[컴퓨터월드] 모바일 디바이스가 증가하고, 클라우드가 확산됨에 따라 기업 네트워크 환경이 변하고 있다. 모바일 및 클라우드로 인해 기업 네트워크를 내부와 외부로 구분하던 경계가 사라지고 있기 때문이다. 이로 인해 네트워크, 시스템 등 모든 것을 의심하고 검증해야 한다는 ‘제로트러스트(Zero Trust)’ 보안 모델이 주목받고 있다.

펄스시큐어(한국지사장 박경순)는 지난달 19일 서울 코엑스에서 제로트러스트 보안 환경을 구현하기 위한 ‘시큐어 액세스(Secure Access)’ 기술 트렌드를 공유하기 위해 ‘2020 제로트러스트 세미나’를 개최했다. 이번 세미나에서는 제로트러스트를 위한 보안 기술 트렌드와 함께 ‘소프트웨어 정의 경계(SDP: Software Define Perimeter)’에 대해 설명했다. ‘2020 제로트러스트 세미나’ 현장을 살펴봤다.

제로트러스트 구현 위해 ‘시큐어 액세스’ 솔루션 제공

이날 세미나는 조 시노렐리(Joe Signorelli) 펄스시큐어 아시아·태평양 및 일본지역 부사장의 환영사로 시작했다. 조 시노렐리 부사장은 “최근 전세계적으로 시큐어 액세스를 주목하고 있다. 유럽의 개인정보호보규정(GDPR)과 같이 보안 컴플라이언스가 강화되고 있으며, 특히 인도, 미국, 일본 등 많은 국가에서 망분리 등이 규정에 추가되고 있는 추세”라고 말했다.

이어 박경순 펄스시큐어 한국지사장이 시큐어 액세스 마켓 트렌드’에 대해 설명했다. 박경순 지사장은 “펄스시큐어는 2014년 주니퍼네트웍스에서 가상사설망(VPN), 네트워크 접근 제어(NAC) 솔루션 분야를 분사해 설립된 기업으로, 현재 2만여 개의 고객사, 1,800만여 명의 사용자를 관리하고 있다. 특히 포츈지 선정 500대 기업의 80%가 펄스시큐어 솔루션을 사용하고 있으며, 관련 특허 250여개를 보유한 기술 특화 기업”이라고 소개했다.

박경순 지사장은 초기 시큐어 액세스는 VPN이었다고 설명했다. 이전에는 모바일 디바이스가 많지 않았기 때문에 사내 PC의 기업 리소스 접근이 문제였다. 이 당시에는 기업 네트워크 내 PC, 서버 등은 믿을 수 있는 것으로 인식해왔다. 하지만 보안 사고 중 상당수가 기업 내부에서 시작된 사고들이었다.

더불어 최근 클라우드, 온프레미스 등을 혼용하는 하이브리드 IT 환경이 조성되면서, 기업 리소스에 접근하는 방법 중 안전한 방법을 찾기 위해 시큐어 액세스가 더욱 주목받고 있다. 더불어 기업 네트워크에 다양한 기기가 연결되고 있다. PC뿐만 아니라, 스마트폰, 프린터, TV 등 다양한 기기가 네트워크를 통해 인터넷에 접속한다. 이렇게 복잡해지는 네트워크 환경에서 장애가 생기는 경우 원인을 찾기 힘들다.

하이브리드 IT 환경 및 디바이스 증가 등 복잡해지는 기업 네트워크 환경과 내부에서 시작되는 보안사고들로 인해 네트워크, 시스템 모두 신뢰하지 않는 제로트러스트 모델이 강조되고 있다. 제로트러스트는 모든 것을 의심하고 검증한다는 개념이다. 방화벽, 안티바이러스, NAC 등 보안 솔루션도 신뢰하지 않는다.

최근 리서치 기관에서 조사한 시큐어 액세스 마켓 트렌드를 살펴보면, ▲클라우드 마이그레이션 ▲어디서든 가능한 앱 접근 ▲신뢰할 수 있는 도메인은 존재하지 않는다 ▲디바이스의 다양화 ▲공격표면 증가 등이 강조됐다.

