최근 기업들의 클라우드 에플리케이션 사용이 증가하고 원격 및 모바일 근무가 보편화 됨에 따라 업무 환경이 크게 변화하고 있습니다. 이에 발맞추어 사이버 위협은 날로 고도화 되고 있으며 더 이상 기존의 네트워크 보안 모델로는 새로운 위협에 대응하기가 어려워지고 있습니다.
이러한 변화 속에서 아무것도 신뢰하지 않겠다는 ‘제로트러스트(Zero Trust)’ 개념이 빠르게 확대, 발전하고 있으며 기존 NAC(Network Access Control)역시 제로트러스트 개념을 도입한 ZTNA(Zero Trust Network Access)로 빠르게 변화하고 있습니다. ZTNA는 제로트러스트 원칙이 적용된 접근통제 기술로 강력한 인증을 통해 위치에 상관없이 동일한 보안 수준을 유지하고, 실시간으로 사용자와 단말 보안을 실시간으로 검사합니다.
ZTNA는 네트워크의 모든 연결을 제로트러스트 관점에서 바라보며 적절한 보안기능을 제공해야 합니다. 따라서 사용자 및 단말의 물리적인 위치뿐만 아니라 모든 인/아웃바운드 트래픽과 애플리케이션에 적용될 수 있어야 합니다. 이것은 외부 사용자뿐 아니라 내부 사용자의 인터넷 연결 역시 제로트러스트 컨셉이 적용되어야 하는 것을 의미 합니다. 우리는 이것을 Universal ZTNA 또는 Always On ZTNA라고 표현 합니다. 특히 NAC 기반의 ZTNA의 경우 North – South를 포함하여 East – West 환경에 까지 보안기능을 제공하여 제로트러스트 원칙을 충실하게 반영한다고 할 수 있습니다.
이를 통해 사용자 신원, 기기 상태, 애플리케이션 수준의 액세스 정책을 기반으로 세분화된 액세스 제어를 제공하고, 네트워크 리소스를 집중 관리 및 제어하여 공격 표면을 줄일 수 있습니다. 특히 클라우드, 온프레미스 등 다양한 형태의 환경 구성이 가능해, 다른 솔루션(VPN, NAC, SDP, FWaaS, CASBs, IAM, WAF, SWG, NGFW, IDPS) 대비 포괄적이고 효과적인 보안 환경 제공이 가능합니다.
이러한 점에서 사용자는 각 솔루션의 이점과 제한 사항을 고려하여, 각 조직 특성에 맞는 적합한 보안 접근 방식을 결정해야 합니다.
▲ VPN(가상 사설망, Virtual Private Networks)
VPN은 사용자가 공용 인터넷망을 통해 통해 원격으로 네트워크에 접속할 수 있도록 하는 기술입니다.
전송 중인 데이터를 암호화하여 보호할 수 있으며, 타 보안 솔루션 대비 상대적으로 저렴한 비용으로 이용 가능하다는 장점이 있습니다. 현재 광범위하게 활용되고 있으며, 이처럼 검증된 기술을 기반으로 네트워크에 대한 안전한 액세스를 제공합니다.
하지만 사용자 활동에 대한 가시성과 통제가 어렵고, 클라우드 기반 애플리케이션 및 리소스에 제한이 있다는 단점도 존재합니다.
▲ NAC(Network Access Control)
NAC는 네트워크에 접속하는 사용자와 다양한 기기를 식별하여, 네트워크를 보호하고 위협을 통제하는 솔루션입니다. 네트워크에 접속 중인 단말을 누가, 언제, 어디서 접속하고 있는지 실시간으로 관리할 수 있으며, 특정 보안 요구 사항을 충족하지 못하는 기기는 격리시킬 수 있습니다.
이처럼 NAC는 네트워크 접근에 대한 가시성을 확보하고 이를 효과적으로 제어할 수 있다는 장점이 있습니다. 타 보안 솔루션과 통합하여 사용할 수 있으며, 사용자 신원 및 기기 상태에 기반한 정책 적용도 가능합니다.
다만 솔루션 구현 및 관리가 다소 복잡하고 클라우드 기반 리소스에 대한 대응이 어려운 한계가 존재 합니다. 만약 강력한 보안 기능이 필요한 경우 에이전트의 설치 및 관리가 필요할 수 있습니다.
