하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2021이 11일위드코로나 상황에서 안전하게 성황리에 개최됐다.
PASCON 2021은 정보보안 전문 미디어 데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회 후원으로 개최됐으며 공공, 금융, 기업 각 분야 정보보안 및 개인정보보호 책임자, 실무자들이 대거 참석했다.
이 자리에서 타이거CNS 황석훈 대표는 ‘제로 트러스트 보안 아키텍쳐의 첫걸음’이란 주제로 강연을 진행했다.
황 대표는 “최근 IT 도전 과제는 반복적으로 발생되는 해킹 사고와 디지털 트렌스포메이션 그리고 재택근무”라고 말하며 “기존 보안이 현재 상황에 대응하지 못하고 있다. 그 이유는 사용자 중심이 아닌 네트워크 경계에만 집중하고 있으며 공격 접점은 늘어나고 복잡해진 보안시스템이 민첩성을 저해하고 있다”고 설명했다.
경계선 보안, 레이어드 네트워크 시큐리티(Layered network security)로는 한계있다는 지적이다. 반복되는 보안사고를 막기 위해서는 새로운 보안 아키텍쳐 수립이 필요하다는 것이다.
더욱이 퍼블릭 클라우드로의 전환이 증가하면서 경계선이 모호해지고 접속대상, 접속위치, 디바이스가 다양화됐다. 이런 상황은 보안 측면에서 새로운 이슈들을 대두시키고 있는 것도 현실이다.
재택근무로 인한 원격접속시 보안문제도 이슈다. 원격 접속자의 보안을 어떻게 확보하느냐의 문제다. VPN 허용시 측면이동이 용이하기 때문에 통제의 어려움을 겪고 있다.
이러한 경계 보안의 한계를 극복하기 위한 새로운 대안이 바로 ‘제로 트러스트 보안’이다.
황 대표는 “제로 트러스트 보안은 무조건 신뢰하지 말고 지속적으로 확인하라는 것이다. 최근 제로 트러스트의 영역은 확대되고 있다. 네트워크 이외 영역으로까지 확대되고 있으며 IT 전 영역에 효율적인 보안 모델로 인식되고 있다”고 설명했다.
제로 트러스트 구현을 위한 3단계는 다음과 같다.
1단계는 통합 ID 및 접근 통제 단계다. ID 인식기반 접근 정책과 네트워크 접근 축소, 리소스의 인터넷 비노출, 기본적인 네트워크 보안과 인프라의 통합이 기본이 되어야 한다.
2단계는 컨텍스트 액세스 정책이다. 정확한 네트워크 액세스, 최소한의 권한 원칙 적용, 트랜스페어런트 UX, 진보된 네트워크 보안과 인프라의 통합, 향상된 비즈니스 민첩성 및 연동이 이루어져야 한다.
3단계는 비즈니스 프로세스 중심 액세스 정책이다. 동적 네트워크 액세스를 사용자와 워크로드 속성 및 위험에 맞게 조정하고 네트워크를 단순화하며 도구 및 시스템에 대한 광범위한 연동이 구현돼야 한다.
특히 제로 트러스트 보안 아키텍쳐 구현은 신원(Identity) 중심의 SDP(Software Defined Perimeter) 구현이 핵심이다.
SDP는 모든 사용자를 위해 보안을 단순화하고 개선하는 통합 보안 플랫폼이다.
SDP 작동원리는 다음과 같다.
△Single-Packet Authorization(SPA)을 사용해, 클라이언트는 콘트롤러에 접근 허가를 요청한다.
△컨트롤러는 컨텍스트를 점검하고 클라이언트에 실시간 접근자격을 제공한다.
△SPA을 이용해 클라이언트는 실시간 접근자격을 게이트웨이에 전송하고 이에 따라 해당 애플리케이션을 찾아낸다
△세션에 하나의 동적 네트워크 세그먼트가 생성된다.
△지속적으로 변경된 사항이 없는지 확인하고 이에 따라 하나에 세그먼트에 적용한다.
지속적으로 인가된 사용자가 맞는지 확인하고 맞지 않으면 세션을 끊어버리는 것이 SDP 기술이다.
이어 황석훈 대표는 제로 트러스트 솔루션으로 ‘앱게이트(appgate) SDP’를 소개했다. 앱게이트는 포레스터 제로 트러스트 네트워크 액세스 부문 리더로 선정된 솔루션이다.
‘앱게이트(appgate) SDP’의 특징은 신원 중심(Identity 기반)이다. IP가 아닌 사용자 중심, 디렉토리 서비스 및 IAM과 연동 그리고 비즈니스와 위험 상황을 인식하는 것이 특징이다.
