"Zero Trust" 용어에 대한 배경과 기본적인 컨셉은 다들 알고 있을 것이다. 하지만, 대부분은 아직 마음에 와 닿지 않을 것이고, 어떻게 자신의 환경에 적용해야 할지 감이 오지 않을 것이다. 아니, 지금 이 시점 (2020년 12월 28일)으로 보았을 때, 아직 이에 대한 깊은 고민 조차를 하지 않았을 것이다.
혹시, 현재 Zero Trust 도입을 위해 깊은 고민을 하고 계신 분들, 그리고 앞으로 진지하게 이를 검토할 의지가 있는 분들, 바로 그 분들에게 조금이나마 도움이 되고자 아래 글을 공유한다. 지금 고민하고 있는 단계에서 한 걸음 정도는 앞으로 진행하는 데 도움이 되지 않을까...? (참고로, Zero Trust를 향항 걸음은 백 걸음 이상 정도 될 것이다...)
Zero Trust 는 지난 기업 환경에서 운영해 오던 보안에 대한 관점을 버리고 새로 이해해야 할 정도라고 생각한다. 관점을 바꾸어야 할 정도의 큰 주제이며, 관점을 바꾸지 않을 경우 계속 헷갈려 할 것이다. 기존에 네트워크 위치를 기준으로 '밖은 위험한 곳, 안은 안전한 곳' 으로 보안의 경계를 간주했다면, Zero Trust는 '지금 접속하는 사용자가 안전한 사용자인지, 그리고 접속 후에도 안전하게 사용하고 있는지'로 계정 기반으로 지속적으로 안전 여부를 확인할 수 있는 체계의 보안 개념을 의미한다.
위의 기본 개념을 포함한 몇 가지 용어 정리:
- Zero Trust (ZT) 는 보안 영역의 하나의 개념이고, 그 개념을 지칭하는 마케팅(?) 용어일 뿐이다.
- Zero Trust Architecture (ZTA) 는 Zero Trust의 개념대로 운영 가능한 구성을 의미하고, 정답이란 있을 수 없다. 모든 환경이 다른 솔루션을 이용해서, 다른 운영 방식으로 운영할 수 있다.
- Zero Trust Network Access (ZTNA) 는 Zero Trust 환경에서 사용자들이 처음 리소스에 접속을 할 때 거치게 되는 네트워크 방식 또는 그 행위 정도로 이해할 수 있다.
- Secure Access Service Edge (SASE) 는 Zero Trust Network Access와 거의 동일한 용어로 이해할 수 있다.
대표적으로 Zero Trust는 Forrester에서, SASE는 Gartner에서 채택해서 사용하는 용어다. 그리고 수 많은 보안 업체들은 이 용어를 이용하여 자신의 솔루션을 설명하고 있다. Forrester와 Gartner는 복잡한 보안 체계를 쉽게 설명하기 위해 각 용어를 선택했을 것이며, 비슷한 시장 조사 업체로서 서로 경계하기 위해 각기 다른 용어를 내 놓았을 것으로 볼 수 있다. Zero Trust 라는 용어가 Forrester에서 먼저 발표되긴 했지만, Zero Trust의 개념에 해당하는 내용은 이미 그 전에 보안 영역에서 거론된 바가 있기 때문이다. 그리고 이 용어들을 사용하여 자신의 솔루션을 마케팅하고 있는 보안 기업들은 개념도 제대로 모르고 쓰는 경우도, 순수한 개념의 저 용어를 자신의 솔루션이 대표하는 용어로 둔갑시키기도 하므로 보안 기획 또는 운영자들은 이에 현혹될 필요 없다.
그렇다면, ZT, SASE 가 꼭 필요할까?
- 외부 공격을 받을 만한 중요한 자산이 없다면,
- 외부 공격을 받아 회사 또는 자신의 브랜드 이미지가 추락할 정도가 아니라면,
- 외부 네트워크를 통해 내부 리소스에 접근할 일이 없다면,
- 퍼블릭 클라우드 (IaaS, PaaS, SaaS 상관없이)를 사용하지 않는다면,
굳이 신경쓸 필요없다.
