목차
Cybersecurity

ZTNA(Zero Trust Network Access)란?

4 min. read
목차

ZTNA이란?

제로 트러스트 네트워크 액세스(ZTNA)란 정의된 액세스 제어 정책을 기반으로 애플리케이션과 서비스에 대해 안전한 원격 액세스를 제공하는 일련의 기술 카테고리를 말합니다. LAN에 대한 완전한 액세스를 허용하는 VPN과는 달리 ZTNA 솔루션은 거부가 기본값으로, 사용자에게 명시적으로 허용된 서비스에 대한 액세스만 제공합니다. 더 많은 원격 사용자가 네트워크에 합류하고 있으므로, 어떤 보안 간극이 존재하고 ZTNA 솔루션이 기업에 어떤 도움이 되는지 알아두는 것이 중요합니다.

ZTNA의 원리는?

ZTNA를 이용하면 사용자가 ZTNA 서비스에 인증된 다음에만 액세스가 설정됩니다. 그러면 ZTNA 서비스가 사용자를 대신해 안전하고 암호화된 터널을 통해 애플리케이션에 대한 액세스를 제공하게 됩니다. 이를 통해 원래는 공개적으로 표시되는 IP 주소를 가려서, 기업의 사내 애플리케이션 및 서비스에 보호막을 한 겹 더 제공할 수 있습니다.

소프트웨어 정의 경계(SDP)와 마찬가지로, ZTNA도 다크 클라우드라는 개념을 활용합니다. 즉 사용자가 자신이 액세스할 권한이 없는 애플리케이션과 서비스는 볼 수 없도록 방지하는 것입니다. 이렇게 하면 내부망 공격자 이동을 차단할 수 있습니다. 내부망 이동이 가능하면 엔드포인트나 자격 증명이 침해되면 스캔을 실행하거나 다른 서비스로 피벗할 수 있습니다.

ZTNA와 VPN 비교

VPN은 원격 근무 직원이 기업 네트워크에 접속할 비공개, 암호화된 터널로서 LAN에 대한 완전한 액세스 권한을 부여하도록 고안되었습니다. 이것이 실용적인 해법으로 보일지 모르지만, 안타깝게도 VPN에는 사용자가 정확히 무엇을 할 수 있고 정확히 어느 앱에 액세스할 수 있는지 제어하고 파악할 유연성과 세분화 기능이 없습니다. 사용자에게 액세스 권한이 부여되면 네트워크상 어느 것에든 액세스할 수 있기 때문에 보안 간극이 발생하고 정책 적용 문제가 생기게 됩니다.

이 VPN 다이어그램을 보면 사용자가 VPN에 연결할 때 인터넷에 액세스하려면 어떤 경로를 거쳐야 하는지 알 수 있습니다.

반면 ZTNA의 경우, 세분화된 액세스 제어 정책을 기반으로 애플리케이션에 대한 원격 액세스 보안을 확보합니다. 즉 사용자가 앱에 연결할 때 계속 확인합니다. VPN처럼 "일단 인증되면 끝"이라는 접근 방식과는 다릅니다. 따라서 ZTNA는 "절대 신뢰하지 않고 상시 검증"한다는 최소 권한 접근 방식을 제공하여 사용자 세션을 진행하는 내내 사용자, 디바이스와 앱 동작을 끊임없이 확인합니다.

VPN 교체/보안 원격 액세스

요즘 많은 기업의 주력 분야 중 하나는 오래된 VPN 기술을 최신 ZTNA 솔루션으로 대체해 자사 원격 및 하이브리드 인력에 네트워크 액세스를 제공하는 것입니다. 이렇게 해서 성능 병목 현상을 극복하고 관리를 간소화하고자 하는 것입니다. 일반적으로 이러한 VPN 교체 이니셔티브에는 여러 가지 요인이 작용합니다.

