제로트러스트 모델에 대한 중요성은 거의 모든 기업들이 인지하고 있다. 다만 무슨 일을 어디서부터 어떻게 해야 하는지를 제대로 파악하지 못하고 있다. 그래서 머리로는 제로트러스트를 선택하지만, 손으로는 VPN을 고르고 마는 일들이 일어난다.
[보안뉴스 문가용 기자] 제로트러스트를 도입하려는 계획을 가진 기업들이 많다고 하지만 아직 원격 접근에 주로 사용되는 기술은 VPN이다. 최근 발표된 조사 결과에 의하면 약 90%의 조직들이 아직도 원격에서의 접근을 보호하기 위해 VPN을 사용한다고 하며, VPN을 대체하기 위해 제로트러스트 네트워크 개념으로 만들어진 기술을 도입할 계획이라는 응답자는 1/3도 되지 않았다고 한다.
[이미지 = utoimage]
이는 사피오리서치(Sapio Research)가 1025명의 현업 IT 전문가들을 대상으로 조사해 얻어낸 결과다. 특히 VPN과 ‘제로트러스트 네트워크 접근(ZTNA)’ 기술을 모두 활용해 볼 만한 위치에 있는 사람들을 선정해 조사를 진행했다고 한다. 무려 97%가 제로트러스트의 도입이 가장 시급한 과제라고 답을 함으로써 제로트러스트에 대한 업계의 인식이 매우 긍정적이라는 걸 알 수 있었다. 하지만 제로트러스트 솔루션들을 이제 슬슬 실험해 보거나 살짝 도입하기 시작했다는 응답자는 50%를 겨우 넘었을 뿐이었다.
ZTNA는 가트너가 2019년부터 사용하기 시작한 용어로, 애플리케이션들에 대한 논리적인 접근 방식을 구축하는 기술들 중 아이덴티티와 컨텍스트 기반 요소들을 조합하는 방식을 가진 기술을 광범위하게 일컫는다. 가트너는 2023년까지 약 60%의 기업들이 VPN 대신 ZTNA를 사용하기 시작할 것이라고 예측하고 있다.
“VPN은 기초부터 망가진 네트워크 보안 모델에 붙이는 밴드와 붕대 정도에 불과합니다. 반창고 몇 개로 질병을 다 치료할 수는 없지요.” 가트너의 부회장인 네일 맥도널드(Neil McDonald)의 설명이다. “이제는 기초부터 네트워크의 모델을 다시 다져야 할 때입니다. 연결부터 하고 인증을 염려하는 기존의 방식을 뒤집어, 철저한 인증 후 연결을 허락하는 순서로 가야할 겁니다. 그것이 제로트러스트의 기본 개념이기도 하지요.”
VPN의 문제
VPN 기술의 가장 큰 문제 중 하나는 기업의 네트워크에 접근할 수 있도록 해 준다는 것이라고 딜로이트의 제로트러스트 전문가 앤드류 라플라(Andrew Rafla)는 설명한다. “반면 ZTNA는 원격 사용자들이 특정 애플리케이션이나 특정 자산에만 접근할 수 있도록 해 줍니다. 네트워크 전체가 아니라 딱 필요한 것에만 접속할 수 있는 것이죠. 그러므로 ZTNA를 제대로 활용하려면 중앙 아이덴티티 저장소, 권한 관리 도구, 데이터 보안, 망 분리, 장비 보안 등과 같은 기능들을 갖추어야 합니다.”
라플라는 “제로트러스트 개념을 적용하려면 기본적인 보안 실천 사항도 절대 간과해서는 안 된다”고 강조한다. “IT 자산 관리를 보다 확실히 하고, 설정과 취약점 관리 역시 꼼꼼하게 관리하는 것을 전제로 하는 것이 제로트러스트입니다. 제로트러스트를 도입한다고 저절로 보안이 다 완성되는 게 아니라요. 제로트러스트를 도입한다는 것 자체가 그러한 보안의 요소들을 하나하나 마련한다는 뜻입니다.”
그렇기 때문에 제로트러스트를 도입한다는 걸 제대로 이해하는 기업들은 오히려 제로트러스트의 도입을 부담스러워 한다. 너무나 할 일이 많다고 느끼는 것이다. 사피오리서치의 조사 과정에서 현재 VPN을 사용하는 기업들 중 2/3가 넘는 곳의 담당자들이 “ZTNA를 도입해야 하긴 하는데, 할 일이 너무 많은 게 사실”이라고 답했다고 한다. 아직은 간편한 VPN을 놓지 못하는 것이다.
그 외에 VPN 대신 ZTNA를 사용하기를 주저하게 만드는 큰 요인은 예산이었다. 62%의 응답자가 예산의 부족을 꼽았고, 13%가 제로트러스트가 아직 너무 어렵고, 어디서부터 시작해야 할지 모르겠다고 답했다. 실제로 제로트러스트는 개념 자체가 어려운 건 아니지만, 구현을 하려는 단계에서는 꽤나 난이도가 높은 축에 속한다.
하지만 ZTNA를 실제로 도입하는 데 성공한 기업들 중 대다수는 구축과 도입에 걸리는 시간이 생각보다 그리 길지 않다고 경험담을 공개하기도 했다. 위의 조사를 통해 드러난 평균 도입 시간은 11.5개월이었다. “제로트러스트를 전사적으로 한꺼번에 도입하려니 할 일이 많게 느껴지고 부담스러운 겁니다. 단계별로 천천히 도입할 필요가 있습니다.”
3줄 요약
1. 제로트러스트 중요한 건 알지만, VPN 버리기에는 아쉬움.
