‘경계선’ 초월 클라우드 세상…SDP로 무장, ‘ZTA’가 지킨다.

[애플경제 이보영 기자] 클라우드와 원격 네트워크가 발달하면서 더 이상 전통적인 폐쇄적 네트워크 보안은 한계가 있다는게 전문가들의 지적이다. 모든 사용자가 동일한 네트워크 진입로를 통해 애플리케이션에 액세스한다고 전제한 ‘폐쇄 경계 보안 모델’은 이제 효용을 잃고 있다. 이에 최근 부상하는 제로 트러스트 아키텍처(ZTA)는 에 의존하고 있다. 그러나 ZTA는 경계(Perimeter) 내 또는 경계 밖의 어떤 것도 신뢰하지 않으면서, ID를 기반으로 엑세스를 제어하는 SDP(Software Defined Perimeter)를 구현하고 있다.

이 경우 ZTA 아키텍처를 작동하게 하는 구성 요소는 PDP(Policy Decision Point)와 PEP(Policy Enforcement Point) 등 2가지다. 즉, 엑세스 제어와 통제가 전자라면, 통신을 활성화 내지 종료시키는게 후자다. 이는 “근본적으로 네트워크 경계선 내외에서 사설 네트워크의 서비스에 접속하려는 사용자나 컴퓨터는 보안 관점에서 동일하게 취급된다는 것”이라는게 전문가들의 시각이다.

최근 한국지능정보사회진흥원에 관련 보고서를 게재한 제주대 송황철 교수는 “기업이 네트워크 내의 엣지나 서비스 수를 늘리고 클라우드 기반 애플리케이션 및 서버를 포함하도록 인프라를 확장함에 따라 이는 매우 중요한 역할을 한다”고 의미를 부여했다. 그는 또 “신원 검증 및 행동 분석, 마이크로 세분화, 엣지 보안, 최소 특권 제어 등 광범위한 예방 기법을 결합하여 공격 시도를 억제하고, 위반할 경우 이들의 액세스를 제한하는 방식”이라고 명확하게 개념을 정리했다.

제로 트러스트가 이처럼 중시되면서, 최근 클라우드 보안 업체 등을 중심으로 사내 애플리케이션에 대한 제로 트러스트 기반의 엑세스 솔루션, 즉 ESA(Enterprise Secure Access)기술도 주목을 받고 있다. ESA는 원격근무를 할 때 기업 구성원이 외부에서 사내(혹은 조직 내) 애플리케이션이나 서비스에 안전하게 접속하기 위한 것이다. 즉 “원격 액세스를 통해 기업 내부 애플리케이션을 안전하고 효율적이며 사용하기 쉬운 하이브리드 네트워킹 환경으로 구축할 수 있도록 돕는다”는 설명이다.

ESA 역시 SDP나, 제로 트러스트 아키텍처 기반의 클라우드 서비스의 일종이다. 클라우드 기업들이 고객 기업에게 사이버 보안을 위해 제공하는 경우가 보통이다. 이는 기업 애플리케이션에 대한 외부의 액세스 권한을 원격 작업자에게 부여하기 전에 사용자 ID, 디바이스 보안, 그리고 사용자 동작 등을 확인해 사용자와 디바이스를 인증하는 것이다.

그 중에서도 중요한 의미를 갖는 것이 SDP다. 이는 ID를 기반으로 리소스 액세스를 제어하는 것으로 보호된 리소스에 대한 액세스가 허용된 진입은 네트워크 위치에 관계없이 연결 전에 완전히 인증될 수 있다

이같은 SDP를 바탕으로 한 ZTA는 PDP와 PEP에 의해 기능이 작동된다. 앞서 제주대 송 교수는 “다시 말해 PDP는 주어진 주제에 대한 리소스에 대해 액세스 권한을 부여하는 결정을 담당한다면, PEP는 사용자나 디바이스와 리소스 간의 통신 경로를 설정하거나, 종료하는 역할을 한다”고 설명했다.

송 교수에 따르면 또 PDP는 세션별 인증이나 인증 토큰, 또는 엔터프라이즈 리소스에 액세스하는 데 클라이언트가 사용하는 자격 증명을 생성한다. 이에 비해 PEP는 사용자와 리소스 간의 연결을 직접 활성화하거나, 모니터링 내지 종료하는 역할을 한다. “이는 두 가지 다른 방법으로 표현될 수 있는 ZTA의 논리적 구성 요소로서, 랩톱의 에이전트와 같은 클라이언트 내지 액세스를 제어하는 리소스 혹은 게이트웨이 구성 요소로서 리소스로 구성된다”고 설명했다.

그러나 “방화벽 규칙을 설정하고 패킷 분석에 의해 차단하는 것만으로는 충분하지 않다”는 얘기다. 그에 따르면 네트워크 경계 장치에서 인증 프로토콜을 통과하는 손상된 계정은 액세스를 시도하는 각 후속 세션이나 엣지에 대해 다시 검증받을 수 있어야 한다.

또한 제로 트러스트 전략은 기존의 여러 기술과 함께 거버넌스 메커니즘을 구사하곤 한다. 예컨대 MFA(Multi-factor Authentication)는 제로 트러스트 모델의 핵심 기능이다. 이는 사용자를 인증하기 위해 둘 이상의 증거를 요구하는 것을 의미하며, 암호를 입력하는 것만으로는 접근할 수 없도록 한다. 흔히 MFA의 애플리케이션은 구글과 페이스북과 같은 서비스들이 구현한 2단계(two factor) 인증이다. 즉, “비밀번호와 함께 등록된 모바일 번호로 전송되는 OTP가 로그인에 사용된다.”는 것이다.

이처럼 제로 트러스트 기술이 발달하면서 이젠 기존의 ‘경계선’은 의미를 잃게 되었다는 지적이다. 더욱이 프라이빗 클라우드와 퍼블릭 클라우드, 하이브리드 클라우드의 급속한 성장으로 인헤 ‘제로 트러스트 아키텍처’는 이제 클라우드가 지배하는 네트워크 보안의 핵심 기제로 부상하고 있다는게 전문가들의 진단이다.