1. 제로트러스트(Zero Trust)와 필요성
코로나는 우리의 IT 환경을 빠르게 변화시키고 있습니다. 클라우드 컴퓨팅, 모바일, 사물 인터넷(IoT)의 증가는 기존 네트워크 경계를 허무는 원동력이 되었습니다. 클라우드 보급 확대로 기업의 워크로드는 경계 보안 울타리 밖으로 확산되었고, 클라우드로 확산된 워크로드 보안을 위해 기업은 다양한 대안을 검토하고 있습니다.
뿐만 아니라 재택근무로 대표되는 업무공간 확대와 그로 인한 접속 단말의 다양화(Mobile, Tablet, 개인용 PC 등)는 사용자 및 단말의 진위 여부를 가리는 업무를 추가로 요구하고 있습니다. 그러나 수년 전부터 폭발적으로 증가한 IoT 기기들은 비(非) 대면 시대에 들어서 한층 스마트 해졌고 그 쓰임새가 더욱 유용해졌으나, 유용해진 만큼 식별을 포함한 보안에 대한 발전은 제자리걸음입니다.
이러한 시대적 변화는 보안의 패러다임을 크게 바꾸고 있으며, 많은 전문가들에 의해 가장 적절(합) 하다고 인정받는 보안 아키텍처가 바로 제로트러스트(Zero Trust) 보안 모델입니다. 제로트러스트의 초기 모델은 2004년 제리코 포럼(Jericho Forum)의 미션 중 하나로 비(非) 경계 / 비(非) 계층에서 보안을 정의하고 해법을 찾고자 하는 목적에서 시작되었습니다. 시간이 흘러 지금에 와서는 허물어진 경계에서 누구도 믿을 수 없으며, 항상 검증하고 모니터링하는 화이트리스트 기반의 형태로 진화되어왔습니다.
위협이 더욱 확대되고 정교해지는 가운데 기존의 네트워크 경계에 대한 투자 만으로는 더 이상 효과적이지 않습니다. 전통적인 네트워크 보안은 경계 보안에 집중되어 있고, 악의적인 활동은 내부 또는 외부 어디서든 시작될 수 있습니다. 따라서 모든 대상(사용자, 단말, 어플리케이션 등)으로부터의 잠재적인 위협을 인정하고 이에 따라 대상을 적절하게 식별 및 인증하여 적절한 권한을 부여할 때까지 모든 (데이터 및 리소스에 대한) 접근을 차단해야 합니다. 이것이 제로트러스트 보안모델의 핵심 입니다.
2. NAC의 발전과 제로트러스트
초기의 NAC(Network Access Control)는 네트워크에 접속하는 단말의 정보를 수집하여 모니터링하고 정책에 의해 통제하도록 설계되었습니다. 이후 발전을 거듭하면서 더욱 다양한 디바이스(IoT 등)를 식별하고 에이전트를 활용해 더 많은 정보를 수집하고 통제에 활용했습니다. 여기에 다양한 사용자의 요구 사항이 반영되고 클라우드 등 IT 환경 및 업무 프로세스의 변화가 더해지면서 현대의 NAC는 더욱 높은 수준의 인증과 식별, 통제 기능을 제공하고 있습니다. 이제 NAC는 기업 내부 인프라 관리를 위해 없어서는 안 되는 필수 솔루션이 되었습니다. 정보 수집은 더욱 다양하고 세밀 해졌고, 다양한 보안 시스템과의 통합, 다양한 운영체제를 지원하고 가시성을 극대화하여 정확하고 세밀한 접근통제 정책을 생성할 수 있게 되었습니다.
[세대를 거듭하며 스마트해진 Genian NAC]
하지만 사용자와 내부 인프라의 경계가 무너진 지금의 환경에 전통적인 NAC만의 기능으로는 충분히 만족할 수 없습니다. 무너진 경계는 결국 누구도 믿을 수 없는 업무 생태계를 만들었고, 이런 변화에 맞춰 Genian NAC는 Zero Trust NAC로 한 단계 더 진화하고 있습니다. Genian ZT-NAC는 재택과 클라우드로 대표되는 변화된 IT 환경에서 적용과 보안을 100% 만족시킬 수 있는 완전히 새로운 NAC (All New Next Generation NAC)가 될 것입니다.
