Getting Maximum Protection through Zero Trust Callout

제로 트러스트를 통해 완벽한 방어 구현

Akamai Technologies 웹 보안 및 성능 담당 CTO 존 서머스(John Summers)와의 인터뷰

제로 트러스트에 대해 설명해 주시겠어요?

제로 트러스트는 내부와 외부의 구분이 사라지는 개념과 관련이 있습니다. 기업은 데이터 센터와 네트워크를 제어 영역 내에 보유하곤 했습니다. 내부에 위치한 것은 신뢰할 수 있고, 외부에서 유입되는 것은 주의해야 한다고 생각했습니다. 지금까지의 보안은 경계를 넘나드는 개체에 대한 정밀 접속 제어를 통해 악의적 사용자는 차단하고 정상적 사용자는 허용하는 방식에 집중했습니다.

하지만 현재 기업에서 어떤 일이 일어나고 있는지 살펴볼 필요가 있습니다. 경계가 무너지고 있으며 인프라, 애플리케이션, 데이터, 사용자가 갈수록 더 분산되고 있습니다. 일반적으로 클라우드에는 모바일 사용자와 비즈니스 앱 사이에 경계가 없으며, 기업에서 제어하지 않는 네트워크에서 상호 작용이 발생합니다. 따라서 이 새로운 패러다임에 대한 사고방식을 바꾸고 새로운 방식으로 보안을 구축해야 합니다.

먼저, 위치에 따라 커뮤니케이션을 신뢰해서는 안 됩니다. 발송지가 네트워크 내부이든 외부이든, 커뮤니케이션이 이뤄지기 전에 동일한 수준의 인증 및 권한 확인 과정을 거쳐야 합니다. 단순히 모든 것을 신뢰하지 않는 접근 방식은 데이터 센터의 애플리케이션을 클라우드로 이전하는 경우처럼 기업의 변화를 다루는 데 많은 도움이 됩니다. 그리고 현재 제어 영역에 있는 사용자가 내일은 다른 위치에서 작업을 수행할 수도 있습니다.

아무 것도 신뢰하지 않고, 모든 것을 검증하고, 일관된 제어를 유지하는 것이 제로 트러스트의 본질입니다.

기업에 제로 트러스트가 필요한 이유에 대해 자세히 알려주시기 바랍니다.

사이버 보안의 목적은 기업이 디지털 자산과 사용자를 보호함으로써 확신을 갖고 효과적으로 비즈니스를 운영하고 혁신을 추구하도록 지원하는 것입니다. 오늘날 이러한 자산은 과거와 달리 분산되고 이동됩니다.

지금 우리가 의존하는 인프라에는 인터넷과 클라우드가 포함되며, 소프트웨어 정의 인프라가 갈수록 많아지면서 인프라의 물리적 위치가 훨씬 유동적으로 바뀌고 있습니다. 네트워크 인프라는 기업을 고객, 이동 근무 직원, 써드파티와 연결합니다. 그리고 이러한 상호 작용은 반드시 전통적인 경계를 넘나듭니다.

애플리케이션은 가치를 창출하는 비즈니스 프로세스를 나타냅니다. 미션 크리티컬 애플리케이션까지도 데이터와 함께 데이터 센터를 벗어나 클라우드로 이동하고 있습니다. 트랜잭션은 보안이 유지되고, 데이터는 보호되어야 하며, 비즈니스 활동은 규정 준수 목적으로 감사되어야 합니다. 이러한 자산이 데이터 센터 내부에 있었을 때와 마찬가지로 말입니다.

그리고 사용자는 어디에나 있습니다. 기업은 고객이 어디에 있든지 고객의 방식대로 고객의 디바이스에서 고객과 연결되어야 합니다. 이동 근무 및 원격 근무 직원은 전통적인 제어 영역 내에서 근무하는 시간이 훨씬 적습니다. 그리고 비즈니스 파트너, 공급업체, 배포업체, 계약직 직원은 광범위하게 분산되어 있습니다.

게다가 인프라, 애플리케이션, 데이터, 사용자는 어디에나 있을 수 있습니다. 이로 인해 노출 수준, 즉 기업이 보호해야 하는 공격면의 크기가 눈에 띄게 증가했습니다. 네트워크 및 보안 관리의 복잡성도 마찬가지로 증가했습니다.

