ZTNA(Zero Trust Network Access)의 이해
ZTNA란 무엇인가?
ZTNA(Zero Trust Network Access)는 네트워크가 아닌 애플리케이션에 대한 액세스를 기반으로 보안을 제공하는 네트워크 보안 접근 방법입니다.
ZTNA를 사용하면 네트워크 내부에 있는지 여부에 관계없이 사용자, 장치 및 애플리케이션에 대한 액세스를 검증하고 제어할 수 있습니다. 이를 통해 네트워크가 침해되었더라도 악성 사용자가 민감한 데이터에 액세스하지 못하도록 보호할 수 있습니다.
Genian ZTNA는 ZTNA 솔루션으로서 네트워크가 아닌 애플리케이션에 대한 액세스를 기반으로 보안을 제공하는 클라우드 및 On-Premise 솔루션입니다.
Genian ZTNA는 다음과 같은 다양한 기능을 제공합니다.
사용자 및 장치 인증
Genian ZTNA는 사용자 이름, 암호, 생체 인식 또는 SSO와 같은 다양한 방법을 사용하여 사용자 및 장치를 인증할 수 있습니다.
애플리케이션 제어
Genian ZTNA는 사용자, 장치 및 애플리케이션에 대한 액세스를 검증하고 제어할 수 있습니다.
위협 탐지 및 대응
Genian ZTNA는 데이터 암호화, 사용자 인증 및 위협 탐지와 같은 다양한 보안 기능을 제공합니다.
정책 기반 액세스 제어
Genian ZTNA는 역할 기반 액세스 제어(RBAC), 사용자 지정 정책 및 감사 추적과 같은 다양한 방법을 사용하여 액세스를 제어할 수 있습니다.
Genian ZTNA의 다양한 이점
보안 강화 : 네트워크가 침해되었더라도 악성 사용자가 민감한 데이터에 액세스하지 못하도록 보호합니다.
비용 절감 : 기존 네트워크 보안 아키텍처의 복잡성과 비용을 줄일 수 있습니다.
유연성 향상 : 사용자와 애플리케이션이 어디에 있든 액세스할 수 있도록 하여 유연성을 향상시킬 수 있습니다.
규정 준수 향상 : HIPAA, PCI DSS 및 GDPR을 포함한 다양한 규정을 준수하는 데 도움이 될 수 있습니다.
ZTNA가 해결해주는 문제점들
데이터 유출
Genian ZTNA는 사용자, 장치 및 애플리케이션에 대한 액세스를 검증하고 제어함으로써 데이터 유출을 방지할 수 있습니다.
악의적인 사용자의 공격
Genian ZTNA는 사용자와 애플리케이션 간에 보안 터널을 설정함으로써 공격으로부터 애플리케이션을 보호할 수 있습니다.
보안 아키텍처의 복잡성과 비용
Genian ZTNA를 사용하여 많은 보안 솔루션들로 이루어진 보안 아키텍처들을 단순하게 하고 그로인해 비용을 줄일 수 있습니다.
허가되지 않은 기기의 무단 반입
ZTNA가 구현되지 않은 네트워크는 사내에 존재하는 이더넷 포트에 어떠한 기기를 연결하더라도 즉시 네트워크를 사용할 수 있게 된다. 이는 사무실이 물리적으로 매우 안전하게 보호되고 있다 하더라도 직원들이 회사의 자산이 아니거나 허용되지 않은 기기를 네트워크에 연결하여 Worm이나 Ransomware 등으로 인해 사내 IT 시스템에 심각한 손상을 초래할 수 있게 된다. ZTNA는 이 문제를 해결하기 위해 모든 연결되는 기기에 대해 인증하고 일정 수준 이상의 보안 요구사항을 충족하는 경우에만 네트워크를 사용할 수 있게 해 준다.