“기업 보안 담당자 91%, 시큐어 액세스 관련 예산 증가시켜야”

펄스시큐어는 IDG와 함께 미국 및 영국 등 1,000명 이상의 기업 담당자 300명을 대상으로 설문조사를 실시해, 기업의 시큐어 액세스 현황을 분석한 바 있다. 이 조사결과 응답자의 44%는 데이터센터와 퍼블릭 클라우드를 혼용하는 하이브리드 환경을 구축하고 있었으며, 26%는 데이터센터, 프라이빗 클라우드, 퍼블릭 클라우드 모두를 사용하고 있었다. 또한 30%는 데이터센터와 프라이빗 클라우드를 쓰고 있다고 응답했다. 즉, 모든 기업이 하이브리드 환경을 구축하고 있는 것으로 분석됐다.

이 설문에서 주목해야 할 부분은 응답자의 61%가 보안 문제가 발생했을 때, 조치에 자신이 없다고 응답했다는 것이다. 응답자의 55%는 멀웨어가 가장 큰 보안문제라고 답했으며, 52%는 인가되지 않은 엔드포인트 및 사용자의 접근, 49%는 모바일 및 웹 앱의 증가로 인한 사고도 우려된다고 밝혔다. 46% 응답자는 권한이 있는 사용자의 접근도 걱정이라고 이야기했다.

▲ 박경순 지사장은 “펄스시큐어가 제안하고 있는 SDP 솔루션을 통해 제로트러스트를 구현할 수 있다고”고 말했다.

기업의 보안을 강화하기 위해 어떤 조치를 취하고 있는가 라는 설문조사 결과 48%가 엔드포인트의 보안성을 강화하고 엔드포인트가 자원에 접근하기 전에 액션을 취해야한다고 응답했다. 46%는 IoT 디바이스에 대한 보안 및 가시성을 고민했다. 특히 응답자의 91%가 시큐어 액세스 부분에 대해 예산을 증대시키겠다고 말했다. 응답자의 30%는 15~25% 더 예산을 높여야 한다고 강조했다. 박경순 지사장은 “이런 추세를 보면, 기업들이 보안에 대한 예산을 점차 늘리고 있는 것으로 생각된다”고 설명했다.

시큐어 액세스 트렌드 관련 질문에서 응답자들은 성능과 확장성이 가장 중요하다고 꼽았다. 두 번째는 데이터센터 및 클라우드 플랫폼 지원이다. 세 번째는 사용자 경험, 클라이언트 및 클라이언트 리스 방식을 고민하고 있었다.

기업들은 시큐어 액세스를 구축하기 위해 39%는 VPN을 도입하고 있었으며, 38%는 멀티팩터 인증을, 37%는 네트워크 접근 제어(NAC) 도입을 고려하고 있는 것으로 나타났다. 이외에도 클라우드 접근 보안 중개(CASB) 등이 고려되고 있었다.

박경순 지사장은 ‘소프트웨어 정의 경계(SDP)’는 제로트러스트를 구현하기 위한 방법론이라고 소개했다. 박 지사장은 “제로트러스트를 구현하기 위해 가장 중요한 것은 사용자 및 디바이스에 대한 인증이며, 이외에도 정책 관리 및 이동되는 데이터에 대한 보호가 중요하다”면서 “펄스시큐어가 제안하고 있는 SDP 솔루션을 통해 이를 만족시킬 수 있다”고 설명했다.

“허가된 사용자만 기업 리소스에 접근할 수 있도록 지원”

박경순 지사장에 이어 홍성태 펄스시큐어코리아 부장이 ‘제로트러스트와 SDP’ 주제발표를 진행했다. 홍성태 부장은 “최근 기업들이 클라우드를 도입하는 환경이 매우 다양하다. 기업에서 새로운 서비스 론칭을 클라우드에서 하는 시범 사업도 있으며, 명절 등 특정 이벤트에 맞춰 트래픽을 클라우드로 분산하는 경우도 있다”면서, “이렇듯 다양하게 클라우드가 도입되면서 기업의 자원이 분포돼 있는 포지션이 늘어나고 있으며, 외부에 노출되는 서비스 또한 많아지고 있다”고 말하며 발표를 시작했다.

