Home > 전체기사

VPN 대신 제로트러스트 접근 모델 선택하는 기업, 좀처럼 늘지 않아

  |  입력 : 2022-06-22 16:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
제로트러스트 모델에 대한 중요성은 거의 모든 기업들이 인지하고 있다. 다만 무슨 일을 어디서부터 어떻게 해야 하는지를 제대로 파악하지 못하고 있다. 그래서 머리로는 제로트러스트를 선택하지만, 손으로는 VPN을 고르고 마는 일들이 일어난다.

[보안뉴스 문가용 기자] 제로트러스트를 도입하려는 계획을 가진 기업들이 많다고 하지만 아직 원격 접근에 주로 사용되는 기술은 VPN이다. 최근 발표된 조사 결과에 의하면 약 90%의 조직들이 아직도 원격에서의 접근을 보호하기 위해 VPN을 사용한다고 하며, VPN을 대체하기 위해 제로트러스트 네트워크 개념으로 만들어진 기술을 도입할 계획이라는 응답자는 1/3도 되지 않았다고 한다.

[이미지 = utoimage]


이는 사피오리서치(Sapio Research)가 1025명의 현업 IT 전문가들을 대상으로 조사해 얻어낸 결과다. 특히 VPN과 ‘제로트러스트 네트워크 접근(ZTNA)’ 기술을 모두 활용해 볼 만한 위치에 있는 사람들을 선정해 조사를 진행했다고 한다. 무려 97%가 제로트러스트의 도입이 가장 시급한 과제라고 답을 함으로써 제로트러스트에 대한 업계의 인식이 매우 긍정적이라는 걸 알 수 있었다. 하지만 제로트러스트 솔루션들을 이제 슬슬 실험해 보거나 살짝 도입하기 시작했다는 응답자는 50%를 겨우 넘었을 뿐이었다.

ZTNA는 가트너가 2019년부터 사용하기 시작한 용어로, 애플리케이션들에 대한 논리적인 접근 방식을 구축하는 기술들 중 아이덴티티와 컨텍스트 기반 요소들을 조합하는 방식을 가진 기술을 광범위하게 일컫는다. 가트너는 2023년까지 약 60%의 기업들이 VPN 대신 ZTNA를 사용하기 시작할 것이라고 예측하고 있다.

“VPN은 기초부터 망가진 네트워크 보안 모델에 붙이는 밴드와 붕대 정도에 불과합니다. 반창고 몇 개로 질병을 다 치료할 수는 없지요.” 가트너의 부회장인 네일 맥도널드(Neil McDonald)의 설명이다. “이제는 기초부터 네트워크의 모델을 다시 다져야 할 때입니다. 연결부터 하고 인증을 염려하는 기존의 방식을 뒤집어, 철저한 인증 후 연결을 허락하는 순서로 가야할 겁니다. 그것이 제로트러스트의 기본 개념이기도 하지요.”

VPN의 문제
VPN 기술의 가장 큰 문제 중 하나는 기업의 네트워크에 접근할 수 있도록 해 준다는 것이라고 딜로이트의 제로트러스트 전문가 앤드류 라플라(Andrew Rafla)는 설명한다. “반면 ZTNA는 원격 사용자들이 특정 애플리케이션이나 특정 자산에만 접근할 수 있도록 해 줍니다. 네트워크 전체가 아니라 딱 필요한 것에만 접속할 수 있는 것이죠. 그러므로 ZTNA를 제대로 활용하려면 중앙 아이덴티티 저장소, 권한 관리 도구, 데이터 보안, 망 분리, 장비 보안 등과 같은 기능들을 갖추어야 합니다.”

라플라는 “제로트러스트 개념을 적용하려면 기본적인 보안 실천 사항도 절대 간과해서는 안 된다”고 강조한다. “IT 자산 관리를 보다 확실히 하고, 설정과 취약점 관리 역시 꼼꼼하게 관리하는 것을 전제로 하는 것이 제로트러스트입니다. 제로트러스트를 도입한다고 저절로 보안이 다 완성되는 게 아니라요. 제로트러스트를 도입한다는 것 자체가 그러한 보안의 요소들을 하나하나 마련한다는 뜻입니다.”

그렇기 때문에 제로트러스트를 도입한다는 걸 제대로 이해하는 기업들은 오히려 제로트러스트의 도입을 부담스러워 한다. 너무나 할 일이 많다고 느끼는 것이다. 사피오리서치의 조사 과정에서 현재 VPN을 사용하는 기업들 중 2/3가 넘는 곳의 담당자들이 “ZTNA를 도입해야 하긴 하는데, 할 일이 너무 많은 게 사실”이라고 답했다고 한다. 아직은 간편한 VPN을 놓지 못하는 것이다.

그 외에 VPN 대신 ZTNA를 사용하기를 주저하게 만드는 큰 요인은 예산이었다. 62%의 응답자가 예산의 부족을 꼽았고, 13%가 제로트러스트가 아직 너무 어렵고, 어디서부터 시작해야 할지 모르겠다고 답했다. 실제로 제로트러스트는 개념 자체가 어려운 건 아니지만, 구현을 하려는 단계에서는 꽤나 난이도가 높은 축에 속한다.

하지만 ZTNA를 실제로 도입하는 데 성공한 기업들 중 대다수는 구축과 도입에 걸리는 시간이 생각보다 그리 길지 않다고 경험담을 공개하기도 했다. 위의 조사를 통해 드러난 평균 도입 시간은 11.5개월이었다. “제로트러스트를 전사적으로 한꺼번에 도입하려니 할 일이 많게 느껴지고 부담스러운 겁니다. 단계별로 천천히 도입할 필요가 있습니다.”

3줄 요약
1. 제로트러스트 중요한 건 알지만, VPN 버리기에는 아쉬움.
2. VPN은 네트워크 전체에 대한 접근 허용, 제로트러스트는 필요한 자산에만 접근 허용.
3. 제로트러스트라는 말 자체가 기본적인 보안 실천 사항들을 도입한다는 이야기.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

한대준 2022.06.23 07:29

공격 당해보면 된다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)