  • 애플리케이션이 하이브리드 모델로 이동하기 시작하여 클라우드와 멀티 클라우드는 물론 온프레미스 환경도 활용하게 되었습니다. 따라서 온프레미스 "집중 장치"로 트래픽을 트롬보닝하거나 백홀링하는 레거시 VPN 기술로는 확장도 되지 않고, 최선의 사용자 경험을 제공할 수도 없습니다.
  • 요즘은 엔터프라이즈 앱에 액세스하기 위한 요구 사항도 바뀌고 있습니다. 예전에는 사용자가 관리형 디바이스를 활용하는 것이 보통이었지만, 최근에는 비관리형 디바이스가 기업 네트워크에 진입해 기업 애플리케이션에 대한 액세스를 요청하는 경우도 점점 늘어나는 추세입니다.
  • 마지막으로, 기업이 단순히 웹이나 레거시 애플리케이션만이 아니라 모든 앱을 대상으로, 모든 앱에 대한 일관된 보호와 보안 모델을 원합니다.

VPN 솔루션은 하이브리드 사용자가 업무를 수행하기 위해 필요한 무수히 많은 애플리케이션에 사용자를 안전하게 연결해 주기 위해 필요한 초고속 확장, 고성능, 일관된 고급 보안 서비스 제공 등을 목적으로 고안된 솔루션이 아닙니다. 따라서 기업에서는 이제 오래된 VPN 구축을 ZTNA 솔루션으로 대체하기 시작했습니다.

ZTNA의 이점

ZTNA 서비스에서 제공하는 ID 기반 인증 및 액세스 제어는 대부분의 VPN 구성에서 일반적으로 사용하는 IP 기반 액세스 제어의 대안이 되어줍니다. 이 방식을 이용하면 기업의 공격 표면을 줄일 수 있습니다. 또한 ZTNA를 이용하면 기업에서 위치나 디바이스별로 액세스 제어 정책을 구현할 수 있으므로, 패치되지 않았거나 취약한 디바이스가 기업 서비스에 연결되는 것 또한 방지해주기도 합니다. 이렇게 하면 보편적인 VPN 관련 문제점이 완화됩니다. 즉 BYOD 원격 사용자에게는 보안 제어가 마련되지 않은 경우가 많은데도 이러한 사용자에게 기업 오피스 사용자와 같은 수준의 액세스 권한을 허용하는 것입니다. 일부 에이전트 기반 ZTNA 솔루션은 사용자와 디바이스를 연결할 때 사전 인증 트러스트 평가를 제공합니다. 예를 들어 디바이스 상태, 인증 상태, 사용자 위치 등이 대표적입니다. 다만 원격 및 하이브리드 근무 방식으로 너무 급하게 전환한 데다 클라우드 도입도 급증하는 바람에, ZTNA의 첫 번째, 즉 1.0 버전에 존재하는 중대한 간극이 드러났습니다.

업계의 ZTNA 1.0 보안 액세스 문제 해결 시도

ZTNA 2.0

제로 트러스트 네트워크 액세스 2.0은 레거시 ZTNA 솔루션의 한계를 극복하여 안전한 연결을 제공함으로써 하이브리드 인력을 보유한 비즈니스에 더 나은 보안 성과를 제공합니다. ZTNA 2.0의 장점은 다음과 같습니다.

  • 진정한 최소 권한 액세스: 레이어 7에서 App-ID에 기반해 애플리케이션을 식별합니다. 이렇게 하면 IP나 포트 번호와 같은 네트워크 구조와 관계없이 앱과 하위 앱 수준에서 액세스를 정밀하게 제어할 수 있습니다.
  • 지속적인 신뢰 확인: 앱에 대한 액세스 권한을 부여하고 나면, 디바이스 상태, 사용자 동작과 앱 동작을 기반으로 계속해서 신뢰를 평가합니다. 의심스러운 동작이 탐지되면 실시간으로 액세스를 철회할 수 있습니다.
  • 지속적인 보안 검사: 허용된 연결도 예외없이 모든 트래픽에서 심층, 지속적인 검사를 실시하여 제로데이 위협을 비롯한 모든 위협을 방지합니다. 이는 합법적인 사용자 자격 증명이 도난당하여 애플리케이션이나 인프라를 대상으로 공격이 시작되는 시나리오에서 특히 중요합니다.
  • 모든 데이터 보호: 프라이빗 앱과 SaaS를 포함해 엔터프라이즈에서 사용되는 모든 앱에 단일 DLP 정책을 사용해 일관된 데이터 제어를 적용합니다.
  • 모든 앱 보안 확보: 최신 클라우드 네이티브 앱, 레거시 프라이빗 앱, SaaS 앱은 물론 동적 포트를 사용하는 앱이나 서버에서 시작하는 연결을 활용하는 앱까지 엔터프라이즈 전체에서 사용되는 모든 애플리케이션에 일관되게 보안을 확보합니다.