보안사고 발생 시 IP 추적 불가
대부분의 보안시스템은 감사기록을 통해 IP주소를 남긴다. 보안사고 발생 시 감사기록 확인을 통해 문제가 되는 IP를 확인하더라도 현재 그 IP가 과거에 사용되었던 시스템과 같은 시스템인지 사용자는 누구인지, 어떤 시스템인지에 대한 정보를 얻는 것은 굉장히 어렵고 복잡한 일이다. ZTNA는 지속적인 네트워크 감시를 통해 연결 되는 모든 단말에 대한 기록을 남겨두어 수개월 전 특정 시점에 해당 IP를 사용했던 단말에 대한 다양한 정보를 제공해줄 수 있다.
보안 규제에서 요구되는 IT 자산관리
오늘날의 IT 환경은 BYOD, IoT 등으로 인해 과거에 비해 훨씬 복잡 다양해졌다. 이로인해 기업에 요구되는 많은 보안 규제에서 IT 자산에 대한 관리가 철저히 이루어질 것을 요구하고 있다. 하지만 IT 자산을 정확하게 파악하고 그 상태를 항상 확인하는 것은 관리자에게 어려운 문제이다. IT 자산을 관리하기 위해서는 MAC 주소와 같은 식별 값부터 단말의 제조사, 제품명, 이름, 위치 (스위치 포트 또는 물리적 위치), 사용자명, 네트워크 연결/단절 시각등의 정보가 정확히 수집되어야 한다. ZTNA는 네트워크에 연결되는 IT 자산에 대해 실시간으로 감시하여 항상 원하는 데이터를 출력할 수 있도록 해서 관리자의 부담을 크게 줄여준다.
무선랜 접속장치의 공유 비밀번호
스마트폰과 같은 모바일 기기들이 확산되고 그것들이 업무에 활용되면서 무선랜 사용이 점차 증가되고 있다. 고가의 관리형 무선 접속장치를 사용하는 경우 향상된 보안시스템이 적용되어 무선랜 접속 시 각 개인의 비밀번호를 이용한 사용자 인증이 이루어질 수 있다. 하지만 많은 네트워크에서 공유 비밀번호를 통해 무선랜에 접속하는 것이 현실이다. 공유비밀번호는 손쉽게 노출될 수 있고 접속자에 대한 식별이 불가능하여 추적이 어렵다. 회사의 공유 비밀번호는 원칙적으로 그 비밀번호를 아는 직원이 회사를 떠나게 될 경우 변경해야 한다. 하지만 전 직원이 쓰는 비밀번호를 매번 변경하는 것은 쉬운일이 아니다. 이를 위해 무선랜 접속시 개인의 비밀번호를 이용하여 인증할 수 있도록 해주는 802.1X 시스템이 필요하다. ZTNA는 기본적으로 802.1X를 지원하여 보다 향상된 무선랜 보안을 구축할 수 있게 해 준다.
허가되지 않은 외부 네트워크 접속
네트워크 기술이 발전함에 따라 사용자의 단말은 자신이 속한 기업에서 제공하는 네트워크 이외에도 다양한 형태의 외부 네트워크 접속이 가능해졌다. 스마트폰을 이용한 Hotspot이나 Public WiFi와 같이 손쉽게 이용 가능한 접속을 통해 기업의 보안시스템을 우회하는 인터넷 연결을 만들어 내부자료 유출과 같은 문제점이 발생될 수 있다. ZTNA는 기업 내부에서 접속 가능한 WiFi를 모니터링하고 어떤 사용자가 접속하는지를 관리, 통제할 수 있으며 또한 사용자 단말에서 IT 관리자가 설정하지 않는 네트워크 대역에 접속하는 이벤트 등을 모니터링해서 내부 보안시스템을 우회하려는 시도를 차단해준다.