그는 더 이상 기업의 내부와 외부를 구분하는 것은 불가능하며, 최근 보안 트렌드는 신뢰성보다 사용자 및 디바이스 등 모든 액세스 포인트를 검증하고 있다고 설명했다. 더불어 하이브리드 IT 환경에서는 안정적인 시스템 구축을 위해 관리자 입장에서 기업의 자원이 어떻게 분포돼 있고 접근하는 디바이스 및 사용자에 대한 가시성이 필수적이라고 강조했다. BYOD 등 연결 디바이스가 많아지고 다양한 환경에서 기업 자원에 접근함에 따라 더욱 많은 포인트에서 접근 제어해야 하며, 이를 일관된 정책으로 관리해야한다는 과제가 부각되고 있다는 것이다.

▲ 홍성태 부장은 “기업의 내부와 외부를 구분하는 것은 불가능하며, 최근 보안 트렌드는 신뢰성보다 사용자 및 디바이스 등 모든 액세스 포인트를 검증하고 있다”고 설명했다.

제로트러스트란 기업의 내·외부를 구분하지 않고 허가된 사용자만이 리소스에 접근할 수 있도록 정책을 설정하고, 접속하기 전 모든 것을 인증하며 ID 역할 장치, 앱, 자원, 연결, 단말장치 보안 상태, 행동 등을 확인하는 것이다.

펄스시큐어의 VPN, NAC은 사용자가 내부에 접속하기 위해 다중인증을 거쳐, 단말에 대해 검사를 진행하도록 정책이 설정돼 있다. 싱글사인온이나 멀티팩터 인증으로 유저를 검증하며, 모든 사용자는 인증 후 권한을 획득, 기업의 자원을 이용할 수 있게 된다. IP나 접속 위치 등을 통해 사용자의 환경을 분류할 수 있으며, 프로파일링을 위한 인증을 진행한다.

이를 위해 중앙집중식 통합 정책관리 및 시행을 지원하며, 고객사는 ▲통합 관리 플랫폼 ‘펄스원(Pulse One)’ ▲SDP 게이트웨이 ‘펄스커넥트시큐어(PCS)’ ▲‘펄스 클라이언트’ 등을 통해 통합된 보안 관리 체계를 구축할 수 있다고 설명했다. 마지막으로 홍 부장은 펄스시큐어의 서비스는 에센셜, 어드밴스드, 엔터프라이즈 등 3단계로 제공되며, 엔터프라이즈는 NAC 솔루션을 포함한 모든 기능을 이용할 수 있다고 설명했다.

