[컴퓨터월드] 전 세계 기업들이 VPN(가상사설망) 솔루션의 취약점을 노린 해킹 공격에 속수무책으로 당하고 있다. VPN은 외부에서 사내 시스템으로 접속이 필요할 때 편리하게 사용할 수 있다는 점에서 전 세계적으로 각광받았지만, 해커들의 공격 통로로 악용되면서 근본적 구조상 한계가 드러났다는 평가다. 이에 사이버 보안의 차세대 패러다임으로 꼽히는 제로 트러스트 기반의 보안 체계를 갖추기 위해서는 우선 VPN부터 혁신해야 한다는 목소리가 나오고 있다. 

VPN 타고 사내 시스템 침입…주요 벤더 제품 모두 공격 대상

VPN을 거쳐 사내 시스템에 침입, 고객 정보 및 핵심 비즈니스 정보를 탈취하는 해킹 사고가 최근 몇 년간 국내외를 막론하고 지속적으로 발생하고 있다.

국내에서는 반도체 부품 제조사 해성디에스가 대표적 VPN 해킹 사례로 언급된다. 지난 2023년 10월 해성디에스는 SSL VPN 장비의 취약점을 악용당해 7만 3천여 명의 개인정보가 유출되는 사고를 당했다. 회사는 결국 올해 7월 개인정보보호위원회로부터 3억 4천여 만원의 과징금을 부과받았다.

해성디에스는 VPN 장비에 대한 보안 업데이트가 필요하다는 사실이 공지됐음에도 해킹 사고 당시까지 취약점 조치를 하지 않았던 것으로 확인됐다. 지난 2021년 있었던 한국항공우주산업(KAI)과 한국원자력연구원 해킹 사건도 모두 VPN 취약점을 악용한 공격이었던 것으로 밝혀졌다.

2025년 1분기에도 VPN 취약점을 악용한 공격은 계속되고 있다. SK쉴더스 침해사고 대응팀에 따르면, 올해 1분기 해킹사고의 절반 이상이 VPN 장비의 보안 취약점을 통해 이뤄진 것으로 나타났다. 국내 최대 해킹 사고 중 하나로 기록된 SK텔레콤 유심 정보 해킹 사건 역시 최초 사내 시스템에 접근한 경로로 VPN이 지목된 바 있다.

해커들은 VPN 장비의 취약점을 악용해 내부망에 침투한 후 정상 직원처럼 자유롭게 시스템을 이동하며 랜섬웨어를 심거나 정보를 유출하는 지능형 지속 공격(APT) 방식을 구사하고 있다. 취약점이 있는 소프트웨어를 패치하지 않고 사용한 사용자의 과실도 지적되기는 하지만 이반티, 포티넷, 소닉월, 시스코 등까지 주요 보안 장비 벤더들의 VPN 솔루션이 모두 공격 대상이라는 점에서 보안 전문가들은 VPN의 근본적 한계를 지적하고 있다.

태생적 한계 지적…지속 검증하는 제로 트러스트 솔루션으로 전환해야

연이은 VPN 보안사고는 기존 경계 기반 보안 모델의 한계를 여실히 보여준다. 일단 VPN 솔루션을 통해 네트워크 내부에 들어온 사용자에게는 사내 시스템에 접근할 수 있는 권한과 신뢰가 부여되기 때문이다. 즉 VPN을 통해 사내 시스템에 관리자 계정으로 로그인해 한번 인증만 되면 내부망 전체에 접근할 수 있는 구조적 취약점을 갖고 있는 것이다. 특히 VPN은 네트워크 경계를 허무는 솔루션이라는 점에서 태생적으로 공격의 통로가 될 수밖에 없다는 게 전문가들의 지적이다.

국내 보안 업체 관계자는 “VPN의 가장 큰 문제는 한 번 인증되면 전체 네트워크에 대한 접근 권한을 부여한다는 점이다. 이는 사용자가 네트워크에 연결되면 모든 리소스에 접근할 수 있음을 의미하며, 과도한 권한 부여로 이어질 수 있다”면서 “특히 공격자는 내부망을 자유롭게 이동하며 횡적 이동(Lateral Movement) 공격을 통해 피해를 확산시킨다”고 설명했다.

반면 제로 트러스트는 ‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’는 원칙 하에 모든 접근 요청에 대해 지속적인 검증을 요구하는 개념으로, 네트워크 내·외부를 구분하지 않고 모든 요소에 대해 동일한 수준의 검증과 통제를 적용하는 보안 모델이다.