필수 소프트웨어 미설치 및 구동
관리자는 다양한 보안 문제를 해결하기 위해 사용자의 시스템에 설치해야 할 필수적인 소프트웨어나 운영체제 설정을 직원들에게 요구하게 된다. 하지만 모든 사용자의 단말이 그 요구사항을 항상 준수하는 것은 아니기 때문에 보안사고는 끊임없이 발생되고 있다. ZTNA는 Antivirus와 같이 단말에 필수적으로 필요한 소프트웨어나 화면보호기와 같은 필수적인 설정이 규정에 맞게 올바르게 되어있는지 지속적으로 모니터링하여 규정을 위반한 경우 차단, 치유, 격리할 수 있게 해 준다.
운영체제 최신 보안패치 미적용
단말의 보안을 위해 무엇보다 가장 중요한 것은 최신 보안패치의 적용이다. ZTNA는 단말의 보안패치 적용 상태를 지속적으로 모니터링하여 패치가 적용되지 않은 단말을 네트워크에서 격리한다. 이는 제어가 단말이 아닌 네트워크 수준에서 동작한다는 점이 기존의 단말을 관리하는 소프트웨어가 제공하는 것과 크게 다르다. 관리자는 네트워크 제어를 통해서 사용자가 우회할 수 없는 강력한 정책을 수행할 수 있게 된다.
ZTNA와 Firewall의 차이점
ZTNA(Zero Trust Network Access)와 방화벽은 모두 네트워크를 보안하는 데 사용되지만 작동 방식과 제공하는 보안 수준이 다릅니다.
방화벽은 네트워크의 출입구를 보호하는 데 사용되는 네트워크 보안 장치입니다. 방화벽은 IP 주소, 포트 및 프로토콜과 같은 다양한 기준에 따라 패킷을 필터링하여 네트워크에 들어오거나 나가는 것을 차단할 수 있습니다.
ZTNA는 네트워크가 아닌 애플리케이션에 대한 액세스를 기반으로 보안을 제공하는 보안 접근 방법입니다. ZTNA는 네트워크 내부에 있는지 여부에 관계없이 사용자, 장치 및 애플리케이션에 대한 액세스를 검증하고 제어할 수 있습니다. 이를 통해 네트워크가 침해되었더라도 악성 사용자가 민감한 데이터에 액세스하지 못하도록 보호할 수 있습니다.
ZTNA와 방화벽의 주요 차이점은 ZTNA는 네트워크가 아닌 애플리케이션에 대한 액세스를 기반으로 보안을 제공한다는 것입니다. 즉, ZTNA는 네트워크 내부에 있는지 여부에 관계없이 사용자, 장치 및 애플리케이션에 대한 액세스를 검증하고 제어할 수 있습니다. 반면 방화벽은 네트워크의 출입구를 보호하는 데만 사용됩니다.
Genian ZTNA는 기존 NAC의 기능을 통하여 기존까지 제공하던 단말 중심, 동적인 정책, 내/외부망에 대한 장점을 그대로 활용 할 수 있습니다.
네트워크 중심 vs 단말 중심
Firewall은 그 구성 위치상 일반적으로 두개 이상의 네트워크 중간에 위치하여 양 네트워크를 오가는 통신에 대한 접근제어를 제공하는데 반해 ZTNA는 각 단말 간의 통신에 대한 접근제어를 제공한다. 예를 들어 동일한 서브넷에 존재하는 두 PC간에 이루어지는 파일공유에 대해서 일반적으로 Firewall은 제어하지 못하는 반면 ZTNA는 제어를 할 수 있다.
정적인 정책 vs 동적인 정책
Firewall의 정책은 일반적으로 5 Tuples라 불리는 출발지/목적지의 주소, 포트와 같은 객체를 통해서 이루어진다. 최근 차세대 방화벽에서 사용자와 같은 추가적인 객체를 통한 제어를 제공하기 시작했으나 그 수가 많지 않다. 반면 ZTNA의 경우는 통상 수 백개 이상의 조건을 통해 단말들의 그룹을 구성하면 각 단말의 상태 변경에 따라 구성된 그룹에 자동으로 포함/해제가 되고 그에 따라 정책이 적용되는 구조를 제공한다. 예를 들어 Antivirus를 구동 중이지 않은 단말이라는 그룹이 있다고 가정하면 이 그룹에 속한 단말은 상태에 따라 실시간으로 변화하게 된다.
