제로 트러스트가 2020년 이전에는 단순히 포부였다면 팬데믹이 시작된 이후에는 필수 방법론이 되었습니다.하지만 제로 트러스트는 이미 그 시대가 왔다가 사라지고 진정한 출발을 하기 전에 전성기를 지난 아이디어라고 할 수 있을까요?
사실, 보안 전문가들은 제로 트러스트에 대한 모든 접근 방식이 똑같이 만들어지지는 않는다는 사실을 뼈저리게 깨닫고 있을 가능성이 더 큽니다.그들은 원격 근무자에게 업무 수행에 필요한 애플리케이션과 데이터에 대한 액세스를 제공하면서 보안을 중시하는 제로 트러스트 접근 방식을 채택하기 시작했습니다.
의심할 여지 없이, 팬데믹으로 인해 제로 트러스트 네트워크 액세스 (ZTNA) 의 도입이 가속화되었습니다. COVID 이전에 Gartner는 2025년까지 채택률이 14% 에 달할 것으로 예측했습니다.하지만 대부분 원격 근무자를 지원하기 위해 미친 듯이 서두르자, 빠른 시간 내에 예상 채택률이 급등하여 2023년에는 50% 까지 급증했습니다.
1세대 ZTNA는 새로운 원격 인력을 지원하는 방법에 대한 질문에 대한 첫 번째 답변으로 많은 조직에서 상당한 관심을 받았습니다.이 클라우드 제공 솔루션은 하드웨어에 얽매이지 않고, 쉽게 사용할 수 있을 뿐만 아니라, 누구나 필요한 것을 얻을 수 있었습니다. 즉, 네트워크를 건드리지 않고, 속도를 늦추거나, 기존 투자를 손상시키지 않고도 애플리케이션에 액세스할 수 있었습니다.
그러나 이러한 초기 구현을 위해서는 기업이 동일한 결과를 위해 두 가지 솔루션 세트를 유지해야 하는 경우가 많았습니다. 그렇지 않으면 신뢰할 수 있는 VPN을 계속 사용할지 아니면 완전히 새로운 접근 방식으로 전환할지 선택해야 했습니다.
사실, 팬데믹 초기에 VPN이 압도당하고 단점이 드러났을 때 가장 초기의 ZTNA 구현은 모두 연결성에 관한 것이었습니다.그리고 보안은 한계에 봉착했습니다.많은 조직이 가장 어려운 시기에도 비즈니스를 계속 운영하기 위해 보안을 포기할 의향이 있었습니다.결국 사람들이 서로 소통할 수 없다면 비즈니스는 망하게 될 것입니다.보안의 경우도 마찬가지였습니다. 비즈니스를 중단하지 않으면 보안이 흔들릴 수 있기 때문입니다.적어도 교활한 위협 행위자가 스마트폰, 배우자의 노트북 등 사용 가능한 모든 장치 (스마트폰, 배우자의 노트북 등) 를 통해 회사 리소스에 연결하는 직원이 있는 취약한 회사를 악용하거나 보안 조치를 우회하여 업무에 필요한 도구를 사용하기 전까지는 그랬습니다.
그때부터 많은 사랑을 받았던 이 VPN의 단점이 눈에 띄게 드러났다.COVID는 VPN이 조직 직원의 약 10~ 20% 를 지원하는 것에서 100% 까지 확장할 수 없다는 것을 증명했습니다.이 솔루션은 말 그대로 무너졌고 VPN에 필요한 대역폭 부족으로 인해 성능이 느리게 느껴졌습니다.그리고 VPN의 주요 보안 문제는 간단히 말해서 위협 행위자가 침입하면 침입한다는 것입니다.
네트워크에 대한 액세스 권한이 설정되면 VPN 솔루션은 누가 제어 권한을 갖고 앱이나 민감한 데이터에 액세스하려고 하는지 구분하지 못합니다.VPN은 사람을 단순한 리소스가 아닌 위치 및 전체 네트워크에 연결합니다.VPN을 통해 침입한 악의적인 공격자는 환경 내부로 이동하여 눈살을 찌푸리지 않고 애플리케이션과 데이터에 액세스할 수 있습니다.
