지니언스 기술 블로그

ZTNA를 통해 본, 제로트러스트 성공의 조건

Written by Genians | Sep 3, 2024 12:30:00 AM

가트너(Gartner)는 미국의 정보기술 연구 및 자문회사 입니다. 매년 다양한 종류의 보고서를 발행하며 산업의 트렌드를 전망하거나 특정 분야를 이해하는데 큰 도움을 줍니다. 

가트너가 발간하는 보고서 중에 하이프사이클(Hype Cycle) 보고서가 있습니다. 이것은 특정 분야 기술의 성숙도를 표현하기 위한 시각적 도구로 잘 알려져 있습니다. 보고서의 내용에 대한 찬/반 양론이 존재합니다. 기술자체의 특성 및 속도를 반영하지 못한다는 비판이 있습니다. 반면 특정 기술에 대한 과대 광고와 지나친 기대를 거르고 객관적으로 들여다 볼 수 있다는 장점도 제기됩니다. 


[그림 1] Gartner, Hype Cycle for Zero Trust Networking, 2023


하이프사이클 보고서에는 특정 기술의 등장 이후 아래와 같은 5 단계의 수명주기를 갖는다고 설명하고 있습니다.   

  1. Innovation Trigger(기술촉발) : 
    새로운 기술, 혁신이 등장하여 관심을 받습니다. 아직 제품도 없고 가치도 증명되지 않았습니다.

  2. Peak of Inflated Expectations(부풀려진 기대의 정점) : 
    이후 몇 개의 실험적 사례가 발표되며 시장의 폭발적 관심을 받습니다.

  3. Trough of Disillusionment(환멸의 골짜기) : 
    실패와 성공이 반복되면서 관심이 사라집니다. 특정 고객(Early Adaptor)을 위한 개발이 지속 됩니다.

  4. Slope of Enlightenment(깨달음의 경사) : 
    구체적 성공사례가 등장하고 대중화로 이어집니다. 개량된 제품이나 기술이 출시됩니다.

  5. Plateau of Productivity(생산성의 고원) : 
    기술이 시장의 주류로 자리잡습니다. 


제로트러스트에 대한 23년 하이프사이클의 평가를 보는 것은 흥미롭습니다. 이 중 제로트러스트 전략(Zero Trust Strategy)에 대한 평가는 냉정합니다. 부풀려진 기대의 정점(Peak of Inflated Expectations )을 지나 내려오는 중 입니다. 시장의 기대를 한껏 받으며 일부의 노력으로 다양한 성공/실패사례가 양산되었으나 시장은 아직 관망 중 이라고 해석할 수 있습니다.  

불과 얼마전까지의 제로트러스트 상황과 유사하여 공감이 되는 것 같습니다. 제로트러스트 전략은 한국, 미국 등 정부 주도로 진행되고 있으며 여전히 시장의 관심을 받고 있습니다. 다양한 글로벌 실증/도입 사례와 정부기관의 개별 추진전략 등이 소개되었습니다. 그러나 국내 시장의 움직임은 더디기만 합니다. 2023년 KISIA의 조사결과 (’ZT 설문조사 결과 및 시사점’) 는 제로트러스트가 아직 안개 속에 있음을 보여줍니다. 

반면 다른 행보를 보이는 제로트러스트가 있습니다. 제로트러스트 접근통제, 바로 ZTNA(Zero Trust Network Access) 입니다. 이미 깨달음의 경사(Slope of Enlightenment)에 진입하여 2~5년 내 정점에 이를 것으로 예상됩니다. 해당 기술이 포기나 실패를 극복하고 특정 고객의 니즈(Needs)를 만족시키는 단계에 이르렀음을 의미하는 것으로 해석할 수 있습니다. 

ZTNA가 만족시키는 특정고객(시장)은 누구이고 니즈는 무엇일까요? 바로 ‘Legacy(기존) VPN의 대체’ 라고 생각합니다. 코로나(COVID-19) 팬데믹을 거치며 VPN 은 다시 한번 성장의 기회를 맞이했습니다. 그러나 클라우드 등 변화된 환경과 새로운 보안위협에 대응하기에 한계가 지적되었습니다. 다수의 ZTNA 벤더들이 이 문제와 시장에 주목했습니다. VPN의 필수기능에 기존의 문제점을 개선했습니다. 제로트러스트 등 새로운 개념을 적용하고 관련 기능을 추가 하였습니다.  

이러한 노력은 다수의 성공 사례를 만들었습니다. 벤더들은 연례보고서를 통해 기존 VPN의 교체를 통해 재무적 성과를 창출하고 있다고 밝히고 있습니다. 공공기관에서도 의미있는 사례를 확인할 수 있습니다. DISA(미 국방정보시스템국)는  썬더돔(Thunderdoem) 프로젝트 보고서를 통해 DoD(미 국방부)의 ZTNA 와 애플리케이션 보안아키텍처를 소개하고 있으며 SASE(Secure Access, Service Edge) 서비스를 통해 Remote VPN Access를 대체(Replace)하고 이를 확대하겠다고 밝히고 있습니다. ZTNA는 SASE 서비스를 위한 핵심 기술 중에 하나 입니다.  


[그림 2] Moriarty & Kosnik(1989)


좋은 기술이 성공한다는 보장은 없습니다. 반대로 나쁜 기술이 꼭 실패하는 것도 아닙니다. ZTNA 의 성공사례는 시장의 불확실성과 기술의 불확실성 관점에서 원격접속(Remote Access) 이라는 분명한(불확실성이 낮은) 시장에, 제로트러스트가 포함된 더 나은 기술(Better Mousetrap)의 등장으로 볼 수 있습니다. 그리고 그 결과는 성공적으로 보여집니다. 

[그림 3] Gartner, Hype Cycle for Zero-Trust Networking, 2024


올해 발간된 동일한 보고서(Hype Cycle for Zero-Trust Networking, 2024) 에서 가장 눈에 띄는 점 중에 하나는 SASE 와 Zero-Trust Strategy가 환멸의 골짜기를 탈출하여 계몽의 단계에 진입했다는 것 입니다. 보고서는 이 두 분야가 가장 빠른 혁신이 이루어 지고 있다고 밝히고 있습니다. SASE(Secure Access, Service Edge)는 벤더의 가용성 향상과 수요기업의 인식 및 구현이 증가 했고 제로트러스트 전략(Zero-Trust Strategy) 역시 횡적이동(LM), 권한상승 등 위협 대응을 위한 구체적인 목표설정과 유관기술을 통한 실행으로 빠른 혁신을 이루고 있다고 언급하고 있습니다. 이러한 평가는 앞서 언급한 기술과 시장 그리고 수용관점에서의 가정과 크게 다르지 않다 하겠습니다.  

고객은 문제해결이 필요합니다. 공급자는 추가 수요(신규 / 교체)가 필요합니다. 이 두 지점이 만나는 환경적, 기술적 지점을 다수 발견하는 것이 새로운 기술의 성공을 보장하게 될 것 입니다. 제로트러스트의 많은 분야 역시 유사할 것이라고 생각합니다.