(월간 시큐리티월드에 기고한 글입니다)

사용자 기기(Device)별 마이크로 세그멘테이션, 에이전트 불필요, 다양한 솔루션 연동으로 제로트러스트 생태계 확장 

원격근무 확산과 클라우드 사용이 늘면서 내부망과 외부망을 구분하는 경계가 불분명해지고 내부망 시스템을 직접 침투하는 공격이 늘어남에 따라 내부 네트워크 보안의 중요성이 더욱 강조되고 있다. 이에 파이오링크는 네트워크 제로트러스트 도입을 검토하고 있는 기관과 기업을 위해 보안스위치를 이용한 ‘티프론트 ZT’로 마이크로 세그멘테이션 기반 내부 네트워크 제로트러스트 보안 모델을 발표했다. 

네트워크 세분화 효과

일반적으로 대규모 경계 분리 네트워크 구조로 정의되어 있는 경우 악의적인 사용자가 네트워크에 침입하면 손쉽게 네트워크 장비를 이동하면서 중요 데이터로 접근이 가능하다. 이를 보완하려면 사용자의 권한에 맞는 네트워크와 애플리케이션 접근을 보장하는 제로트러스트 네트워크 액세스로 전환이 필요하다.

마이크로 세그멘테이션은 네트워크를 여러 부분으로 나누고 사용자와 기기, 애플리케이션에 대해 세분화된 보안 정책과 접근 제어를 적용함으로써 공격자의 횡적 이동을 어렵게 하는 보안 기술로 랜섬웨어가 기업 전체에 확산되지 않도록 하는데 탁월한 효과가 있음이 여러 조사를 통해 확인 되었다.

티프론트 ZT 보안 모델

제로트러스트 아키텍처 보안 모델을 구성하는 접근 방법은 인증체계강화, 마이크로 세그멘테이션, 소트트웨어 정의 경계 보안 모델이 있다. 이 중에서 파이오링크는 보안스위치를 활용한 호스트 기반 마이크로 세그멘테이션을 통해 내부 네트워크에서 제로트러스트를 구현한다. 티프론트 ZT는 보안스위치와 통합관리시스템으로 구성되어 있으며, 보안스위치와 연결된 사용자 기기를 파악, 리소스에 대한 접근을 제어하고 네트워크 가시성을 파악한다. 

▲파이오링크 TiFRONT 제로트러스트 아키텍처

티프론트 ZT의 핵심 구성 요소는 정책결정지점(PDP) 역할을 담당하는 컨트롤러와 정책시행지점(PEP)을 담당하는 스위치로 구성된다. 이는 티컨트롤러 통합관리시스템과 보안스위치 구성으로 개발된 티프론트 클라우드 보안스위치의 기본 구성과 동일하다.

즉, 티프론트 클라우드 보안스위치 자체가 제어 영역과 데이터 영역으로 나누어져 있기 때문에 티프론트 보안스위치 단독으로도 내부망에 대한 제로트러스트를 구현할 수가 있다. 나아가 EDR, NDR, SDP 솔루션과 연동할 경우에는 내·외부망 전체에 대해 제로트러스트 적용이 가능하다.

티프론트 ZT 적용 방향

티프론트 ZT는 네트워크 구성의 필수 요소인 L2 스위치를 기반으로 네트워크 구성 변경 없이 다음과 같이 적용할 수 있다.

① 모든 네트워크 통신은 액세스 스위치를 통해 시작된다.

② 정책결정지점 역할을 수행하는 티컨트롤러에서 리소스를 자산, IP, 서비스 등으로 세부적으로 정의한다.

③ 보안스위치에 연결된 사용자와 기기 정보를 자동으로 식별하고 가시화 한다.

④ 스위치의 물리 포트에 연결된 클라이언트를 기준으로 네트워크 세그멘테이션을 나눈다.

⑤ 세그멘테이션별로 사용자와 기기에 대한 화이트리스트, 블랙리스트 인증 정책을 적용한다.

⑥ 인증된 사용자와 기기에 대해 리소스 접근 정책을 설정한다.

⑦ 보안스위치 보안 엔진에서 실시간으로 사용자 이상행위를 분석하고 비정상적인 접근을 차단하다.

⑧ CTI(Cyber Threat Intelligence)를 통해 실시간으로 외부위협사이트에 접속하는 사용자 단말을 감시한다.