▲ SDP(Software-Defined Perimeter)
SDP 솔루션은 (내부)네트워크 자원을 외부의 불특정 사용자에게 숨기고 허가된 사용자에게만 안전하게 접근할 수 있는 프레임워크를 제공하고 있습니다. 사용자 신원 및 기기 상태에 기반하여 특정 애플리케이션 및 리소스에 대한 액세스 권한을 부여하는 데 사용됩니다.
이러한 솔루션은 리소스의 외부 노출을 줄일 수 있어 공격 표면(Attack Surface)을 최소화할 수 있으며, 클라우드 기반 리소스에 대한 액세스도 안전하게 보호할 수 있습니다. 또한 사용자 신원 및 기기 상태에 기반하여 세분화된 접근 제어가 가능합니다.
다만 구현 및 관리가 복잡하다는 단점이 있습니다. 솔루션 활용을 위해 전문성이 요구되며, 일부 애플리케이션 및 시스템과 호환되지 않는 문제가 발생할 수도 있습니다.
▲ FWaaS(Firewall as a Service)
FWaaS 솔루션은 중앙에서 관리 및 제어가 가능한 클라우드형 방화벽 입니다. 사용자는 해당 솔루션을 활용하여 클라우드 기반 리소스를 효과적으로 보호하고, 사용자 신원 인증을 통한 액세스 제어를 구현할 수 있습니다.
FWaaS 솔루션의 장점으로는 일관된 보안 정책의 수행이 가능하고, 다른 보안 솔루션과 통합해 사용할 수 있다는 것입니다. 전통적 방화벽 대비 관리(설치, 운용 등)가 용이하다는 점 역시 긍정적인 평가를 받고 있습니다.
다만, 성능 및 확장 측면에서 제한이 있을 수 있다는 단점이 있습니다. ZTNA와 같은 세분화된 제어를 구현하는 데 어려움이 있으며, 온프레미스 환경에 대한 대응도 제한적일 수 있습니다.
▲ CASB(Cloud Access Security Brokers)
CASB는 클라우드 환경과 특정 애플리케이션에 특화된 액세스 정책을 실행하여 가시성, 데이터 제어 및 분석을 제공하는 보안 솔루션입니다. 사용자 신원 및 활동을 기반으로 애플리케이션에 특화된 정책을 시행하여, 실시간으로 위협을 탐지하고 대응할 수 있습니다.
다만, 해당 솔루션은 온프레미스 환경에 대한 대응이 제한적이며, 고도의 위협 및 공격에 대해서는 상대적으로 효과가 낮을 수 있습니다. 또한 NAC와 마찬가지로 엔드포인트에 에이전트나 소프트웨어 설치가 필요한 상황이 발생할 수도 있습니다.
▲ IAM(Identity and Access Management)
IAM 솔루션은 사용자 신원 및 액세스 권한을 관리하는 데 사용되는 접근제어 시스템입니다. 사용자 신원 및 활동을 기반으로 정책을 적용하고, 다른 보안 솔루션과 통합할 수 있는 환경을 지원합니다.
다른 보안 솔루션과 통합할 수 있는 환경을 제공하며, 사용자 신원 및 액세스 권한에 대한 일원화된 관리가 가능합니다. 다만, 솔루션 구현 및 관리가 다소 복잡하고, 투입 비용이 높게 측정될 가능성이 있습니다. 또한 애플리케이션 수준의 네트워크 리소스에 대한 통제가 어렵고, ZTNA와 같은 세분화된 제어가 제한적이라는 부분이 있습니다.
▲ WAF(Web Application Firewalls)
WAF는 SQL인젝션, 크로스 사이트 스크립팅 등 기타 공격으로부터 웹 기반 애플리케이션을 보호하기 위해 설계되었습니다. 사용자 신원 및 활동에 기반한 정책을 시행하는 데 사용할 수 있으며, 타 보안 솔루션과 통합해 활용 가능합니다.
다만 성능 및 확장성 측면에서 제한적인 부분이 있으며, 구현 및 관리에 전문 지식 필요하다는 단점이 있습니다. 또한 애플리케이션 수준에서 네트워크 리소스에 대한 액세스 제어가 어려운 상황이 발생할 수도 있습니다.
