구현에 하향식으로 접근하는 기업에서는 네트워크팀과 기업 소유주가 더 이상 현대화를 방해할 수 없다. 제로 트러스트 구현을 목표로 하면 규정을 준수하지 않는 인프라에 대한 변명의 여지도 평소보다 줄어든다. 업데이트에 많은 비용이 투입되기 때문이다.

'전통적인 네트워크'의 거품을 '새로운 네트워크'로 가릴 수 있다는 의미가 아니다. 제로 네트워크에 대한 추진력은 네트워크 구성요소의 구성뿐 아니라 전통 네트워크가 지닌 거품에 지속적인 압력을 가하여 수축하게 만들 것이다. 애플리케이션 소유자는 수십 년 뒤쳐진 애플리케이션의 보안을 현대화해야 한다는 압박을 받게 된다. 적어도 이런 앱은 업데이트할 수 없는 구성 요소를 위한 호스트 수준의 제로 트러스트 게이트웨이 역할을 하는 에이전트를 수용할 정도로 개선돼야 한다.

가끔 그러하듯 기업 소유주는 프로젝트 비용을 충당할 자금이 없다고 대답할 것이 분명하다. 이런 의견에 균형을 맞추는 유일한 방법은 제로 트러스트를 채택하지 않았을 때 위험이 발생할 수 있으며, 이런 위험으로 인해 발생하는 손실이 장기적으로 더 크다는 사실을 알고 변화를 추구하는 CEO의 확고한 마음가짐이다. 네트워크팀은 사이버보안 및 위험 관리와 함께 네트워크 전반에서 제로 네트워크를 옹호하고 함께 발전시켜야 한다.
editor@itworld.co.kr
 Tags 제로트러스트 네트워크 기술부채

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.