외부망 vs 내부망
이 같은 이유로 인해 Firewall은 단말의 사용자를 특정할 수 없고 상세한 정보를 수집할 수 없는 외부 사용자와 내부 시스템간의 접근제어의 목적에 보다 적합하고 ZTNA는 다양한 상태 정보를 얻을 수 있는 내부 사용자에 대한 접근제어 시스템으로 적합하다.
두 개의 제품은 각각의 역할에 맞는 위치 및 구성으로 네트워크 보안을 보다 효과적으로 구축할 수 있는 상호 보완적인 역할을 수행한다.
ZTNA 구축단계
가시성 확보
ZTNA를 구축하는 궁극적인 목적은 관리자가 정한 보안규정을 준수하지 않는 단말이 네트워크에 접속해서 사용하는 것을 통제하고 관리하는 것이다. 하지만 이 목적을 위해 단말에 대한 통제기능을 네트워크 및 단말에 즉시 적용하기는 매우 어렵습니다. 예를 들어 802.1X를 각 스위치 별로 설정하기에 앞서 네트워크에 있는 스위치들이 모두 802.1X를 지원하는지 그리고 현재 각 스위치에 연결된 단말이 802.1X 인증을 지원하는지, 지원하지 않는다면 MAC 주소 기반 인증을위해 필요한 각 단말의 MAC 주소는 어떻게 수집할 것인지 등의 많은 사전 고려사항이 필요하다. 때문에 네트워크에 대한 가시성을 확보하는 것이 가장 처음으로 해야 할 작업이다. 이때 통제 없이 가시성이 확보가 가능해야 하는데 802.1X는 제어가 이루어져야만 가시성을 얻을 수 있는 구조이기 때문에 가시성 확보만을 위한 목적으로 적합하지 않다.
가시성은 단말이 가진 IP/MAC 주소와 같은 기본 정보를 시작으로 어플리케이션, 사용자를 식별하고 플랫폼 종류/이름/제조사, 호스트명, 연결 스위치/포트, 연결 SSID, 서비스포트, 동작상태와 같은 정보들이 제공되어야 한다. 추가적으로 단말에 대한 보다 상세한 가시성을 위해 ZTNA Client를 제공하고 있습니다.
단말의 분류
가시성이 확보되면 그 데이터를 기반으로 보안정책을 수립해야 한다. 보안정책 수립의 첫 단계는 수집된 데이터를 바탕으로 단말을 분류하는 것이다. ZTNA에서 제공되는 다양한 조건을 이용하여 단말을 분류하고 제어가 필요한 그룹이 어떤 그룹인지에 대해서 결정해야 한다. 단말을 분류하는 기준은 관리자의 일상적인 관리업무에 필요한 그룹이나 기업이 따라야할 규제에서 요구되는 보안규정 미준수 단말을 식별하는것이 우선적으로 고려될 수 있다.