*SQL 인젝션 - 웹사이트 취약점을 찾아 DB를 관리하는 SQL 명령어에 악성코드를 삽입하여 해커가 원하는 식으로 조작하는 웹 해킹 공격 중 하나
*크로스사이트 스크립팅 - 웹 애플리케이션에서 많이 나타나는 취약점 중 하나
▲ SWGs(Secure Web Gateways)
SWGs는 악성코드, 피싱 등과 같은 웹 기반 위협으로부터 사용자를 보호하기 위해 설계되었습니다. 실시간 위협 감지 및 응답을 제공할 뿐만 아니라, 사용자 신원 및 활동에 기반한 정책을 시행하는 데 사용할 수 있습니다. 또한 타 보안 솔루션과 통합해서 사용 가능하다는 장점이 있습니다.
다만 해당 솔루션 역시, 성능 및 확장 측면에서 제한적인 부분이 있으며, 구현 및 관리에 전문 지식이 필요하다는 단점이 있습니다. 또한 애플리케이션 수준에서 네트워크 리소스에 대한 액세스 제어가 어려운 상황이 발생할 수도 있습니다.
▲ NGFW(Next-Generation Firewall)
NGFW(차세대 방화벽)은 심층 패킷 분석(DPI), 애플리케이션 인식, 침입 방지 기능 등의 고급 보안 기능을 제공합니다. 네트워크 트래픽에 대한 세분화된 보안 정책을 제공하고, 다른 보안 솔루션과의 통합하여 사용 가능합니다.
다만 애플리케이션, 사용자 관련 취약점 등을 타깃으로 하는 정교한 공격에는 효과적이지 않을 수 있습니다. ZTNA와 같은 세분화된 보안 정책 제공이 어렵고, 클라우드 기반 애플리케이션 및 리소스에 대한 액세스 보호가 제한적입니다.
▲ IDPS(Intrusion Detection and Prevention Systems)
IDPS는 알려지지 않은 취약점, 악성코드, 제로데이 공격 등 다양한 네트워크 기반 위협을 탐지하고 차단할 수 있는 솔루션입니다. 실시간 모니터링을 통해 사고에 신속하게 대응하여 공격의 영향을 줄일 수 있습니다. 이 역시 타 보안 솔루션 및 기술과 통합해서 사용 가능합니다.
다만, 다량의 경고 및 오검출 정보로 관리 및 우선순위 설정이 어렵다는 문제가 있으며, 효과적인 작동을 위한 설정 및 조정 단계도 필요합니다. 또한 리소스 소모 가능성이 높은 것으로 알려져 있으며, 특히 네트워크 트래픽과 함께 인라인으로 배치된 경우 네트워크 성능에 영향을 줄 수 있습니다.
NO. | 솔루션 종류 | 구분 | 내용 |
1 | VPN (Virtual Private Networks) |
장점 | - 광범위하게 활용되고 있는 검증된 기술 - 전체 네트워크에 대한 접근 제공 가능 - 다른 솔루션 대비 적은 비용 투입 가능 |
단점 | - 사용자 활동에 대한 제한된 가시성과 통제 - 클라우드 기반 애플리케이션 및 리소스에 적용 제한적 - 잠재적 성능 문제 |
||
2 | NAC (Network Access Control) |
장점 | - 네트워크 액세스에 대한 가시화 및 제어 실현 - 사용자 신원 및 기기 상태에 기반한 정책 적용 가능 - 다른 보안 솔루션과 통합 가능 |
단점 | - 복잡한 구현 및 관리로 인한 비용 증가 가능 - 에이전트 또는 소프트웨어 설치 필요 상황 발생 - 클라우드 기반 리소스에 대한 접근 제어 제한 가능 |
||
3 | SDP (Software-Defined Perimeter) |
장점 | - 사용자 신원 및 기기 상태를 기반으로 한 세분화된 액세스 제어 - 클라우드 기반 리소스에 대한 액세스를 안전하게 보호 - 리소스 가시성을 줄여 공격 표면 최소화 |
단점 | - 구현 및 관리의 복잡성 - 솔루션 활용을 위한 전문성 요구 - 일부 애플리케이션 및 시스템과의 호환 문제 발생 가능성 |
||
4 | FWaaS (Firewall as a Service) |
장점 | - 일관된 보안 정책 제공 - 다른 보안 솔루션과 통합 가능 - 전통적 방화벽 대비 관리 용이 |
