ZTNA는 “절대 신뢰하지 말고, 항상 검증하라“라는 원칙을 따르는 보안 모델이다. 기존의 네트워크 경계 보안에 의존하지 않고, 모든 액세스 요청에 권한을 부여하기 전에 엄격히 검증하도록 요구한다. 다시 말해 모든 사용자, 기기, 애플리케이션을 지속적으로 인증하고 권한을 부여해 정당한 자격 증명을 가진 사람만 네트워크 리소스에 접근할 수 있도록 한다.
‘제로 트러스트’라는 용어는 10여 년 전 포레스터 리서치(Forrester Research)의 분석가에 의해 널리 알려졌다. 이후 상용 제로 트러스트 보안 솔루션이 등장하기 시작했고, 전 세계 다양한 산업 분야에서 도입률이 꾸준히 증가해 왔다.
최근 몇 년간 ZTNA의 인기가 높아진 까닭은 특히 전 세계적 팬데믹 이후 전통적인 사무실 환경에서 벗어나게 된 상황과 관련이 있다. 오늘날 직원은 다양한 위치에서 다양한 기기로 기업 네트워크, 애플리케이션, 데이터에 접근한다. 이런 추세가 클라우드 기반 서비스 및 디지털 트랜스포메이션의 수요 증가와 맞물리면서 기존의 경계 기반 보안 모델은 더 이상 효과적이지 않게 됐다.
예를 들어 많은 은행 고객이 수년간 오프라인 지점을 방문하지 않았다는 점을 언급할 수 있다. 인터넷과 모바일 뱅킹의 기능과 편리성 때문에 오프라인 지점 방문이 불필요해졌기 때문이다. 백엔드 기술의 구현은 이처럼 클라우드 컴퓨팅과 오픈 뱅킹이 가져온 역량 위에 구축됐다고 할 수 있다.
네트워크 내부의 개체를 무조건 신뢰하고 외부의 개체를 신뢰하지 않는 기존의 정적인 보안 접근 방식은 이제 조직을 적절히 보호할 수 없다. 이 문제를 해결하려면 사용자 ID, 기기, 애플리케이션, 데이터 및 네트워크 중심 보안에 중점을 두고 동적이며 안전한 액세스를 제공하는 새로운 프레임워크가 필요하다. 바로 이 지점에서 ZTNA가 등장한다.
ZTNA는 독립적인 솔루션이 아니다
제로 트러스트는 사용자 ID뿐만 아니라 기기, 애플리케이션, 데이터, 네트워크 보안을 다루는 포괄적인 프레임워크의 일부다. CISO는 각 영역의 현재 상태를 평가하고, 기존의 접근 제어 메커니즘을 이해하며, 초기 및 지속적인 검증이 어떻게 수행되는지 파악해야 한다. 사용자 친화적이고 고객 중심적인 보안 환경을 구축하는 것과 마찬가지로 ZTNA 구현을 위해 중요한 자산의 우선순위를 정하는 것도 필수적이다.
그렇다면 ZTNA는 어떻게 원격 근무와 디지털 트랜스포메이션의 지원 요구 사항을 충족할 수 있을까? 디지털 트랜스포메이션은 종종 기술적 발전도 필요하지만, 주로 문화적 변화에서 시작해 인프라, 거버넌스, 비즈니스 운영, 고객 참여 등의 변화를 포괄한다. ZTNA는 이러한 변화 여정의 핵심 요소다. 다시 말해 이 전체 여정을 가능하게 하는 엔진이라고 할 수 있다.
ZTNA를 단순히 원격 근무의 맥락에서만 바라보지 않는 것이 중요하다. 팬데믹 이전에도 세계는 이미 상호 연결되어 있었고, ZTNA는 지구촌을 위한 기본 철학을 제공했다. 팬데믹 이후에 더 많은 인구가 원격 근무를 채택하면서 그 중요성이 기하급수적으로 증가했을 뿐이다.
