지니언스 기술 블로그

Genian ZTNA, 제로트러스트 보안의 완성 2. Zero Trust Network Access

Written by Genians | Aug 4, 2022 2:33:00 AM

1. 제로트러스트와 NAC(Network Access Control)

 

NAC는 오랜 기간 내부 보안을 위한 플랫폼으로 확고히 자리매김 하였습니다. 보안정책에 따라 사용자 및 단말에 대한 접근통제뿐 아니라 통합인증(IAM), IP관리(IPM), 자산관리(DMS), 패치관리(PMS) 등의 부가기능을 제공하였습니다. 현재의 NAC는 5G, IoT 등 단말의 증가와 보안환경의 복잡성을 해소하기 위해 보안자동화(Security Automation) 및 오케스트레이션(Orchestration)을 지원하고 인공지능이나 머신러닝(Machine Learning) 기술이 적용되고 있습니다.

[ NAC의 발전, Market Outlook: Network Access Control, 2018 – 2023, Quadrant ]

 

그러나 이제 신뢰를 기반으로 하는 경계선 보안이 무너지는 환경이 도래하면서 NAC는 새로운 도전에 직면하고 있습니다. 불행히도 NAC는 변화된 환경과 제로트러스트를 지원하기에 충분하지 않습니다. 지니언스㈜는 1등 NAC 개발사로 NAC의 한계를 명확하게 인지하고 있습니다.

 

A. NAC 의 한계

① CLOUD 확장의 한계

내부통제를 목적으로 구축한 NAC는 클라우드를 지원할 수 없습니다. 여기에는 내부 자산의 이동(IaaS, PaaS) 뿐 아니라 애플리케이션(SaaS)의 통제 역시 포함됩니다.

② VLAN 구성에 의존

다수의 NAC 솔루션에서 통제를 위해 VLAN 구성이 요구됩니다. VLAN을 구성하는 것은 어렵지 않습니다. 그러나 VLAN의 확장에는 물리적 한계가 존재하며 항상 최신의 상태로 유지되는 것은 또 다른 문제 입니다.

③ 트래픽 암호화

이미 많은 네트워크와 어플리케이션이 암호화(encryption)를 지원합니다. HTTPS, TLS 등을 이용한 통신은 별도의 방법을 이용하지 않는 경우 그 내용을 확인하기 쉽지 않으며 이를 통해 보안정책의 우회가 발생할 수 있습니다.

④ 접근통제 누수

NAC의 접근통제 정책은 존재하거나 접근이 가능한 네트워크 및 네트워크 장비를 대상으로 합니다. 만약 IP를 보유하고 있지 않거나 IP가 수시로 변하는 대상이 있다면 이것에 대한 접근제어 정책을 수립 운용하기는 쉽지 않습니다.

⑤ 원격지 사용자(Remote User)

원격지 사용자가 내부 접근을 시도하거나 원격지 간의 접근을 시도하는 행위에 대하여 NAC는 효과적인 대응방법을 제공하지 못 합니다. 별도의 클라이언트 에이전트 또는 사용자 인증 등이 필요할 수 있습니다. 복잡한 보안정책의 운용이 필요할 수 있습니다.

⑥ 동적(Dynamic) 업무환경

5 tuple(IP, Port, Protocol 등)기반의 전통적인 NAC 보안정책은 동적 업무환경을 지원하기에 충분하지 않습니다. WFA(Work From Anywhere)를 위해 IP를 기반으로 누수 없는 접근제어 정책을 수립하는 것은 용이하지 않습니다.

 

B. NAC의 가능성

그럼에도 우리는 NAC의 가능성을 확인할 수 있습니다. 앞서 설명한 제로트러스트원칙(Tenets of Zero Trust)에 해답이 있습니다. 위의 원칙을 간단히 정리하자면 모든 ‘자산(Asset)에 대하여 지속적인 보안성(무결성 등)을 검증하여 최소한의 (접근)권을 부여할 것 ‘ 이라고 할 수 있습니다.

NAC는 제로트러스트가 주목을 받기 이전부터 이미 이러한 원칙을 준수하고 있었습니다. NAC는 사용자(인증) 및 내부 자산에 대한 가장 많은 정보를 보유하고 있으며 이를 통한 가시성(Visibility)의 확보와 다양한 정보의 조합을 통한 보안정책의 운용이 가능합니다. 또한 단말과 네트워크에서 다양한 통제를 수행할 수 있습니다.

 

[ Genian NAC 가 제공하는 사용자 및 단말 가시성, Genians 자체 ]

 

가트너(Gartner)는 ‘2021 Market Guide for Network Access Control’ 보고서를 통해 ‘다수의 기업이 NAC가 제공하는 포괄적인 가시성과 인증을 기반으로 제로트러스트 전략을 통해 사용자 및 단말의 보안을 강화하는 것에 관심이 많다’ 라고 첫 번째로 언급하면서 제로트러스트와 NAC의 가능성을 언급하고 있습니다.