네트워크 접근제어
제어의 방법은 한 가지가 아니라 네트워크 환경이나 단말의 상태에 따라 다양한 방식으로 적용할 수 있어야 한다. 802.1X는 물론 ARP통제, 스위치 제어, SPAN방식, 에이전트 기반, 타 보안시스템 연동까지 여러 가지 옵션을 놓고 선택적으로 사용할 수 있어야 한다. 접근제어 단계에서 가장 먼저 고려되는 것이 단말에 대한 사용자의 인증이다. 단말을 어떤 사용자가 사용하는 것인지 식별하는 작업은 매우 중요한 작업인데 이때 사용되는 사용자 데이터베이스는 일반적으로 기업이 이미 보유한 인증시스템과 연동하는 것이 권장된다. Microsoft Active Directory와 같은 LDAP 연동이나, Google G-Suite, Office 365와 같은 기업용 서비스, 이메일, 심지어는 RDBMS까지 다양한 외부 시스템과의 연동이 고려된다. 그다음 단계로 사용자가 단말의 속성에 따라 역할 기반 접근제어가 제공되어야 한다. 영업 조직과 기술 조직이 각기 다른 접속 권한을 가질 수 있도록 VLAN을 할당하거나 연결을 차단하는 제어를 수행한다.
접근제어를 통해 연결이 차단된 사용자에게는 웹 브라우져 사용 시 관리자가 지정한 페이지로 사용자의 접속을 우회시켜 사용자가 스스로 필요한 조치를 취할 수 있도록 하는 Captive Web Portal 페이지를 구성할 수 있다. 이 페이지를 통해 사용자는 자신에게 요구되는 보안정책을 확인하고 조치를 취해서 네트워크에 접속 가능한 상태로 스스로 조치할 수 있도록 도와준다.
IT보안 자동화
자동화는 사용자들이 따라야 할 보안규정 (운영체제 업데이트 및 설정, 필수 소프트웨어 설치 및 동작등)을 관리자가 정한 정책에 따라 자동으로 적용되도록 해주는 것이다. 제어가 필요한 단말에 대해서 인증과 같이 제어 자체가 목적을 달성하는 수단이 되기도 하지만 또 다른 경우에는 제어에 앞서 자동화를 통해 사용자의 단말이 치유되는 것이 더 필요할 수 있다. 예를 들어 전체 사용자의 90%가 준수하지 않는 보안정책이 있다고 했을 때 90%의 사용자에 대해 네트워크 접근제어 정책을 수행하는 것보다는 에이전트를 통하여 자동으로 정책을 따르도록 처리된다면 보다 손쉽게 ZTNA를 도입할 수 있을 것이다. 또한 자동화는 기존에 사내에 보유한 다양한 시스템들과의 연동을 통해 상호 정보나 이벤트를 주고받아 관리자의 개입 없이 업무가 자동적으로 처리될 수 있도록 해준다.
보다 자세한 구축방법 및 고려사항에 대해서는 구축 고려 사항 을 참고하기 바란다.
Genian ZTNA의 특징
1세대 ZTNA
1세대 ZTNA는 사용자와 장치를 인증하고 애플리케이션에 대한 액세스를 허용하거나 거부하는 데 중점을 둡니다.
2세대 ZTNA는 1세대 ZTNA의 기능을 확장하여 사용자 및 장치의 행동을 모니터링하고 이상 징후를 식별합니다. 또한 애플리케이션과 데이터를 보호하기 위한 추가 보안 기능을 제공합니다.
클라우드 기반 보안서비스
Genian ZTNA는 클라우드 기반 솔루션이므로 관리 및 유지 관리가 간편하며 클라우드 기반 보안 서비스는 위협 탐지, 데이터 암호화 및 사용자 인증과 같은 다양한 보안 기능을 제공합니다.
ZTNA 게이트웨이
ZTNA 게이트웨이는 사용자와 애플리케이션 간의 보안터널을 생성하여 통신하는 데이터를 보호하고 이상 징후를 식별하는데 사용합니다.
사용자 및 장치 인증
Genian ZTNA는 사용자 이름, 암호, 생체 인식 또는 SSO와 같은 다양한 방법을 사용하여 사용자 및 장치를 인증할 수 있습니다.
애플리케이션 제어
Genian ZTNA는 사용자, 장치 및 애플리케이션에 대한 액세스를 검증하고 제어할 수 있습니다.