기업은 이러한 자산을 제어 영역 안으로 다시 끌어들일 수 없으며, 디지털 비즈니스 시대에서 계속 성장해야 합니다. 그러기 위해서는 하나의 경계를 사용하는 대신, 자산이 있는 어느 곳에서나 개별적으로 자산을 안전하게 보호해야 합니다. 이렇게 하려면 우수한 가시성과 제로 트러스트가 필요합니다.

제로 트러스트로 전환하면 어떤 작업을 해야 하나요?

제로 트러스트에는 다른 보안 아키텍처가 적용됩니다. 보호해야 하는 디지털 자산이 있고 효과가 가장 좋은 위치에 보안 정책 및 제어를 적용해야 합니다. 클라우드의 한 엔드포인트에서 다른 엔드포인트로 전달되는 커뮤니케이션의 보안을 유지하는 데 적합한 방법을 생각해 보세요. 두 엔드포인트 사이에서 가장 빠른 커뮤니케이션 경로를 찾아서 이 경로의 한 가운데에 적절한 보안 제어를 구현하고 싶을 것입니다. 양쪽에서 철저한 인증을 거치지 않았다면 커뮤니케이션이 이뤄지지 않고, 강력한 암호화가 구현되지 않았다면 데이터가 이동되지 않습니다. 바로 이것이 우리가 해야 할 일입니다.

제로 트러스트에는 다른 사고방식도 적용됩니다. 대부분의 보안 전문가는 라우터, 방화벽, 네트워크 패킷이 사업 수단인 네트워크 관리 세계에서 성장해 왔습니다. 따라서 마이크로 세그먼테이션 같은 기법을 활용하여 네트워크 레이어에서 주로 암호화를 통한 보안을 적용하려고 계속 시도하게 마련입니다. 하지만 이 방식은 상당히 어렵고 복잡합니다. 우리는 이 습관에서 벗어나 애플리케이션 레이어로 이동해야 합니다. 목표는 애플리케이션이 실행되는 네트워크에 상관없이 애플리케이션과의 상호 작용에 보안을 적용하는 것입니다. 그 이유는 기업이 제어하지 않는 네트워크에서 애플리케이션이 실행되기 때문입니다. 애플리케이션 수준은 기업에서 정의한 보안 정책 및 제어가 가장 효과적으로 적용되는 위치입니다. 이 수준에서는 자산이 있는 곳이면 어디든지 보안 제어를 이동하기 쉽습니다.

제로 트러스트는 기업에 어떤 의미인가요?

제로 트러스트는 네트워크에서 발생하는 일에만 그치지 않고 디지털 자산 및 사용자에게 발생하는 일에 대한 전례 없는 가시성을 제공합니다. 또한 고도로 분산된 비즈니스 환경에서 더욱 포괄적인 보안을 구현합니다. 표준 보안 제어를 애플리케이션과 애플리케이션의 인터페이스에 구축할 수 있으므로 새로운 비즈니스 기능의 개발 및 배포를 신속하게 수행할 수 있습니다. 궁극적으로 제로 트러스트는 기업이 민첩성을 향상시키는 동시에 모든 디지털 이니셔티브를 확신을 갖고 빠르게 진행하도록 지원합니다.

제로 트러스트는 복잡성을 감소시키고 네트워크 관리도 간소화합니다. 네트워크 전문가가 비즈니스 프로세스 레이어 보안 제어와 정책을 네트워크에 적용할 필요가 없게 되면 네트워크의 성능과 안정성, 사용자에게 제공되는 디지털 경험 등 다른 중요한 사안에 집중할 수 있습니다.

보안 제어는 사용자가 누구인지, 사용자를 어떻게 확신할 수 있는지, 어떤 애플리케이션과 상호 작용하려고 하는지, 애플리케이션과의 상호 작용을 허용할 때 어떤 비즈니스 위험이 있는지, 해당 상호 작용 경로에 어떤 정책과 제어를 적용해야 하는지 등 비즈니스 측면에서 해결할 수 있습니다. 이러한 정책과 제어에 관한 의사결정은 해당 애플리케이션 소유자의 책임입니다. 이를 통해 다시 한번 CISO와 네트워크 전문가의 업무 부담이 줄어듭니다.

