Offcanvas

CSO / How To / 보안 / 통신|네트워크

VPN의 쇠락, 마침내 부상하는 ‘제로 트러스트’

2019.12.06 Neal Weinberg  |  Network World
VPN은 유서 깊은 기술이다. 수십 년 동안 원격지 작업자에게 기업 네트워크로의 안전한 통로를 제공했다. 그러나 기업들이 제로 트러스트라고 불리는, 보다 기민하고 미시적인 보안 프레임워크로 이동함에 따라 VPN이 쇠락하고 있다. 오늘날의 디지털 비즈니스 세계에서는 제로 트러스트가 더 적합한 기술이다. 

VPN은 네트워크 경계 개념을 근거로 하는 보안 기법이다. 신뢰할 만한 직원이 내부에 있고, 신뢰할 수 없는 누군가가 외부에 있음을 전제한다. 그러나 이 모델은 직원이 모바일 기기를 가지고 다양한 내부 또는 외부 장소로부터 네트워크에 접속하는 현재의 비즈니스 환경에 맞지 않다. 또한 기업 자산은 기업 데이터센터 안이 아니라 멀티 클라우드 환경에 존재한다. 

가트너는 2023년까지 60%의 기업이 VPN으로부터 점진적으로 벗어나 제로 트러스트 네트워크 접속으로 이동할 것이라고 예측하고 있다. 제로 트러스트는 기기와 이용자를 동시에 인증하는 관문 또는 중개자로서 기능한다. 이후 사용자는 역할과 맥락에 따라 접근할 수 있다. 

경계 보안 접근법은 결함이 많다. 이는 내부자 공격에 대처하지 않는다. 협력업체, 외부자, 공급망 협력업체를 식별하는데 서툴다. 공격자는 누군가의 VPN 인증 정보를 훔치기만 하면 네트워크에 접속해 자유롭게 돌아다닐 수 있다. 

게다가, VPN은 시간이 가면서 복잡해지고 관리하기 어려워졌다. 아이오와 주 에임스에 소재한 기업 보안 회사인 워키바(Workiva)의 수석 보안 아키텍트인 매트 설리반은 “VPN은 상당히 고통스럽다”면서 “투박하고 시대에 뒤떨어졌고, 관리할 것도 많다. 그리고 솔직히, 좀 위험하다”라고 말했다. 

오늘날의 기업 보안 현실을 아는 사람은 이 접근법의 효과가 거의 없다는 것을 안다. 포레스터의 수석 애널리스트인 체이스 커닝험은 “경계 기반 보안 모델은 간단히 말해 실패했다”면서 “노력이 부족하다거나 투자가 부족한 것이 아니라, 단지 부실한 기반 위에 구축되었기 때문이다. 하나가 무너지면 모든 것이 위험해진다. 이는 누구나 아는 사실이다”라고 말했다. 

반면 제로-트러스트 프레임워크의 개념은 단순하다. 즉, 아무도 신뢰하지 않는 것이다. 모든 사람을 검증한다. 직원의 접근을 업무에 필요한 자원으로 한정하고 그 이상을 허용하지 않는 엄격한 액세스-제어 및 신원 관리 정책을 강제한다. 

451그룹의 수석 애널리스트인 개럿 베커에 따르면 제로 트러스트는 제품이 아니라 기술이고, 보안에 대한 다른 사고 방식이다. 베커는 “사람들은 아직도 이게 무엇을 의미하는지 정확히 모른다. 사람들은 혼란스러워 하고, 판매업체는 제로 트러스트의 의미에 대해 일관성이 없다. 그러나 이는 보안 관행을 급격히 변화시킬 잠재력이 있다”라고 말했다. 
 
ⓒ Image Credit : Getty Images Bank


보안 업계, 제로 트러스트를 수용하다
제로 트러스트 프레임워크는 나온 지 10년이 되었고, 상당한 관심을 받아왔지만 정작 제대로 도입되기 시작한 것은 1~2년밖에 되지 않았다. 451그룹의 최근 설문조사에 따르면 불과 13% 정도의 기업만이 제로 트러스트의 길을 걷기 시작했다. 판매업체들이 늦장을 부렸다는 것이 한가지 중요한 이유이다. 

제로 트러스트의 갑작스러운 부각은 2014년으로 거슬러 올라간다. 구글이 비욘드코프 구상(BeyondCorp initiative)을 발표한 해다. 구글은 제로-트러스트 시스템을 구축하는데 크게 투자한 것으로 전해졌다. 그러나 기업들은 이를 따르지 않았다. 그들은 구글이 아니었기 때문이다. 

그러나 제로 트러스트는 현재 탄력을 받고 있다. 커닝험은 “이제야 눈에 띄기 시작했다”면서 “5 ~7년 전에는 이 접근법을 구현할만한 능력이 없었다. 이제는 가능해졌다”라고 말했다. 

오늘날, 판매업체들은 다각적으로 제로 트러스트를 내세우고 있다. 예를 들어, 최근의 ‘포레스터 웨이브 : 제로-트러스트 엑스텐디드 에코시스템’(Forrester Wave: zero-trust eXtended Ecosystem, ZTX) 보고서에는 차세대 방화벽 업체인 팔로 알토 네트웍스(Palo Alto Networks), 매니지드 서비스 공급자인 아카마이 테크놀로지스(Akamai Technologies), 신원 관리 사업자인 오크타(Okta), 보안 소프트웨어 선두 업체인 시만텍(Symantec), 마이크로 세그멘테이션 전문 업체인 일루미오(Illumio), 그리고 특별 권한 액세스 관리 사업자인 센트리파이(Centrify)가 이 생태계에 속한 업체로 이름을 올렸다. 

아울러, 시스코, 마이크로소프트, VM웨어 역시 저마다 제로 트러스트 상품을 내놓고 있다. 포레스터 웨이브에 따르면 시스코와 마이크로소프트는 유력 업체로 분류되고, VM웨어는 후발주자이다. 

그렇다면, 경계 방어를 구축하고 보강하는데 수백만 달러를 지출해온 기업이 어떻게 갑자기 진로를 바꾸고 있을까? 기업 본사에서 일하는 임원이든, 스타벅스에서 일하는 협력업체이든, 아무도 신뢰하지 않겠다는 모델을 어떻게 도입하고 있을까?

제로 트러스트 모델을 시작하는 법 
첫 번째의 가장 명확한 추천안은 작게 시작하는 것이다. 커닝험의 표현대로라면 “바다 전체가 아니라 한 주전자의 물만 끓여보는 것이다. 나라면, 판매 업체와 외부 업체를 다루는 것부터 시작할 것이다”라고 말했다. 다시 말해 네트워크의 다른 부분으로부터 이들을 격리할 방법을 찾는 것이다.

가트너의 애널리스트인 닐 맥도널드 역시 견해를 같이 한다. 그는 출현 중인 3가지 제로 트러스트 응용 분야를 다음과 같이 소개한다. 즉, 공급망 협력업체를 위한 신종 모바일 애플리케이션, 클라우드 마이그레이션 계획, 소프트웨어 개발자에 대한 접근 제어이다. 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.