이제 필요한 것은 NAC의 역할범위를 원격지와 클라우드로 확대함과 동시에 통제의 수준을 어플리케이션과 컨택스트(Context) 수준까지 정교화 하는 일 입니다.

 

2. 제로트러스트 보안의 모든 것, Genian ZTNA(Zero Trust Network Access)

 

Genian ZTNA는 제로트러스트 보안을 위한 이상적인 솔루션 입니다. 우리는 누구보다 NAC를 잘 이해하고 있습니다. 우리의 전문성은 기술에 국한되지 않습니다. NAC를 도입하고 관리해야 하는 운영자 그리고 NAC의 (영향을 받는)사용자에 대해서도 잘 알고 있습니다.

사내에서 운영되던 보안 정책은 사용자와 자산(Asset)의 이동에 맞추어 원격지와 클라우드에도 동일하게 적용되어야 합니다. 새로운 서비스(SaaS)는 사용자의 역할과 위치, 권한, 목적 등에 따라 적절히 통제 되어야 합니다. 이를 위한 보안 정책은 중앙에서 통합관리되어야 하며 원격지와 클라우드에 균일하게 적용되어야 합니다.

새로운 업무 환경에 맞는 Genian NAC의 확장, 이것이 Genia ZTNA의 핵심 입니다.

 

A. Genian ZTNA 아키텍쳐

지난해 발간된 ‘(백서) 재택근무자 보안, VPN 과 VDI 만으로 충분한가요?’ 에는 Genian NAC의 발전 방향에 대한 고민이 보입니다. 여기에서 원격지를 포함한 WFA(Work From Anywhere) 보안을 위한 궁극의 대안으로 제로트러스트를 언급하고 있습니다. WFA는 광범위한 엑세스 환경의 일부이며 클라우드도 포함됩니다.

Genian ZTNA는 이러한 고민에 대한 해답 입니다. 우리는 원격지와 클라우드를 포함하는 아키텍처를 설계하였으며 핵심적인 보안 기능을 정의 하였습니다.

 

[ Genian ZTNA 아키텍처, Genians ]

 

Genian ZTNA 아키텍처의 핵심은 분명 합니다. 그것은 ‘정보수집 – 정책수립 – 접근통제’ 라는 NAC의 핵심 기능의 원격지(Remote)과 클라우드(Cloud)로의 확대 입니다. 그러나 그것은 간단하지 않습니다.

클라우드 자산의 정보수집은 사무실(Office)의 방법과 다릅니다. 원격 사용자는 사무실을 거치지 않고 클라우드로 통신할 수 있습니다. 출발지 기준 외에 목적지 기준의 접근통제도 필요 합니다. 출발지와 목적지가 수시로 변하는 환경도 존재 합니다. 이러한 모든 환경에서도 보안정책은 수립되어야 하며 올바르게 동작해야 합니다.

우리는 이러한 문제를 해결하기 위해 제로트러스트를 기반으로 원격지와 클라우드 사무실에 맞는 기능을 선별하였고 핵심 보안스택(Security Stack)을 완성할 수 있었습니다.

 

[ Genian ZTNA 핵심 기능, 지니언스 ]

 

B. Genian ZTNA 특장점

Genian ZTNA는 원격지와 클라우드를 위한 특화된 보안기능을 제공합니다. 이를 위해 ZTNA 에이전트와 게이트웨이가 새롭게 개발되었습니다.

① 원격근무를 위한 Always On ZTNA

Genian ZTNA를 통해 기존의 VPN(Virtual Private Network)과 동일한 업무 환경을 구축할 수 있습니다. 뿐만 아니라 게이트웨이를 클라우드에 설치하는 경우 원격 사용자의 모든 트래픽을 클라우드로 통합하고 보안스택을 적용할 수 있습니다. 이것은 SASE (Secure Access, Service Edge)의 개념과 유사합니다.

기업은 이러한 환경을 자체적(Private)으로 운영하거나 서비스 형태(MSSP)로 제공받을 수 있습니다. 사용자와 단말은 강력한 인증을 통해 검증되고 적절한 권한이 부여됩니다. 그리고 권한의 적합성은 업무가 종료될 때까지 반복적으로 검증됩니다. 만약 상태가 변경되거나 정책을 위반하는 경우 그 즉시 다양한 조치가 진행됩니다.

