제로 트러스트가 등장하기 이전 전통적인 네트워크 보안 모델은 내부 사용자를 암묵적으로 신뢰했습니다.
그렇기 때문에 기업의 네트워크 경계 내부의 직원들과 외부에서 vpn 등을 통해 접근하는 사용자들은 기업의 애플리케이션에 자유롭게 접근할 수 있었죠.
하지만, 이러한 접근은 내부자의 공모나 인가된 사용자에 의한 공격, 권한 탈취 등과 같은 치명적인 위협에 취약했고 특히, 측면 이동(Lateral Movement)에 대한 노출은 큰 우려사항이었습니다.
측면 이동은 공격자가 네트워크 내의 한 시스템에서 다른 시스템으로 이동하여 일반적으로 접근할 수 없는 리소스에 접속하는 프로세스이며 공격자는 소셜 엔지니어링, 암호 크래킹, 누락된 패치나 설정 오류 등을 이용해 내부 리소스에 피해를 입힐 수 있습니다.
이러한 위협에 대응하기 위해서는 전통적인 보안 모델을 넘어서는 새로운 접근 방식이 필요합니다.
최근 과학기술정보통신부의 '제로 트러스트 가이드라인 1.0'에 따르면, 내부자 공모 또는 권한 탈취 등의 사례가 증가하고 있으며, 이러한 트렌드는 전통적인 경계 보안의 암묵적 신뢰 정책의 허점을 드러냅니다.
이에 대응하기 위해 제로 트러스트 아키텍처(ZTA)와 같은 새로운 보안 전략이 필요하게 되었습니다.
ZTA(Zero Trust Architecture)는 모든 사용자와 디바이스를 지속적으로 검증하며, 데이터 보호를 강화합니다.
ZTA의 핵심 구성요소는 Micro-Segmentation, 강화된 인증(Enhanced Authentication), 소프트웨어 정의 경계(Software-Defined Perimeter)입니다.
이 중에서 이번 글에서는 ‘Micro-Segmentation’에 대해 설명드리겠습니다.
Micro-Segmentation
Micro-Segmentation은 네트워크를 여러 구역 또는 세그먼트로 나누는 기술입니다.
Micro-Segmentation은 클라우드 환경과 가상화된 환경에서 주로 사용되며, 데이터 이동을 세밀하게 제어하여 사이버 공격으로부터 민감한 데이터와 시스템을 보호합니다.
반면, Network-Segmentation은 주로 물리적 또는 논리적 수준에서 네트워크를 분리하는 것으로, 네트워크 성능과 보안을 향상시키는 데 중점을 두고 있습니다.
VPN(Virtual Private Network)은 전통적으로 원격 사용자가 기업 네트워크에 안전하게 접속하는 데 사용되는 기술입니다. 그러나 이 기술은 기본적으로 사용자가 건물의 정문만 통과하면 건물 내부 어디든 갈 수 있는 것과 유사합니다. 이는 네트워크 전체에 대한 접근을 허용하여 보안상의 위험을 증가시킬 수 있습니다.
반면, ZTNA(Zero Trust Network Access)는 제로 트러스트 원칙에 기반하여, 필요한 자원에 대해서만 최소한의 접근을 허용함으로써 VPN의 한계를 극복합니다. 이는 마치 호텔 투숙객이 소지한 방의 키를 사용해 투숙객실의 층, 투숙객실, 그리고 공용공간에만 접근이 가능한 것과 비슷합니다. 사용자는 건물 내 특정 공간에만 접근할 수 있으며, 이는 보안을 강화하는 동시에 사용자 경험을 향상시킵니다.
AIONCLOUD의 SRA와 같은 ZTNA 솔루션은 Micro-Segmentation을 활용하여 내부 애플리케이션에 대한 사용자별 접근 권한을 사용자의 접속 국가, IP, Device Posture 등의 조건을 통해 설정할 수 있습니다.
예를 들어 만약 제3자에 의해 사용자 자격 증명이 탈취되거나 위조될 경우 즉각적으로 접근 권한을 해제할 수 있으며, 이는 측면 이동과 같은 위협 요소를 효과적으로 차단할 수 있게 합니다.
위 이미지와 같이 특정 사용자, 사용자 그룹에게 애플리케이션 별로 권한을 부여할 수 있습니다.
또한 정책 생성 후, 간단한 클릭 몇 번으로 특정 사용자의 권한을 관리할 수도 있습니다.
Zero Trust 원칙에 따라 별도의 설정이 없으면 기본적으로 모든 접근은 거부되며, 위와 같은 절차를 통해 별도로 지정한 특정 유저만 특정 애플리케이션에 접근이 가능하게 됩니다.
이렇게 모든 사용자에게 최소한의 권한만 부여할 수 있다면, 측면 이동의 발생을 미연에 방지할 수 있고, 이는 위협요소를 효과적으로 제거할 수 있게 됩니다.
이와 같이, 현대의 보안 전략은 전통적인 네트워크 모델의 한계를 넘어서, 보다 세밀하고 효과적인 방식으로 내부 네트워크를 보호하며 사이버 보안 위협에 대응합니다.
기술이 끊임없이 발전하는 시대에 맞추어, 변화하는 보안 환경에 적합한 솔루션의 선택이 필수적입니다.
AIONCLOUD의 SRA와 함께 변화하는 시대에 발맞춰 기업 내 리소스를 안전하게 보호하세요.