단점 | - ZTNA와 같은 세분화된 제어에 제한적 - 온프레미스 리소스에 대한 액세스 보호 제한적 - 성능 및 확장 측면에서 제한적 |
||
5 | CASBs (Cloud Access Security Brokers) |
장점 | - 클라우드 기반 애플리케이션 및 리소스에 대한 가시성 및 제어 제공 - 사용자 신원 및 활동을 기반으로 한 정책 시행 가능 - 실시간 위협 탐지 및 대응 가능 |
단점 | - 온프레미스 환경에 대한 액세스 통제 제한적 - 에이전트 또는 소프트웨어 설치 필요 상황 발생 가능 - 고도의 위협 및 공격에 대해 상대적으로 효과가 낮을 가능성 |
||
6 | IAM (Identity and Access Management) |
장점 | - 사용자 신원 및 액세스 권한에 대한 일원화된 관리 - 다른 보안 솔루션과 통합할 수 있는 환경 지원 - 사용자 신원 및 활동을 기반으로 한 정책 적용 |
단점 | - 응용 프로그램 수준의 네트워크 리소스 액세스 통제 제한 - ZTNA와 같은 세분화된 제어 불가능 - 복잡한 구현 및 관리로 인한 비용 증가 |
||
7 | WAF (Web Application Firewalls) |
장점 | - 웹 기반 공격 및 위협에 대한 보호 - 사용자 신원 및 활동에 기반한 정책 시행 - 타 보안솔루션과 통합 사용 가능 |
단점 | - 애플리케이션 수준으로 네트워크 리소스에 대한 액세스 제어를 할 수 없는 경우 발생 - 성능 및 확장성 측면에서 제한적 - 구현 및 관리에 대한 전문 지식 필요 |
||
8 | SWGs (Secure Web Gateways) |
장점 | - 웹 기반 공격 및 위협으로부터 안전하게 보호 - 사용자 신원 및 활동을 기반으로 한 정책 시행 - 타 보안 솔루션과의 통합 사용 가능 |
단점 | - 애플리케이션 수준에서 네트워크 리소스에 대한 액세스 통제 어려운 경우 발생 - 성능 및 확장성 측면에서의 제한 - 구현 및 관리 측면에서 전문 지식 필요 |
||
9 | NGFWs (Next-Generation Firewalls) |
장점 | - 고급 보안 기능 제공 - 네트워크 트래픽에 대한 세분화된 보안 정책 제공 - 타 보안 솔루션과 통합하여 사용 |
단점 | - ZTNA 만큼의 세분화된 보안 정책 제공 제한 - 클라우드 기반 리소스에 대한 액세스 보호 제한 - 애플리케이션 및 사용자 관련 취약점을 타깃으로 하는 정교한 공격에 대응 제한적 |
||
10 | IDPS (Intrusion Detection and Prevention Systems) |
장점 | - 다양한 네트워크 기반 위협을 탐지하고 차단 - 실시간 모니터링 및 경고 기능 제공 - 타 보안 솔루션 및 기술과 통합 가능 |
단점 | - 다량의 경고 및 오검출 발생으로 관리 및 우선순위 설정 어려움 - 효과적인 작동 위한 설정 및 조정 단계 필요 - 높은 리소스 소모 - 네트워크 트래픽과 함께 인라인으로 배치 시 네트워크 성능에 영향 |
Summary
이처럼 다양한 보안 솔루션은 각각 장점과 한계를 가지고 있으며, 하나의 솔루션만으로는 전체적인 보안 환경을 충분히 제공하기 어렵습니다.
‘ZTNA’는 이러한 한계를 극복하기 위한 솔루션으로, 네트워크 보안에 대한 보완적인 접근법을 제공하면서 기존 솔루션의 제약을 최소화할 수 있습니다. 이를 통해 사용자는 다양한 솔루션의 강점을 효과적으로 결합하여, 보다 효율적이고 견고한 보안 환경을 조성할 수 있게 됩니다.
이와 같은 다중 보안 접근 방식은 현대의 사이버 위협으로부터 네트워크의 핵심 자원을 보호하고 안정성을 확보하는데 중요한 역할을 합니다. 지니언스도 이러한 접근 방식을 지원하기 위해 NAC 기반 제로 트러스트 솔루션 'Genian ZTNA'를 시장에 내놓았습니다. 해당 솔루션은 필수적인 사이버 보안 기능을 통합적으로 지원하고, 저렴한 가격과 유연한 구축 옵션을 제공합니다.