이러한 제로 트러스트 개념을 네트워크 경계에 접목한 솔루션으로 크게 ▲‘ZTNA(제로 트러스트 네트워크 액세스)’와 ▲‘SDP(소프트웨어 정의 경계)’ 등 2가지 솔루션이 있다. ZTNA는 제로 트러스트의 원칙 하에 지속적인 인증과 애플리케이션 수준의 세분화된 접근 제어를 제공한다. SDP 역시 인증되지 않은 사용자에게는 네트워크 자원을 아예 숨기는 방식으로 공격 표면을 최소화한다.

제로 트러스트 원칙에 따르는 ZTNA

ZTNA는 제로 트러스트 원칙에 따라 네트워크 위치와 관계 없이 모든 접근 시도를 신뢰하지 않은 상태에서 검증한다. 사용자 신원과 장치 상태, 위치, 시간 등 여러 상황 정보를 토대로 매번 인증하며, 인증이 완료돼도 권한을 최소한으로 부여한다. 또한 애플리케이션 수준의 세분화된 접근을 제공해 사용자가 전체 네트워크가 아닌 업무에 필요한 특정 애플리케이션에만 접근할 수 있도록 한다. 이를 통해 공격자의 침투를 차단하고, 설령 침입에 성공한다 해도 횡적 이동을 방지해 접근 가능한 영역을 최소한으로 제한한다.

또한 단순한 아이디(ID) 및 비밀번호(PW) 인증에서 벗어나 다중 요소 인증(MFA)과 생체인증을 기본으로 지원한다. FIDO2(Fast Identity Online 2) 인증 표준을 지원해 지문 등 생체인증 기능을 통한 강력한 MFA 운영이 가능하다. FIDO2는 웹 서비스 환경에서도 생체인증이 가능하며, UAF(패스워드 없이 사용)와 U2F(패스워드와 함께 사용) 방식이 결합된 이상적인 인증방식으로 평가받고 있다.

더 중요한 것은 ZTNA의 지속적 검증 능력이다. 초기 연결 시 사용자 인증을 수행한 후 추가적인 인증이나 모니터링이 이뤄지지 않는 VPN과는 달리, ZTNA는 연결 후에도 지속적인 인증과 모니터링을 통해 사용자 행동과 디바이스 상태를 계속 확인한다. 보안 조건이 변경되면 세션을 종료하거나 재인증을 요구할 수 있어 보안 상태를 지속적으로 유지할 수 있다.

또한 ZTNA는 컨텍스트 기반 접근 제어를 통해 사용자의 역할, 디바이스 상태, 위치 등의 다양한 요인을 고려하면서 동적으로 접근을 허용하거나 거부한다. 이는 단순히 자격 증명만으로 접근 권한을 결정하는 VPN과는 차원이 다른 보안 수준을 제공하는 것이라 할 수 있다.

‘보이지 않는 경계’와 SW로 ‘잘게 나눈’ 네트워크의 SDP

SDP도 목적지, 즉 대상 시스템을 보이지 않게 하는(Invisible) 접근 방식을 통해 VPN과는 근본적으로 다른 보안 철학을 구현한다. SDP는 과학기술정보통신부 및 한국인터넷진흥원(KISA)의 제로 트러스트 가이드라인에서 3가지 핵심 구현 원칙 중 하나로 소개될 만큼 그 중요성을 인정받고 있다.

SDP는 네트워크에 움직이는 보안 경계를 만들어 공격자가 특정 자원을 인지하거나 탐지하기 어렵게 만드는 것이 핵심이다. 이는 ‘다크 클라우드(Dark Cloud)’ 또는 ‘블랙 클라우드’ 개념으로 표현되며, 마치 네트워크나 주요 자원에 검은 상자를 씌워 안의 내용이 보이지 않게 하는 것과 같다. 즉 SDP는 물리적 네트워크 경계가 아닌 소프트웨어 기반으로 접근에 대한 ‘논리적 경계’를 구현한다. 이를 통해 네트워크를 애플리케이션이나 디바이스 단위로 잘게 나누는 마이크로 세그멘테이션을 구현할 수 있다.

기존에는 네트워크를 부서별이나 층별로 크게 나눴다면, 마이크로 세그멘테이션 기술로는 개별 애플리케이션이나 디바이스마다 별도의 보안 구역을 만들 수 있다. 마치 큰 사무실을 여러 개의 작은 독립된 방으로 나눠 각 방마다 별도의 열쇠와 보안 규칙을 적용하는 것과 같다. 이러한 세분화를 통해 기업 방화벽 밖에 있는 클라우드 서버나 원격 근무자의 기기까지도 동일한 수준으로 보호할 수 있으며, 침해 발생 시 횡적 이동을 차단해 피해 범위를 최소화할 수 있다.