레거시 ZTNA 솔루션의 작동 방식을 나타낸 제로 트러스트 네트워크 액세스(ZTNA) 1.0 다이어그램입니다.

ZTNA 1.0과 ZTNA 2.0의 비교

지난 24개월간 네트워킹과 보안 분야에서 일어난 가장 큰 변화는 업무가 직장이라는 장소와 직결되는 것이 아니라, 수행하는 활동이라는 의미와 더 가까워졌다는 사실입니다. 하이브리드 업무수행 방식이 뉴 노멀로 자리 잡았으며, 따라서 이제는 앱과 사용자가 어디에나, 모든 곳에 존재하게 되었습니다. 결과적으로 공격 표면도 늘어났습니다. 그와 동시에, 이처럼 엄청나게 늘어난 공격 표면을 유리하게 이용하려 하는 사이버 공격의 규모도 커지고 더욱 정교해졌습니다.

제로 트러스트 네트워크(ZTNA) 2.0 다이어그램을 보면 모든 앱과 데이터의 보안을 확보하기 위해 지속적인 신뢰 확인과 지속적인 신뢰 평가를 수행하는 ZTNA 2.0 솔루션의 장점을 알 수 있습니다.

현재 ZTNA 1.0 솔루션은 앱으로 직접(direct-to-app) 액세스와 관련한 문제 중 일부분만 해결할 수 있을 뿐입니다. 구체적으로, ZTNA 1.0 솔루션의 특징은 다음과 같습니다.

ZTNA 2.0

ZTNA와 SASE

하지만 ZTNA도 SDP와 마찬가지로, 사용자가 연결을 설정하고 나면 애플리케이션으로부터 유입되는 사용자 트래픽을 인라인 검사하지 않습니다. 이 때문에 사용자의 디바이스나 자격 증명이 침해되거나, 애플리케이션이나 호스트를 방해하려고 리소스에 대한 자기 액세스를 이용하는 악의적인 내부자가 있는 경우 보안 문제가 발생할 가능성이 있습니다.

SASE(Secure access service edge)는 광역 네트워킹, 즉 WAN과 보안 서비스를 클라우드 기반 서비스 "에지"에 융합한 형태입니다. 이를 통해 기업이 네트워킹과 보안 인프라를 현대화하여 하이브리드 환경과 하이브리드 인력의 요구 사항에 맞추도록 돕고자 하는 것입니다. SASE 솔루션은 ZTNA, 클라우드 SWG, CASB, FWaaS, SD-WAN 등 여러 포인트 제품을 단일한 통합형 서비스로 통합하여 네트워크와 보안 복잡도는 줄이면서 동시에 조직의 민첩성은 강화해 줍니다.

SASE 여정을 시작하는 데는 여러 가지 방법이 있고, ZTNA도 그중 하나입니다. SASE(Secure Access Service Edge) 솔루션에 ZTNA 2.0의 ID 기반 인증과 세분화된 액세스 제어 기능을 포함하면 좀 더 완전하고 전체론적인 접근 방식을 제공할 수 있습니다.


ZTNA의 진화 과정에 관한 자세한 내용은 이 블로그를 참조하세요.

관련 콘텐츠

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2024 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353