ZTNA는 사용자 ID, 기기에서부터 애플리케이션, 데이터, 네트워크에 이르기까지 디지털 환경의 모든 측면에 걸쳐 보안을 강화한다. 지속적으로 진화하고 적응함으로써 액세스 제어에 대한 역동적이고 강력한 접근 방식을 제공할 수 있다.
업계에서 실제 ZTNA를 구현한 몇 가지 사례를 소개한다.
멀티 클라우드 액세스 제어를 위한 ZTNA 사용 사례
여러 클라우드 환경의 이점을 활용하기 위해 멀티 클라우드 전략을 채택하는 조직이 늘고 있다. 이에 따라 환경 전반에서 리소스에 안전하게 액세스하는 것도 중요한 요구 사항이 됐다. ZTNA는 최소 권한 액세스 제어를 시행하고 사용자 신원, 기기 상태, 위치 등의 상황적 요소를 고려해 솔루션을 제공한다. 사용자는 각 클라우드의 승인된 리소스에만 액세스할 수 있다.
시만텍의 ‘다중 데이터센터에 대한 ZTNA(ZTNA to Multiple Data Centers)’ 보고서에 따르면, 런던에 본사를 둔 한 국제 핀테크 기업은 멀티 클라우드 환경에 대한 접근을 보호하기 위해 ZTNA 솔루션을 구현했다. 이 기업은 복잡한 규제 환경으로 인해 영국, 미국 및 기타 지역의 운영에서 민감한 고객 데이터에 대한 접근을 엄격히 통제해야 했다.
이 기업은 전통적인 VPN을 ZTNA 솔루션으로 대체해 ID 기반 접속 제어를 구현하고 기존의 ID 및 접속 관리(IAM) 솔루션과 원활하게 통합했다. 엔드포인트 에이전트 없이도 웹 포털, API 및 다양한 서버에 대한 액세스를 간소화해 전 세계 인프라 전반의 보안, 거버넌스 및 운영 유연성을 강화했다.
BYOD를 지원하는 ZTNA 사용 사례
팬데믹 이후 직원이 언제 어디서나 어떤 디바이스로도 회사 네트워크에 연결할 수 있다는 BYOD(Bring Your Own Device) 정책의 도입이 가속화됐다. ZTNA는 개인 디바이스에서 에이전트 없이 안전하게 엔터프라이즈 애플리케이션에 액세스하는 기능을 제공해 BYOD 이니셔티브를 지원할 수 있다.
센트리베이의 ‘제로 트러스트 프레임워크에서 BYOD를 성공적으로 제공하기 위한 보안 우선순위 지정’ 백서에 따르면, 북미의 한 보험 회사는 수만 명의 원격 상담원이 회사 노트북을 사용함에 따라 비용과 규정 준수 문제에 직면해 있었다. 비용을 줄이기 위해 BYOD 전략을 채택하고 VDI 시스템을 구축했지만, 이로 인해 새로운 엔드포인트 규정 준수 위험이 발생했다.
이 회사는 VDI 클라이언트를 보호하고 PCI DSS 요구사항을 준수하기 위해 ZTNA 솔루션을 구현했다. 솔루션은 싱글 사인온(SSO)과 인증서 기반 디바이스 유효성 검사를 사용해, 관리되지 않는 기기를 안전한 엔드포인트로 전환했다. 이 접근 방식은 자본 지출을 줄이고 기기 관리를 간소화했으며, 규정 준수를 보장하고 고객 데이터를 보호했다.
규제 및 규정 준수 요구 사항을 충족하기 위한 ZTNA 사용 사례
조직은 엄격한 액세스 제어, 상세한 감사 로그, 보안 분석 등 여러 규정 준수 및 규제 요구 사항을 충족해야 한다. 기존 보안 솔루션에는 이런 요건을 충족하는 데 필요한 세부 사항과 문서화가 부족한 경우가 많다. ZTNA는 세분화된 액세스 제어, 상세한 로깅, 실시간 보안 분석 등을 제공해 이 과제를 해결할 수 있다.