3. Genian ZTNA
Genian NAC는 부동의 국내 1위 NAC 솔루션이며 사용자들에게 편리함을 제공하고, 관리자들에게 더 많은 정보와 다양한 정책 설정 기능, 안정적인 시스템을 제공해 오고 있습니다. 그러나 앞에서 언급한 시대의 흐름과 IT 환경의 변화는 GenainNAC를 완전히 새로운 솔루션으로 바꾸기에 충분한 이유가 되었습니다. Genian ZTNA의 기본 원칙은 “아무것도(누구도, 어떤 것도) 신뢰하지 않으며 지속적인 검증(인증, 식별, 추적)을 통해 적절하게 대응(통제)한다” 입니다. 우리는 이러한 원칙을 통해서 무너진 네트워크 경계에서의 보안을 지속적으로 유지할 수 있다고 생각합니다.
[제로 트러스트로 완전 변화된 GenianZT-NAC]
Genian ZT-NAC 는 아래와 같은 특징 및 특장점을 제공합니다.
단일 UI를 통한 제로트러스트 정책과 구성요소 관리 (Provisioning)
식별 및 검증된 사용자와 단말 및 클라우드 자산 등을 모두 식별하고 여기에 제로트러스트 정책을 관리할 수 있는 통합된 단일 UI(UX)를 제공합니다. 대시보드와 보고서 등을 통해 현황을 한눈에 확인할 수 있으며 설정된 제로트러스트 정책은 서버, 게이트웨이, 에이전트 등 모든 ZT-NAC 적용됩니다. 최상위 레벨에서 모든 것을 실시간으로 확인할 수 있으며 누수 없이 관리될 수 있습니다. Genian Cloud(SaaS), Public Cloud, Private Cloud, On-premise 등에서 모두 동일하게 사용 가능합니다.
네트워크 센서를 이용한 추가 가시성 확보
이제 센서는 기존의 어플라이언스(On-Prem.) 뿐만 아니라 가상머신(VM), Docker 컨테이너, 클라우드, 원격지(지점, 집) 등의 인텔 기반(x86) 제품에 설치될 수 있습니다. 이러한 센서는 설치된 환경에 따른 추가 정보(Cloud Instance 및 Network Traffic 등) 수집을 통해 추가로 가시성을 확보할 수 있습니다.
NAC 와 VPN이 통합된 에이전트
ZT-NAC 에이전트는 기존 NAC 에이전트의 모든 기능을 제공합니다. 추가로 원격 및 재택근무자를 위하여 VPN 기능을 제공하며 동적 방화벽을 활용하여 에이전트 수준의 접근 통제 기능을 제공합니다. 또한 사내(재택) / 사외(카페) 등 업무지역을 구분하여 서로 다른 정책을 적용할 수 있습니다.
ZT-NAC 게이트웨이
게이트웨이는 인터넷과 클라우드로의 접근을 통제하는 새로운 구성요소입니다. 클라우드 및 구축(On-Premise) 환경에서 사용할 수 있으며, 전용의 Remote / Teleworker 게이트웨이로도 사용이 가능합니다. 인증 서비스를 제공하며 실시간으로 QoS 적용할 수 있습니다.
AWS(Amazon Web Service) 정책 커넥터 (Policy Connector)
AWS 정책 커넥터를 통하여 EC2 등의 인스턴스를 모니터링하고 명령을 수행할 수 있습니다. 이를 통해 EC2 인스턴스가 액세스할 수 있는 리소스를 동적으로 제어하고 인스턴스를 완전히 격리하거나 종료할 수 있습니다. 클라우드 네이티브 환경의 인스턴스에 대한 매우 세분화된 수준의 제어를 제공하고 모든 EC2 인스턴스가 보안 정책을 지속적으로 준수할 수 있게 됩니다.