네트워크센서 기반의 진보된 가시성
Genian ZTNA는 각 네트워크의 브로드캐스트 도메인에 직접 연결되는 네트워크센서를 사용해 기존 IT 인프라와의 연동을 최소화하여 도입이 간편하고 허브와 같은 레거시 네트워크 환경에서도 문제없이 동작한다. 더불어 네트워크 가시성 확보에 필요한 각 서브넷의 중요 트래픽 - Broadcast(ARP, DHCP, uPNP, mDNS), Multicast - 을 모니터링할 수 있기 때문에 네트워크 장치와 연동을 통한 ZTNA 제품군에 비해 진보된 가시성을 제공한다.
진보된 단말 플랫폼 정보
Device Platform Intelligence 로 불리는 차별화된 단말 식별 및 정보제공 시스템을 통해 가장 정확하고 단말에 대한 다양한 정보를 통해 IT 관리자의 일상적인 관리업무을 손쉽게 만들어준다. 제공정보의 종류: 판매 종료, 지원 종료, 네트워크 연결방식, 제조사 도산, 제조사 합병, 제조국가, 발표된 취약점 목록 등
다양한 접근제어 방식
접근제어는 802.1X부터 ARP통제, DHCP 서버, 스위치 제어, SPAN 기반 제어, 에이전트 기반 제어, 타 솔루션과의 연동을 통한 제어 등 기존 ZTNA 제품 대비 가장 폭넓은 제어 방식을 지원하여 관리자의 요구사항에 맞게 단계적인 보안정책을 수립하기 쉽게 해 준다. (참고 제어 방법)
다양한 IT보안 자동화
Genian ZTNA에서 제공되는 에이전트는 단말의 정보수집을 넘어서 운영체제 설정 관리, 애플리케이션 관리, 장치 제어, 업데이트 관리 등 관리자가 원하는 다양한 IT보안 자동화를 손쉽게 구축할 수 있게 해 준다. 또한 다양한 신청/승인 시스템을 제공하여 IT 관리자의 일상 업무를 단순화시켜주고 사용자에게는 편리성을 제공한다.
향상된 무선랜 보안
네트워크센서 및 에이전트를 통해 무선 정보를 수집하여 Rogue AP 탐지, 비인가 무선랜 접속 모니터링 및 제어, Soft AP차단 등의 무선랜 보안 기능을 제공한다.
뛰어난 연동성
REST API, Webhook, Syslog와 같이 표준적인 연동 기술을 제공하여 기존 IT시스템과의 다양한 연동을 통해 시큐리티 오케스트레이션 도구로서 활용할 수 있다.
다양한 구성 방식
On-Premises 또는 Cloud-managed의 운영방식을 지원하여 자체적인 운영조직이 있거나 없는 경우 모두에 적합한 솔루션을 제공한다. 아울러 지정된 하드웨어를 통해서만 구동이 가능한 Appliance방식이 아닌 소프트웨어형 제품으로 사용자가 하드웨어를 선택할 수 있어 가상 머신이나 사내 유휴장비를 이용한 구축이 가능하다.
용도에 맞는 Edition
Genian ZTNA은 위에서 설명한 구축 단계에 맞게 3가지의 Edition 으로 구분되어 있다. Basic Edition은 ZTNA구축 초기단계에 필요한 가시성 제공을 주목적으로 한다. Basic Edition을 통해 기존 네트워크 구성의 변경 없이 빠르게 가시성을 확보할 수 있다. Professional Edition은 그 위에 802.1X, ARP통제, SPAN제어와 같은 방식의 네트워크 접근제어 기능을 제공한다. Basic Edition을 통해 통제가 필요한 네트워크나 단말이 확인되면 Professional Edition으로 업그레이드하여 단말들을 제어할 수 있다. 마지막으로 Enterprise Edition은 대규모 기업에서 즉시적인 접근제어를 적용하기 어렵거나 다양한 기존 시스템과의 연동이 필요한 경우 고려될 수 있다.