또 ‘실시간 접근자격(Live Entitlement)’ 기능을 통해 동적 및 컨텍스트를 감지하고 지속적으로 모니터링 한다. 사용자 별 접근 가능 시스템을 실시간으로 모니터링 할 수 있다. 이를 통해 사용자의 소속/장치의 보안 상태, 접속 시간 등의 컨텍스트에 따라 자동으로 정책을 적용할 수 있다. 예를 들어, 사용자 위치가 바뀌어서 와이파이로 접속한다면, 기밀 데이터에 접속하지 못하도록 정책을 통해 자동으로 제한 조치가 가능하게 된다.
더불어 사용자와 애플리케이션간의 마이크로 세그멘테이션이 생성돼, 강력한 보안을 제공한다. 안전한 암호화 통신, 승인된 자원에만 사용자 연결, 측면 이동 문제 제거, 필요에 따라 실시간으로 접근 조정, 다중 터널 기능으로 하이브리트 IT 환경을 지원하는 것이 특징이다.
또 API 제공으로 기존 인프라와 통합이 자유롭다는 점, 그리고 SPA(Single Packet Authorization)로 해킹을 방지하는 기능이다.
황석훈 대표는 “기존 SSL의 경우는 TCP 세션을 맺은 후, 해당 서비스에 대해서 식별이 가능해 SSL 취약점등을 통해 해킹이 가능했지만, SPA를 사용하는 경우, 에이전트 설치시 장치를 컨트롤러에 등록할 때 고유한 키값으로 등록한 후, 그 다음에 사용자 인증을 진행하기 때문에, SPA를 사용하지 않은 경우 포트스캔이나 서비스에 대한 취약점 스캔 등이 불가능하다”며 “앱게이트 SDP는 에이전트·컨트롤러·게이트웨이가 모두 SPA를 사용해 강력한 보안 기능을 제공한다”고 강조했다.
앱게이트 SDP를 사용할 경우, 사용자는 본인 계정으로 로그인 시, 사이트별(클라우드/데이터센터 등) 본인에게 접근이 허용된 애플리케이션만 보게 되며, 접속하고자 하는 애플리케이션을 시작할 때 해당 애플리케이션에서 요구되는 요구 사항에 따라 해당 요구사항을 준수시에만 사용이 가능하게 된다.
앱게이트 SDP는 국제 CC EAL 2+ 인증을 받은 SDP 솔루션 중 유일한 제품이며 미국 국토안보부 CDM에 등재된 제품이다.
포레스터는 앱게이트 SDP를 Forrester Wave LEADER 선정하며, 하이브리드 환경에서 단순하면서도 효율적으로 현존하는 보안문제를 해결하는 것을 찾는 엔터프라이즈 기업이라면 반드시 Appgate 솔루션을 검토해야 한다고 말한다.
황석훈 대표는 활용 사례를 들며 “Appgate SDP는 모든 사용자를 동등하게 취급하고 접속이 허용되는 IP주소 여부만 판단하는 VPN과 달리 비지니스 및 위험 수준에 따른 ID기반으로 접근 권한을 부여하고 사용자와 승인된 시스템 간의 안전한 1:1 암호화 연결, 비인가 자원은 완전히 보이지 않게 하고 내부 네트워에서 측면 이동을 불가능하게 해 해커의 내부 시스템 공격을 차단하게 된다”고 설명했다.
또 “Appgate SDP는 이기종 환경에서 작동해 통합 보안 접근제어 솔루션을 제공하고 네트워크 보안을 단순화한다”며 “단계별 마이그레이션 계획 및 실행이 간소해지고 동적 자격으로 가동중지 시간 감소, 모든 클라우드에서 통합된 정책 프레임워크를 제공할 수 있고 클라우드 공급업체의 종속성을 제거할 수 있다”고 덧붙였다.
더불어 “Appgate SDP는 개발자에게 안전하고 자동화된 다중 터널 접근을 제공해 VPN 장애물을 제거하고 생산성을 극대화할 수 있다”고 강조했다.
PASCON 2021 발표자료는 아래 링크에서 다운로드 가능하다.(프로그램란 참조)
[FICCA2021] 아시아 금융&산업 사이버보안 컨퍼런스 2021에 보안담당자 여러분을 초대합니다.
-주최: RALFKAIROS(랄프캐로스)
-공동주최: 데일리시큐
-날짜: 2021년 11월 26일(금) 온라인(무료참관)
-참석대상: 국내 및 해외 공공, 기업, 금융기관 CISO, 정보보안실무자
-강사: 국내·외 최고 사이버보안전문가 초청강연(통역지원)
-무료참관등록: 클릭
▶지금 사전등록하세요!
★정보보안 대표 미디어 데일리시큐!★