⑨ EDR, NDR, SDP 솔루션과 연동하여 제로트러스트 접근 방법을 확장할 수 있다.

액세스 스위치 레벨에서 제로트러스트 구현 효과

티프론트 보안스위치로 액세스 스위치 레벨에서 제로트러스트 및 마이크로 세그멘테이션을 구현하면 다음과 같은 이점을 얻을 수 있다.

① 이더넷을 사용하는 모든 네트워크 기기의 통신 경로를 제어할 수 있다.

② 다른 제로트러스트 보안 모델과 달리 네트워크 구성에 필수 요소인 스위치를 통해서 내부 네트워크에 대한 제로트러스트를 적용할 수가 있다. 즉 별도로 프로브나 에이전트를 설치할 필요 없이 액세스 스위치를 통해 통신 경로를 제어할 수 있다.

③ 네트워크 디바이스 관리 기능을 통해 사용자, 기기 정보를 자동으로 식별하고 실시간으로 트래픽 사용 현황과 서비스를 모니터링 하여 세분화된 접근 제어 정책을 적용할 수 있다.

④ 일반 L2 스위치는 VLAN과 ACL 등으로 네트워크를 세분화하고 접근제어하기 때문에 네트워크 구성이 변경되면 스위치에 직접 접속하여 설정을 변경해야 하는 번거로움이 있다. 반면 제로트러스트 개념이 적용된 티프론트 보안스위치는 물리적으로 네트워크 망 구조를 나누는 VLAN이 아니라 스위치의 물리 포트에 연결된 클라이언트를 기준으로 관리자가 논리적으로 네트워크를 세분화하기 때문에 기기가 이동하더라도 설정 변경 작업이 필요 없다. 

⑤ 보안스위치에 내장된 전용 보안엔진을 통해 사용자 이상행위를 분석하여 비정상적인 접근을 차단함으로써 내부 보안을 강화할 수 있다.

⑥ 결론적으로 티프론트 보안스위치를 도입하는 것만으로도 사용자와 가장 가까운 액세스망부터 네트워크 인프라 구성 변경 없이 마이크로 세그멘테이션 기반 제로트러스트 보안 모델을 구축할 수가 있다.

네트워크에 대한 향상 수준의 성숙도를 충족

티프론트 ZT는 제로트러스트 핵심요소 중 하나인 네트워크에 대한 향상 수준의 성숙도에 요구하는 수준별 특징을 대부분 충족한다.

▲네트워크 세분화(스위치 물리포트를 최소 단위로 네트워크를 세분화) 

▲위협 대응(보안엔진을 통해 실시간으로 사용자 이상행위를 분석하여 자동 차단) 

▲가시성 및 분석(사용자와 기기 정보를 자동/수동으로 식별) 

▲자동화 및 통합(티컨트롤러에서 네트워크 세분화 및 정책을 통합 적용)

끝으로 제로트러스트는 특정 기술이나 솔루션 아닌 철학으로 도입 즉시 달성할 수 있는 것이 아니며 모든 기업이 반드시 핵심 요소와 주요 기능에 대하여 최적화 수준에 도달해야 할 필요가 있는 것도 아니다.

과기정통부에서 발표한 제로트러스트 가이드라인 1.0에서도 기업의 규모와 네트워크 구성 방식, 접근 주체와 리소스 종류, 보유 자산에 대한 관리 수준과 필요성을 고려하여 최종적인 목표를 설정하는 것이 바람직하다고 설명하고 있다.

반면 티프론트 ZT는 다른 제로트러스트 보안 모델과 달리, 네트워크 구성에 필수 요소인 스위치를 통해서 인프라 구성 변경 없이 액세스 네트워크부터 제로트러스트를 구현하는 방안을 제시하고 있다. 이에 아직 제로트러스트의 전환 목표와 어떤 기업의 솔루션 도입할지 결정하지 못한 기관과 기업이라면 티프론트 ZT를 통해 내부 네트워크부터 마이크로 세그멘테이션 중심의 제로트러스트를 구축할 것을 제안한다.

(월간 시큐리티월드에 기고한 글입니다. 발췌: [2024 제로트러스트 보안 리포트] 제로트러스트, 확인에 확인으로 믿음 더하다)

원문기사 보기