사용자 측면에서 제로 트러스트는 문제 발생을 최소화하고 사용자 경험을 개선합니다. 우리는 암호가 아닌 다른 수단을 통해 인증을 강화할 수 있습니다. 그리고 단순한 작업에는 원활한 접속을 허용하고 민감한 데이터 접속 시에는 인증을 강화하는 것처럼 사용자가 수행하는 작업에 따라 인증 수준을 다르게 적용할 수 있습니다. 회사 연락처 조회는 즉시 허용해도 무방하지만, 회사 재무 정보는 적절한 방식으로 접속을 제한해야 합니다.

마지막으로, 탁월한 가시성은 자산 보호 이상의 이점을 제공합니다. 여기서 가시성은 비즈니스에 대한 가시성으로, 온라인에서 운영되는 비즈니스 프로세스와 트랜잭션을 더 세밀하게 파악하는 데 도움이 됩니다. 기업은 이 정보를 분석하여 실제 프로세스의 작동 방식과 고객의 행동 양식에 대한 새로운 인사이트를 확보하고 단순한 보안을 능가하는 개선을 구현할 수 있습니다.

기업은 어느 부분에서 어떻게 시작해야 하나요?

최상의 사용 사례 중 일부는 네트워크의 대대적인 재구성이 필요할 때 발생합니다. 일례로, 한 대형 유통업체는 10,000개가 넘는 매장 전체에 새로운 비즈니스 기능을 배포해야 했습니다. 비즈니스 목적은 매장별 비용 절감 및 매출 증대를 통해 전사적 수익 증대를 도모할 수 있도록 개선된 분석을 제공하는 것이었습니다. VPN을 사용하여 모든 매장 네트워크를 연결하고 마이크로 세그먼테이션 기법으로 보안 제어를 세분화하여 적용하려는 시도는 너무 복잡하고 잘못된 확장 특성을 갖고 있었습니다.

훨씬 좋은 대안은 클라우드와 애플리케이션 제어를 활용하는 제로 트러스트 접근 방식이었습니다. 이 유통업체는 다수의 네트워크를 함께 연결하는 대신 직원의 조직 내 역할에 따라 멀티팩터 인증 방식의 특성 기반 접속을 구현했습니다. 이 방식에서는 모든 접속 제어 인프라가 가상화되며, 데이터 전송이 기본적으로 클라우드의 연결 사이에서 이뤄지고 회사의 백엔드 시스템이 인터넷에 노출되지 않습니다.

결과적으로 네트워크 변경을 최소화하면서 구현 속도를 높일 수 있었습니다. 이러한 경험과 성공을 토대로 이 유통업체는 제로 트러스트 아키텍처를 다양한 비즈니스 이니셔티브에 적용하고 있습니다.

다른 훌륭한 사용 사례로는 시너지 효과와 재정적 성공이 기술, 애플리케이션, 비즈니스 운영을 신속하게 흡수하는 능력에 달려 있는 인수합병 분야입니다. 대형 금융 서비스 기관이 다수의 지역 은행을 동시에 인수하는 경우처럼 일부 조직은 이 과정을 반복적으로 수행해야 합니다. 네트워크를 함께 연결하고, 방화벽을 연속 배치하고, 새로운 모든 자산을 오래된 네트워크와 보안 제어를 통해 확인하려고 하는 전통적인 접근 방식은 복잡하고 시간 소모적일 뿐 아니라 오류 발생 가능성도 높습니다.

그에 반해, 제로 트러스트 아키텍처는 접속과 제어의 오버레이가 가능합니다. 인수한 기업의 시스템은 그대로 두면서 해당 기업의 직원에게 모회사의 애플리케이션 및 데이터에 접속할 수 있는 적절한 권한을 부여합니다. 그 반대도 마찬가지입니다. 먼저, 기업이 운영을 신속하게 조율할 수 있도록 경계와 전체 애플리케이션 사이에 연결을 설정합니다. 그런 다음, 시간을 두고 기본 네트워크의 실제 토폴로지를 필요한 범위까지 병합합니다.

