안녕하세요, 애플리케이션 보안 전문 기업 모니터랩입니다.
흔히 VPN을 대체하는 기술로 알려진 ZTNA(Zero Trust Network Access)는
사실 기본기능 외에도 보안관리자 입장에서 유용한 다른 기능들도 제공하고 있는데요.
오늘은 보안 관리자가 잘 활용할 수 있는 몇 가지 부가 기능들에 대해 살펴보도록 하겠습니다.
사전에 등록된 디바이스만 접속 가능하도록 제한
기존에는 주로 ID/PW의 조합으로 접속하는 유저가 맞는지에 대해 인증(Authentication) 하였다면
접속하는 디바이스에 대해서도 인증을 하는 방법입니다.
인증의 수단으로서 ID/PW는 아주 오랫동안 유용하게 사용된 것은 사실이지만
이제 이것만으로는 더 이상 유효한 인증 수단이 아니라는 인식이 퍼져나가고 있습니다.
왜냐하면 피싱 등을 통해 인증 정보가 유출될 수도 있고,
무작위 대입이나 Credential stuffing과 같은 악의적인 공격으로 인해 무력화될 수도 있기 때문입니다.
이를 위해 MFA(Multi Factor Authentication)의 한 방법으로서,
회사에서 지급된 랩탑등 사전에 등록된 디바이스에서만 인증을 허용하도록 하는 방법이 있는데요.
이를 통해 다른 디바이스에서는 설사 ID/PW를
바르게 입력하였다 하더라도 인증을 허용하지 않는 기술입니다.
OTT나 은행 사이트에 로그인 시 허용된 디바이스를 설정하는 것과 유사한 것인데,
주로는 디바이스에 특정 인증서를 설치하거나 장비마다 독특한 UUID 정보를 통해 구분할 수 있습니다.
디바이스의 상태를 체크하는 “Device Posture”
앞에서 언급한 기능이 하드웨어 기반의 “디바이스 인증”이라면
이 기능은 디바이스 내 OS의 여러 가지 형상을 체크하여,
접근을 허용할지 하지 않을지를 결정하는 기능입니다.
즉, 설치되어 있는 OS의 종류와 버전을 체크하거나 OS 보안패치 정도,
특정 anti-virus 프로그램이 설치되어 작동하고 있는지,
또는 특정 경로에 특정 파일이 있는지 등의 기준을 통해
각 항목마다 score를 설정하여 합계가 특정 score이상이어야 접근을 허용하도록 하는 것입니다.
물론 특정 필수 항목을 만족하지 못하면 아예 접속을 거부하도록 할 수도 있습니다.
특히 이 기능은 제로트러스트에서 이야기하는
“지속적 인증(Continuous Authentication)”과도 관계가 있는데요.
이의 의미는 단순히 인증을 여러 번 한다는 의미가 아니라
설사 인증을 통과하였다 하더라도 지속적인 상태 체크를 통해 기준을 만족하지 못하면
인증 이후에라도 접근을 끊어버리고, 차단을 하거나 재인증을 유도하도록 할 수 있다는 것을 의미합니다.
이를테면 인증 당시에는 anti-virus 프로그램이 작동하여 인증을 통과하였지만,
인증 후 임의로 프로그램을 off 시키면 인증을 무효화시킬 수 있을 것입니다.
유저가 임의로 ZTNA Off 금지
사용자의 트래픽이 모니터링 되고 control 할 수 있는 사내라면 모르겠지만,
출장이나 카페 등 원격지에서 랩탑을 이용하여 인터넷을 사용하게 되면
기존의 VPN에 접속하여 사내 네트워크를 경유하는
백홀을 하지 않는 한 통제할 수 없다는 한계가 있습니다.
보안관리자 입장에서 항상, 사용자의 위치에 관계없이 동일한 보안 정책을 적용하고자 한다면
모든 트래픽이 SSE platform을 거치도록 하여야 하는데요.
이를 위해서는 ZTNA agent를 유저가 임의로 off 할 수 없도록 하는 기능이 필요합니다.
즉 OS를 부팅하면 자동으로 ZTNA agent가 작동하게 되고,
인증을 통과하여 ZTNA agent가 활성화되지 않으면
아예 사용자의 인터넷 사용이 불가하도록 하는 것입니다.
이 기능은 정책적인 것으로 관리자가 콘솔에서
이의 설정을 모든 유저에게 강제화할 것인지
또는 특정 유저나 그룹에 대해서는 On/Off의 선택권을 줄 것인지 등을 제어할 수 있습니다.
지금까지 ZTNA의 몇 가지 부가기능에 대해 살펴보았는데요.
부가기능이라고 말씀은 드렸지만 사실은 매우 중요한 요소이기 때문에
보안관리자 입장에서 잘만 활용한다면 매우 유용한 보안 기능이 될 수 있을 것입니다.