<인터뷰> “원격 근무 증가로 ‘시큐어 액세스’ 수요 증가” 조 시노렐리(Joe Signorelli) 펄스시큐어 아시아·태평양 및 일본지역 부사장       ▲ 조 시노렐리 펄스시큐어 아시아·태평양 및 일본지역 부사장 “전세계적으로 원격 근무가 확산됨에 따라 ‘시큐어 액세스’ 수요도 빠르게 늘고 있다. 특히 일본의 워크스타일 이노베이션 추진 등으로 인해 관심이 높아지고 있다.” 이번 ‘펄스시큐어 2020 제로트러스트 세미나’ 참석을 위해 방한한 조 시노렐리(Joe Signorelli) 펄스시큐어 아시아·태평양 및 일본지역 부사장은 최근 글로벌 트렌드에 대해 설명하며 이같이 밝혔다. 조 시노렐리 부사장은 “최근 VPN과 NAC은 죽었다고 말하는 사람들이 있다. 실제 글로벌 트렌드를 살펴보면, 기술이 죽은게 아니라 구현하는 방법이 달라지고 있다. 특히 금융권에서는 원격 접근에 대한 요구사항이 늘어나고 있다”고 강조했다. 이어 “제로트러스트나 SDP는 최근 만들어진 새로운 개념이 아니다. 원격접근에 대한 보안 서비스 중 하나”라고 설명했다. 조 시노렐리 부사장은 “시큐어 액세스와 관련해 나라별로 요구사항이 다르다. 일본을 예로 들면 워크스타일 이노베이션이 추진되면서 자택근무를 권장하고 있다. 원격 근무를 권장함으로써 출퇴근에 소요되는 자원을 절약하고, 업무의 효율성도 높인다는 것이다. 미국과 유럽에서는 헬스케어 컴플라이언스, GDPR 등 규제가 강화되고 있다. 또한 고객들은 보안 솔루션을 구축하면서 단일화된 보안 환경을 요구하고 있다. 즉 다양한 보안 솔루션을 통합해 관리할 수 있는 플랫폼이 강조되고 있는 것”이라고 말했다. 다음은 조 시노렐리 부사장과의 인터뷰를 문답식으로 정리한 것이다. “대기업 중심 빅딜 공략” Q. 이번 방한의 목적은? 나는 아태 및 일본 시장을 총괄하고 있다. 펄스시큐어는 유럽 및 중동·아프리카(EMEA), 아메리카, 아시아로 사업영역을 나누고 있으며, 특히 아태 및 일본 지사가 높은 성장률을 보이고 있다. 이번 방한은 고객들의 요구사항을 살치고, 파트너 비즈니스 및 시장 트렌드를 살펴보기 위해서다. Q. 한국 시장의 특징은? 한국 시장은 다른 지역에 비해 작은 시장이지만, 많은 도전과제가 있는 곳이다. 한국 고객사들도 글로벌 고객사와 유사한 요구사항을 이야기 하고 있다. 더불어 현재 빠른 속도로 클라우드 전환이 진행되고 있어 ‘시큐어 액세스’ 시장이 더욱 커질 것으로 전망하고 있다. 펄스시큐어는 한국 시장에서 주니퍼네트웍스의 VPN, NAC 솔루션 교체 수요를 중점적으로 공략하고 있다. 특히 한국 시장 공략을 위해 한글화 등 현지화를 적극적으로 추진하고 있다. 특히 최근에는 파트너 교육 프로그램을 현지 언어로 만드는 작업에 집중하고 있다. 중국어, 일본어, 한국어 등으로 지역에서 SDP, 기술 및 시장 트렌드를 학습할 수 있도록 지원하며, 파트너 채널 트레이닝까지 확대할 방침이다. 한편으로 한국의 대기업들을 상대로 한 빅딜에 집중할 계획이다. 대기업을 공략해 기업 표준으로 지정되면 전세계적으로 수요가 발생한다. 이를 통해 고성장을 노린다는 전략이다. “통합적인 시큐어 액세스 솔루션은 펄스시큐어 뿐” Q. 경쟁사는 어디며, 펄스시큐어의 특장점은 무엇인가? 주로 VPN 분야에서는 시트릭스, 팔로알토네트웍스, 시스코 등과, NAC 분야에서는 포어스카우트, HPE아루바 등과 경쟁하고 있다. 펄스시큐어는 VPN 및 NAC, ADC(Application Delivery Control) 등에 대한 역량을 유일하게 갖추고 있다는 점에서 경쟁사들과 차별화된다. Q. 제품 개발 방향은 어떠한가? 펄스시큐어는 시큐어 액세스를 고도화하는 한편, 연동할 수 있는 좋은 솔루션이 있다면 인수하는 방향도 함께 고려하고 있다. 최근에는 CSP 비즈니스, MSP 비즈니스를 강화하고 있으며, SaaS 기반의 시큐어 액세스 솔루션 등을 준비하고 있다. 펄스시큐어는 최근 클라우드가 빠르게 확산됨에 따라 클라우드 보안에 대한 투자 수요를 선점하기 위해 ‘클라우드 환경에서의 시큐어 액세스’에 중점을 두고 기술을 발전시키고 있다. 이처럼 보안 기술도 빠르게 변화하고 있는 시점에서 고객사들도 지금 보안 기술에 집중하는 것이 아닌, 미래 기술에 대한 전략적인 투자가 필요하다.