2. VPN은 네트워크 전체에 대한 접근 허용, 제로트러스트는 필요한 자산에만 접근 허용.
3. 제로트러스트라는 말 자체가 기본적인 보안 실천 사항들을 도입한다는 이야기.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 제로트러스트를 도입하려는 계획을 가진 기업들이 많다고 하지만 아직 원격 접근에 주로 사용되는 기술은 VPN이다. 최근 발표된 조사 결과에 의하면 약 90%의 조직들이 아직도 원격에서의 접근을 보호하기 위해 VPN을 사용한다고 하며, VPN을 대체하기 위해 제로트러스트 네트워크 개념으로 만들어진 기술을 도입할 계획이라는 응답자는 1/3도 되지 않았다고 한다.
[이미지 = utoimage]
이는 사피오리서치(Sapio Research)가 1025명의 현업 IT 전문가들을 대상으로 조사해 얻어낸 결과다. 특히 VPN과 ‘제로트러스트 네트워크 접근(ZTNA)’ 기술을 모두 활용해 볼 만한 위치에 있는 사람들을 선정해 조사를 진행했다고 한다. 무려 97%가 제로트러스트의 도입이 가장 시급한 과제라고 답을 함으로써 제로트러스트에 대한 업계의 인식이 매우 긍정적이라는 걸 알 수 있었다. 하지만 제로트러스트 솔루션들을 이제 슬슬 실험해 보거나 살짝 도입하기 시작했다는 응답자는 50%를 겨우 넘었을 뿐이었다.
ZTNA는 가트너가 2019년부터 사용하기 시작한 용어로, 애플리케이션들에 대한 논리적인 접근 방식을 구축하는 기술들 중 아이덴티티와 컨텍스트 기반 요소들을 조합하는 방식을 가진 기술을 광범위하게 일컫는다. 가트너는 2023년까지 약 60%의 기업들이 VPN 대신 ZTNA를 사용하기 시작할 것이라고 예측하고 있다.
“VPN은 기초부터 망가진 네트워크 보안 모델에 붙이는 밴드와 붕대 정도에 불과합니다. 반창고 몇 개로 질병을 다 치료할 수는 없지요.” 가트너의 부회장인 네일 맥도널드(Neil McDonald)의 설명이다. “이제는 기초부터 네트워크의 모델을 다시 다져야 할 때입니다. 연결부터 하고 인증을 염려하는 기존의 방식을 뒤집어, 철저한 인증 후 연결을 허락하는 순서로 가야할 겁니다. 그것이 제로트러스트의 기본 개념이기도 하지요.”
VPN의 문제
VPN 기술의 가장 큰 문제 중 하나는 기업의 네트워크에 접근할 수 있도록 해 준다는 것이라고 딜로이트의 제로트러스트 전문가 앤드류 라플라(Andrew Rafla)는 설명한다. “반면 ZTNA는 원격 사용자들이 특정 애플리케이션이나 특정 자산에만 접근할 수 있도록 해 줍니다. 네트워크 전체가 아니라 딱 필요한 것에만 접속할 수 있는 것이죠. 그러므로 ZTNA를 제대로 활용하려면 중앙 아이덴티티 저장소, 권한 관리 도구, 데이터 보안, 망 분리, 장비 보안 등과 같은 기능들을 갖추어야 합니다.”
라플라는 “제로트러스트 개념을 적용하려면 기본적인 보안 실천 사항도 절대 간과해서는 안 된다”고 강조한다. “IT 자산 관리를 보다 확실히 하고, 설정과 취약점 관리 역시 꼼꼼하게 관리하는 것을 전제로 하는 것이 제로트러스트입니다. 제로트러스트를 도입한다고 저절로 보안이 다 완성되는 게 아니라요. 제로트러스트를 도입한다는 것 자체가 그러한 보안의 요소들을 하나하나 마련한다는 뜻입니다.”
그렇기 때문에 제로트러스트를 도입한다는 걸 제대로 이해하는 기업들은 오히려 제로트러스트의 도입을 부담스러워 한다. 너무나 할 일이 많다고 느끼는 것이다. 사피오리서치의 조사 과정에서 현재 VPN을 사용하는 기업들 중 2/3가 넘는 곳의 담당자들이 “ZTNA를 도입해야 하긴 하는데, 할 일이 너무 많은 게 사실”이라고 답했다고 한다. 아직은 간편한 VPN을 놓지 못하는 것이다.
그 외에 VPN 대신 ZTNA를 사용하기를 주저하게 만드는 큰 요인은 예산이었다. 62%의 응답자가 예산의 부족을 꼽았고, 13%가 제로트러스트가 아직 너무 어렵고, 어디서부터 시작해야 할지 모르겠다고 답했다. 실제로 제로트러스트는 개념 자체가 어려운 건 아니지만, 구현을 하려는 단계에서는 꽤나 난이도가 높은 축에 속한다.
하지만 ZTNA를 실제로 도입하는 데 성공한 기업들 중 대다수는 구축과 도입에 걸리는 시간이 생각보다 그리 길지 않다고 경험담을 공개하기도 했다. 위의 조사를 통해 드러난 평균 도입 시간은 11.5개월이었다. “제로트러스트를 전사적으로 한꺼번에 도입하려니 할 일이 많게 느껴지고 부담스러운 겁니다. 단계별로 천천히 도입할 필요가 있습니다.”
3줄 요약
1. 제로트러스트 중요한 건 알지만, VPN 버리기에는 아쉬움.
2. VPN은 네트워크 전체에 대한 접근 허용, 제로트러스트는 필요한 자산에만 접근 허용.
3. 제로트러스트라는 말 자체가 기본적인 보안 실천 사항들을 도입한다는 이야기.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