하지만 Zero Trust에서는 그렇지 않습니다. Zero Trust는 말 그대로 아무도 신뢰하지 않으며 멀티 클라우드 환경에서도 연결에 대한 가시성을 개선하여 보안을 더욱 강화합니다.보안팀은 연결뿐 아니라 해당 연결 내에서 어떤 일이 벌어지고 있는지도 볼 수 있습니다.
앱 및 기타 리소스에 대한 연결을 제공하고 전체 직원을 갑자기 집으로 이동시켜야 하는 “불타는” 시대가 도래한 지금, ZTNA와 관련된 “이유”도 보안에 초점을 맞추면서 변경되었습니다.조직은 다시 보안, 가시성, 정책으로 돌아가 사용자와 앱 사이에 이러한 모든 요소를 배치했습니다.실제로 Menlo의 연구에 따르면 난폭한 접근 방식을 사용하던 기업 중 75% 가 다시 돌아와 보안 원격 액세스를 위한 전략을 재검토하고 있는 것으로 나타났습니다.
팬데믹 전성기에는 액세스에 약 95%, 보안에 5% 의 초점이 맞춰져 있었다면, 결정적으로 추세가 바뀌면서 보안에 초점이 맞춰졌습니다 (현재는 약 55%, 액세스는 약 45%).VPN 중심 전략으로 업데이트해야 하는 엔드포인트의 수가 엄청나거나 지난 2년 동안 사이버 공격이 엄청나게 증가했기 때문일 수 있습니다. 조직은 더 이상 연결을 위해 보안을 희생할 의향이 없습니다.
VPN에서 ZTNA로의 전환은 분명히 올바른 방향으로 나아가는 단계이지만 제로 트러스트 여정의 시작에 불과합니다.다음 단계는 ZTNA를 위한 특정 기능 세트를 개발하는 것입니다.VPN은 네트워크와 리소스를 세분화하고 액세스를 제공하는 데 유용합니다.하지만 보안을 극대화하고 엄격한 원격 작업을 지원하기 위해 보안팀은 직원과 기기, 앱과 데이터, 그리고 파트너나 다른 앱에 연결할 수 있는 앱 등 환경에 다시 연결할 수 있는 모든 사람 등 커뮤니케이션의 모든 종단까지 제로 트러스트를 확장해야 합니다.조직은 환경 내에서 통신하는 모든 지점을 살펴보아야 합니다.이러한 양자 간의 흐름이 없는 ZTNA가 제로 트러스트 구축을 위한 올바른 단계이긴 하지만 사용자는 여전히 공격을 받을 수 있습니다.
완전한 제로 트러스트를 구현하는 가장 좋은 방법은 조직이 정책, 가시성, 보고 및 제어 메커니즘을 사용하는 방식에 구애받지 않는 솔루션을 채택하는 것입니다.ZTNA는 완벽하지는 않지만 단일 플랫폼에서 구축할 수 있는 지능형 모델을 만들면 최종 사용자와 관리자 모두를 만족시킬 수 있습니다.
또한 이러한 모델은 사용자 경험을 일관되게 유지하고 IT 부서가 클라이언트를 수천 개의 엔드포인트로 밀어낼 필요가 없도록 합니다.대신 모든 엔드포인트를 건드리지 않고도 모든 것을 구현할 수 있다는 점이 큰 장점입니다.“클라이언트리스 퍼스트 (clientless first)” 접근 방식에서는 클라이언트를 활성화하지 않고 브라우저를 사용하므로 조직 사용자의 대다수를 포괄합니다.
물론 풍부한 ZTNA 모델로 전환하는 것은 하나의 과정입니다.조직의 출발점에 따라 다르지만, 다음 단계를 따르면 이전이 훨씬 쉬워질 수 있습니다.
ZTNA의 시대는 분명히 왔다가 가지 않았습니다. 하지만 액세스와 보안이 아닌 액세스에만 초점을 맞추는 것은 확실히 과거의 일입니다.제로 트러스트에 대한 클라이언트 우선 접근 방식을 채택하여 VPN의 제한과 한계를 극복하면 보안을 극대화하는 동시에 사용자에게 필요한 리소스에 대한 액세스를 제공할 수 있습니다.많은 조직이 이 새로운 전략을 향해 탄탄한 첫발을 내디뎠습니다.이제 조직 환경 전반의 커뮤니케이션의 모든 측면에 제로 트러스트를 적용할 때입니다.