이와 유사한 방법으로 전체 또는 부분 매각 후 자산에 대한 접속을 안전하게 분리하거나 선택적으로 공유할 수 있습니다. 보다 복잡한 예로는 미디어 및 엔터테인먼트 업계에서 특정 자산이 매각되는 경우입니다. 여러 시설에서 콘텐츠를 제작하는 기업을 예로 들어보겠습니다. 직원의 절반은 새 기업에서 근무하고, 나머지 절반은 이전 회사에 남습니다. 접속이 필요한 앱 중에서 일부는 새 기업으로 이동되고, 일부는 남게 되며, 일부는 공유 필요성으로 인해 그 중간에 배치돼야 합니다. 이 시나리오에서 이 기업은 해당 연결을 어떻게 처리해야 할까요? 분명히 상당한 비용이 들고 제대로 작동하기도 어렵습니다.

해결책은 물리적 인프라를 제자리에 두고, 애플리케이션에 대한 독점 또는 공유 접속과 전체 보안 제어를 포함시켜 사용자 집단의 가상 분할 구조에 오버레이 방식으로 추가하는 것입니다. 그러면 직원의 생산성을 유지하면서 기업의 가치 창출 시간을 줄일 수 있습니다.

이 3가지 예는 일련의 애플리케이션과 함께 제로 트러스트를 점진적으로 도입할 수 있다는 중요한 기본 메시지를 전해줍니다. 제로 트러스트는 아키텍처와 인프라의 대대적인 재편성을 의미하지 않습니다. 기존의 보안 메커니즘을 보완하고 시간이 지나면서 대체할 수 있기 때문에 급격한 변화로 인한 부담 없이 자연스럽게 가치를 제공합니다. 그리고 개념 증명을 넘어 기업에 실제적 가치를 제공하는 사용 사례로 시작해야 합니다.

제로 트러스트에 열광하는 이유에 대해 설명해 주시겠어요?

Akamai는 제로 트러스트의 효용성을 잘 알고 있으며, 다양한 구현 사례에서 만족스러운 결과를 직접 확인했습니다. 한 기업이 인터넷 패브릭에 직접 내장된 전 세계 수천 대의 서버로 구성되는 비즈니스 플랫폼을 배포해야 한다고 상상해보세요. 여기에 모든 서버는 서로 간에 안전하게 통신하고 상호 작용해야 합니다. 이 기업은 이런 작업을 지난 20년 간 해왔는데, 이는 바로 Akamai의 이야기입니다.

광범위하게 분산된 인터넷 기반 콘텐츠 전송 네트워크를 구축함과 동시에 고객을 위해 뛰어난 성능을 보장하려면 어떤 전송도 신뢰할 수 없다고 가정해야 했습니다.

그래서 Akamai는 모든 엔드포인트를 위한 강력한 인증 능력을 갖췄습니다. 단순히 IP 주소를 식별하는 것이 아니라 모든 커뮤니케이션이 이뤄지기 전에 디지털 인증서의 교환 및 확인 과정을 거칩니다. 그리고 어떤 사용자도 접속 제어 프록시를 통과하지 않고서는 플랫폼에 접속하지 못합니다. 따라서 사용자의 신원, 유입 경로, 기업 내 역할, 접속 시간 등 다양한 특성을 기반으로 정책을 적용하는 논리적인 중앙 관리소를 보유하는 것과 마찬가지입니다.

현재 Akamai 플랫폼은 130여 개 국가에 배치된 24만 대 이상의 서버로 구성되어 있으며, 경계의 개념이 사라지는 인터넷의 엣지에서 운영됩니다. 엄청난 양의 인터넷 트래픽을 처리하는 Akamai는 인터넷 보안과 고객 인프라 보안 측면에서 탁월한 가시성을 보유하고 있습니다. 이 실시간 가시성은 사이버 보안 분야에서 명확한 관점을 제공하고 지속적으로 혁신을 추구할 수 있는 원동력입니다.

20년 전에는 이름조차 생소했던 제로 트러스트는 Akamai에서 처음부터 지지하고 적용해 왔던 접근 방식입니다. 최고의 보안을 위해서는 다른 선택의 여지가 없었습니다. Akamai가 제로 트러스트에 열정적인 이유와 고객이 보안을 한 단계 도약시키고 디지털 비즈니스의 구현 수단으로 활용하도록 지원하는 데 전념하는 이유가 바로 여기에 있습니다.

Related CIO Content