센트리베이 백서에 따르면 한 글로벌 투자 은행은 수천 명의 원격 근무자가 기업 네트워크에 접근할 때 기존 보안 솔루션으로 금융 규정 준수 요구 사항을 충족하는 데 어려움이 있었다. 이 문제를 해결하기 위해 기존 솔루션을 ZTNA 솔루션으로 교체했다.
ZTNA 솔루션은 초기 7,000개의 엔드포인트에 맞춤형 보안 프로필을 제공했으며, 이후 20,000개로 확장됐다. 이 솔루션은 글로벌 금융 당국의 규정을 완벽히 준수하는 동시에 지원 요청을 줄이고 새로운 회사 노트북이 필요하지 않도록 했다. ZTNA 솔루션의 원활한 구현과 커널 수준에서의 키로깅 및 화면 캡처 방지 기술로 전 세계 원격 직원 및 민감한 금융 데이터를 효과적으로 보호할 수 있었다.
ZTNA 여정 성공 여부 측정하기··· 글로벌 사이버 보안 전략과의 연계성 평가
제로 트러스트는 미국과 싱가포르에서 국가 사이버 보안 계획에 포함시키는 등 전 세계적인 인정을 받고 있다. 싱가포르는 2021년 사이버 보안 전략에서 정부 기관의 시스템과 데이터를 보호하는 데 있어 제로 트러스트 접근 방식의 중요성을 강조한 바 있다. 미국의 경우 2023년 4월 CISA 제로 트러스트 성숙 모델 버전 2.0을 발표하면서 ZTNA의 채택이 증가하고 있음을 알렸다. 이런 글로벌 트렌드는 ZTNA 원칙에 대한 인식과 구현이 꾸준히 늘고 있다는 것을 보여준다.
ZTNA 도입 수준은 조직별로 크게 다르다. 일부는 초기 단계에 있고 일부는 더 발전된 단계에 있으며, 잘 정의되고 구현된 제어 장치를 갖춘 조직도 있다. 각 조직의 특성, 규모, 운영에 맞게 조정돼야 하기 때문에 ZTNA 여정의 성공 여부를 단일 기준으로 측정할 수는 없다.
ZTNA를 고려하는 조직들을 위한 몇 가지 실용적인 팁을 소개한다.
- 현재의 보안 상태와 ZTNA 성숙도를 평가한다.
- 중요 자산(시스템, 데이터, 인력, 비즈니스 프로세스 등)을 식별하고 조직의 특성에 맞춰 ZTNA 구현의 우선순위를 정한다.
- ZTNA가 지속적인 과정임을 기억하라. 지속적인 모니터링, 조정, 혁신, 자동화, 그리고 사용자와 고객 경험 개선에 우선순위를 둔다.
오늘날 보안은 사치가 아닌 필수다. 스타트업부터 글로벌 기업에 이르는 모든 조직이 직원, 고객, 그리고 평판을 보호하는 데 전념해야 한다. AI가 기술과 비즈니스를 혁신하는 가운데 ZTNA의 중요성은 더욱 커지고 있다.
AI의 성장 잠재력은 부인할 수 없다. 그러나 조직의 미래는 데이터 유출, 랜섬웨어, 피싱, 딥페이크와 같은 위협을 견딜 수 있는 능력에도 달려 있다. 강력한 ZTNA 솔루션은 이런 도전에 직면했을 때 회복 탄력성을 확보하는 기반이 된다.
* Frankie Shuai는 금융 및 IT 업계에서 20여 년간 경력을 쌓은 CISO다. 핫토픽 선정 2024 글로벌 CISO 100 어워드, IDG/파운드리의 CSO 30, CIO 100 아세안, 인포섹의 글로벌 100대 리더, 월드 CIO 200 등에 선정된 바 있다.
[email protected]
Read More from This Article: 칼럼 | 성공적인 ‘제로 트러스트 네트워크 액세스’ 구현을 위한 제언
Source: News