② 클라우드 접근통제 (Cloud Gateway)

클라우드 접근통제의 핵심은 가시성(Visibility)의 확보 입니다. 이것은 클라우드 자산(IaaS, PaaS)으로의 접근과 클라우드 서비스(SaaS)의 이용 모두에 해당합니다. Genian ZTNA는 이를 위해 별도의 보안 게이트웨이가 제공됩니다. 게이트웨이는 클라우드 내부의 자산정보(VM, Instance 등)를 자동으로 수집하며 이를 통해 보안정책을 수립할 수 있습니다. 이를 위해 Security Group 이라는 개념이 도입되었습니다.

클라우드에 존재하는 자산은 개별적인 네트워크 보안정책을 가질 수 있으며 Security Group을 통해 In/Outbound 정책을 수립할 수 있습니다. 또한 게이트웨이를 통과하는 모든 트래픽을 조사하여 애플리케이션 수준의 접근통제를 지원합니다. 게이트웨이는 VPN 종단장치의 역할을 겸하며 어플라이언스(H/W), 가상머신(VM), 컨테이너(Docker) 등의 형태로 설치 운영될 수 있습니다.

③ 더욱 세분화된 정책(Micro Segmentation)

달라진 업무환경에 따라 더욱 세밀한 보안정책이 필요합니다. 수립된 보안 정책은 근무자의 이동 등 네트워크 환경이 변해도 유지되어야 합니다. Genian ZTNA는 애플리케이션 기반의 접근통제를 지원하며 사용자(인증) 역할과 결합하여 마이크로세그멘테이션을 구현할 수 있습니다.

또한 동적(Dynamic) 목적지 제어를 통해 SaaS 애플리케이션의 대응도 가능합니다. 사용자와 단말의 다양한 보안 상태에 따라 필요한 시점(Just In Time)에 필요한 권한(Just Enough Access) 만이 부여 됩니다.

④ FIDO(Fast Identity Online) 지원으로 더욱 강력해진 인증

Genian ZTNA는 FIDO2 인증 표준을 지원합니다. 이를 통해 지문 등 생체인증 기능을 통해 보다 강력한 다중인증체계(MFA) 운영이 가능합니다. FIDO2는 웹 서비스 환경에서도 생체인증이 가능하며 UAF(패스워드 없이 사용) 및 U2F(패스워드와 함께 사용) 방식이 결합된 이상적인 인증방식으로 평가 받고 있습니다. 이제 사용자는 에이전트 인증창에서 FIDO 기반 간편로그인을 통해 Always On ZTNA 정책을 적용 받게 됩니다.

 

C. 제로트러스트 보안의 완성, Genian ZTNA

앞서 제로트러스트의 7가지 원칙에 대해 언급하였습니다. 그리고 제로트러스트를 위한 NAC의 가능성을 언급하였습니다. Genian ZTNA는 이러한 원칙을 충실히 이행하기 위해 노력하고 있습니다. 기존 NAC의 기본기능 외에 ZTNA에 새롭게 추가된 게이트웨이 및 에이전트 그리고 애플리케이션을 포함한 컨텍스트 기반의 접근통제를 활용하면 보다 빠르게 제로트러스트 보안 정책을 적용할 수 있습니다.

 

[ 제로트러스트 원칙과 Genian ZTNA 대응, 지니언스 ]

 

3. 결론

코로나는 IT 환경에 거대하고 빠른 변화를 가져왔습니다. 사티아 나텔라 마이크로소프트(MS) 최고 경영자는 과거 연례 개발자 컨퍼런스에서 “2년이 걸릴 디지털 트랜스포메이션(전환)이 2개월 만에 이뤄졌다” 라고 언급했습니다. 가장 대표적인 디지털 전환은 클라우드의 확대와 재택/원격의 병행을 통한 하이브리드 업무 환경의 정착입니다.

이제 정보보안 분야는 디지털 전환의 지원을 넘어 유지하기 위한 발전이 진행 중 입니다. 많은 전문가들은 현재의 디지털 전환을 가장 잘 보호/유지해 줄 수 있는 대안으로 ‘제로트러스트(ZT) 보안 모델’을 언급합니다. 지난 해 미국은 ‘사이버안보 행정명령(EO 14028)’을 통해 제로트러스트를 포함하는 사이버안보 강화 전략을 시행한 바 있습니다. 이미 제로트러스트는 가장 많은 주목을 받고 있으며 이를 지원하거나 목표로 하는 다양한 솔루션 및 서비스가 시장에 등장하고 있습니다.

누구에게나 변화는 두렵습니다. 도입과 전환에 따른 부담을 예상하기 어렵습니다. 그렇지만 변화를 멈출 수는 없습니다. 너무 늦은 변화의 수용은 오히려 더 큰 부담을 감당해야 하는 부메랑으로 우리에게 돌아올 수 있습니다. 지금은 변화를 검토해야 할 때 입니다.

 

ZTNA 관련 정보 더 알아보기

 

지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!