네트워크 트래픽 분석(NTA)
ZT-NAC 정책서버는 수집된 트래픽(Network Traffic) 정보를 분석합니다. 정보는 라우터, 방화벽 등의 네트워크 장비 또는 네트워크 센서, 게이트웨이로부터 수집될 수 있습니다. 트래픽 패턴, 트래픽 량, 응용프로그램, 목적지 네트워크에 대한 분석을 통하여 ZT-NAC의 가시성을 향상시키며 이러한 정보를 통하여 세밀한 접근통제가 가능합니다. (Micro Segmentation)
네트워크 탐지 및 대응 (NDR)
네트워크 트래픽 분석(NTA)을 통하여 위협을 탐지할 수 있습니다. NDR 기능은 ZT-NAC 정책서버의 NDR 엔진에서 처리됩니다. 정책 서버는 네트워크 모니터링과 자동화된 학습결과 그리고 설정된 정책을 비교하여 이상유무를 탐지할 수 있습니다. 탐지된 위협에 대하여 자동화된 정책을 적용(Response) 하는 것도 가능합니다.
네트워크 가상화 (Network Virtualization)
VXLAN을 통한 ARP 제어, SGT(Security Group Tag) 정책 제어, IP Mobility를 위한 네트워크 오버레이 기능을 제공합니다. 이러한 기능을 통해 사용자 또는 단말의 위치에 관계없이 조직 전체를 대상으로 제로트러스트 정책을 유지할 수 있게 됩니다. 본사 및 지점, 심지어 집에서도 제로트러스트 정책이 유지되기 때문에 ZT-NAC 구현에 있어 관리적인 오버 헤드를 크게 줄일 수 있습니다.
엔드포인트 탐지 및 대응(EDR)
멀웨어 플러그인(Malware Plug-in) 은 에이전트에 포함되어 있으며 단말의 악성코드 탐지를 위한 정보를 수집합니다. 악성코드가 탐지되는 경우 단말은 보안정책에 따라 다양한 통제(ARP, 에이전트 액션, 에이전트 통제, 네트워크 센서, 게이트웨이 등)가 수행됩니다. 사용자는 UI를 통해 위협을 확인하고 추가로 대응(조치 등) 할 수 있습니다.
[ZT-NAC가 제공하는 영역별 기능]
4. Genian ZTNA를 통한 제로트러스트의 완성
Genian ZTNA의 핵심은 “모든 것을 지속적으로 검증하고 적절하게 대응한다”라는 원칙에서 시작됩니다.
- 사용자와 단말뿐 아니라 어플리케이션과 리소스 등을 대상으로 언제 어디서든 기업의 자원에 안전하게 연결할 수 있으며 신뢰할 수 있는 원격근무 계획을 구현할 수 있습니다.- 무분별한 이동을 제한하여 잠재적인 침해 가능성과 데이터 유출로부터 조직의 위험을 줄일 수 있습니다.
- 민감한 데이터의 기밀을 유지하도록 스마트한 정책을 제공합니다.
조직(기업)의 보안 정책을 원격지(재택근무) 및 클라우드로까지 확대/유지할 수 있습니다.
제로트러스트(Zero Trust)로의 전환은 기업 자산에 대한 위험(Risk)을 새롭게 평가하는 방법에 대한 여정이며 이것은 단순히 기술을 대대적으로 교체하여 달성할 수 있는 것이 아닙니다. 오늘날 많은 기업은 이미 인프라에 제로트러스트 요소를 가지고 있습니다. 더불어 디지털 전환(DX) 계획에 지속적으로 투자하고, 업무 프로세스 개선을 위해 노력하고 있습니다.
효과적인 제로트러스트를 위해 기업은 변화하는 IT 환경에서 사용자를 포함하는 자산 및 관리 대상을 명확히 하고 기존 보안정책 및 지침을 새롭게 검토할 필요가 있습니다. 지속적인 모니터링 과 역할과 업무에 맞는 새로운 보안 정책과 모범사례 가 필요합니다. 이러한 모든 것들이 균형을 이룰 때 우리는 새로운 위협으로부터 보호될 수 있으며 조직의 보안 상태는 개선될 수 있습니다. 제로트러스트는 리소스 보호에 중점을 둔 사이버 보안 패러다임이며 절대적 신뢰는 부여되지 않으며 지속적으로 평가되어야 한다는 전제를 갖고 있습니다.
Genain ZTNA는 제로트러스트 원칙을 준수하는 새로운 변화의 시작입니다.
ZTNA 관련 정보 더 알아보기
지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!