하지만,
- 보호해야할 중요한 자산이 있고, 브랜드의 외부 이미지가 중요한 기업이라면,
- 원격근무, 재택근무 등 외부에서 직원들이 일을 해야하는 환경이라면,
- 직원들에 생산적인 환경을 제공하는 것이 중요하다면,
- 퍼블릭 클라우드를 사용하는 환경이라면,
ZT 또는 SASE를 적극 검토하여 도입할 필요가 있다.
이미 시장에서는 대부분 환경에서 ZT 또는 SASE를 도입하여 적용할 것으로 예상하고 있고, 지난 몇 년간의 업무 환경 변화 흐름을 보았을 때도 합리적으로 ZT 또는 SASE가 필요한 환경이 올 것이라고 생각할 수 있다. 팬대믹으로 인한 재택근무, 직원의 창의성 보장을 위한 원격근무 지원, Gig-Economy 확산으로 인한 외부 인력과 협업 증가, 그리고 합리적이고 고도화된 기술 서비스 사용을 위한 클라우드 도입 등 이유는 많다.
ZT, SASE 도입의 필요성을 인지하고 도입을 준비하려면 아래 세 가지에 대한 이해가 꼭 필요하다. 아래 세 가지는 보안 솔루션을 판매하는 벤더나 보안 컨설턴트들이 해결해 줄 수도 없다. 각 기업에서 문화/정책적으로 이를 받아들이고 대응해야 한다.
- CISO 또는 CIO 의 적극적인 Sponsorship을 통한 인프라 운영, 네트워크, 보안 팀 간의 협업 또는 조직 재구성
- 직원이 외부에서 접속할 때 모바일 카메라 또는 일반 카메라로 화면을 찍어서 데이터가 유출될 가능성은 없앨 수 없다는 것을 인정
- 각 환경에서 생각하는 이상적인 ZT, SASE 환경으로 Migration 하기까지 수 년이 소요될 수 있음
여기까지 모두 이해가 되었다면, ZT/SASE 도입 이전과 이후를 비교하여 어떤 솔루션들이 필요할지 각기 그림을 직접 그리거나 컨설팅 서비스를 받으면 된다. 관련된 기술로는
- IAM (Identity and Access Management),
- UEM (Unified Endpoint Management),
- SD-WAN (Software Defined WAN),
- UEBA (User and Entity Behavior Analysis),
- CASB (Cloud Access Security Broker),
- SWG (Secure Web Gateway)
가 대표적이며, 위에서 말했듯 정답이 없는 영역이기 때문에,
- CSPM (Cloud Security Posture Management),
- EDR (Endpoint Detection and Response),
- Data Protection 등
함께 고려할 수 있다.
다만, 조심해야 할 것으로는 아직 ZT, SASE 시장이 극히 초기이고 연관된 솔루션을 제공하는 기업들이 우후죽순으로 분산되어 있기 때문에 M&A 가 이루어질 가능성이 많다. 따라서, 기업 M&A에 따른 솔루션 업데이트 미지원 및 기술지원 체계 변화 등 운영상 부담을 떠 안게 될 위험을 최대한 피하도록 시장을 지속적으로 주시해야 한다. 그리고 최대한 관리 포인트를 최소화하여 효율적으로 운영하는 것이 좋을 것으로 생각된다. 즉, 플랫폼 형태로 많은 기능을 제공해 주는 벤더의 솔루션 이용하는 것이 좋을 수 있다. 마지막으로, ZT, SASE 환경에서의 데이터 보호 방안을 구체적으로 제시하는 곳은 없다. 따라서, ZT, SASE 개념에 부합하면서, 다른 솔루션들하고 높은 호환성을 제공하면서, 위의 M&A 위험을 최소화 할 수 있는 데이터 보호 솔루션에 대한 검토가 필요 할 것이다.
아래의 Report들은 ZT, SASE로의 긴 여정에 있어 미리 읽어 보면 도움이 될 것이고, 개인적으로는 NIST의 Publication이 가장 실질적인 Guide를 해주고 있다고 생각된다.
[Reference]
*Gartner, The Future of Network Security is in the Cloud
*Gartner, Market Guide for Zero Trust Network Access
*Forrester, The Forrester Wave: Zero Trust eXtended Ecosystem Platform Providers
*NIST, SP 800-207, Zero Trust Architecture