또한 SDP는 내부에서 허용한 연결만 수행하는 아웃바운드 구조를 통해 외부에서 들어오는 인바운드 공격 경로를 원천 차단한다. 즉 SDP 게이트웨이가 컨트롤러로부터의 연결만 받아들이고 외부로부터의 직접적인 연결 요청은 거부함으로써, 권한이 없거나 승인되지 않은 사용자가 네트워크 및 애플리케이션 인프라를 볼 수 없도록 하는 것이다.

더불어 SDP의 강력한 인증 체계는 사용자와 디바이스 모두에 대한 다층 검증을 제공한다. MFA, 생체인증, 공개 키 인프라(PKI) 기반 인증 등 고급 인증 솔루션을 지원해 사용자의 신원을 보장한다. 동시에 디바이스 무결성 검증, 보안 상태 평가(Posture Assessment), 지리적 위치 확인 등까지 더해 연결에 사용되는 디바이스의 신뢰성을 판단한다. 이러한 고려들을 바탕으로 중요한 데이터나 리소스에 대한 접근을 회사 디바이스 또는 보안 정책을 준수하는 디바이스로만 제한할 수 있다.

보안 강화는 기본, 성능과 사용자 경험도 개선

ZTNA와 SDP는 보안 강화뿐만 아니라 성능과 사용자 경험 면에서도 VPN을 크게 앞선다. VPN이 모든 트래픽을 기업 네트워크를 통해 백홀링하는 방식으로 인해 성능 저하와 연결 문제를 야기하는 것과 달리, ZTNA는 애플리케이션에 직접 연결하는 방식으로 빠르고 원활한 연결을 제공한다.

ZTNA 기반의 업무 환경에서는 조직 내·외 사용자 모두가 위치, 네트워크 환경, 단말 유형에 관계 없이 일관된 애플리케이션 접속 환경을 누릴수 있다. 기존 VPN 방식은 트래픽이 중앙 데이터센터 또는 본사 게이트웨이를 우회하는 ‘헤어핀’ 구조로 인해 원격지 사용자가 클라우드나 SaaS 애플리케이션에 접속할 때 지연(latency)이 커지고 병목으로 인한 성능 저하 현상이 발생할 수 있다.

반면 ZTNA는 사용자의 실제 위치에 근접한 클라우드 노드 또는 엣지 게이트웨이를 통해 최적의 경로로 트래픽을 연결해준다. 덕분에 애플리케이션 응답 속도가 빨라지고, 대역폭 낭비 없이 고성능·저지연의 연결 품질을 유지할 수 있다.

특히 ZTNA는 애플리케이션별로 액세스를 세분화해 제어하고, 트래픽 터널링 기능을 지원해 각 애플리케이션에 따라 개별적으로 암호화된 트래픽을 분리·전송한다. 이를 통해 다수의 클라우드 서비스(SaaS) 및 사내 리소스에 동시 접속할 때도 각 세션별로 보안성과 성능이 보장된다. 또 관리자는 중앙 정책 기반에서 접속 품질을 모니터링하고, 위험 요인 발견 시 실시간으로 정책을 조정할 수 있어 대역폭 부족, 우회 구간 복잡성 증가와 같은 네트워크 혼잡 없이 서비스 운영이 가능하다.

결과적으로 ZTNA는 예측할 수 없는 공용/사설 네트워크 환경, 다양한 단말 및 이동성 요구 조건 모두에서 ‘사용자 중심의 일관되고 최적화된 경험’을 실현한다. VPN 대비 성능 저하 없는 접속과 애플리케이션별 정밀 제어, 그리고 클라우드 연동의 용이함까지 모두 동시에 충족할 수 있는 것이 특징이다.

VPN 대체 위한 정부 지원 강화해야

차세대 패러다임인 제로 트러스트 보안을 완성하는 것은 곧 기업 보안 시스템 전반의 혁신을 의미한다. △식별 및 인증 △장치 보안 △네트워크 세분화 △애플리케이션 및 워크로드 △데이터 보호 △가시성 및 분석 △자동화 및 오케스트레이션 등 다양한 영역에 대한 솔루션이 도입되고 또 유기적으로 연결돼야 하기 때문이다. 그만큼 많은 비용과 시간이 들기에 재정적, 인적 투자 부담 역시 크다.

이 때문에 지금 시점에서는 가장 기본적이고 현실적인 대응이 요구된다. 바로 VPN을 ZTNA와 SDP 솔루션으로 대체하는 것부터 시작할 필요가 있다는 것이다.

하지만 최소한의 조치임에도 기업들이 처한 현실은 녹록지 않다. 대다수 기업이 이미 VPN 인프라에 상당한 투자를 했기 때문이다.

중소·중견기업의 경우 VPN 장비 구매, 라이선스 비용, 유지보수 비용 등으로 연간 수백만 원에서 수천만 원을 지출하고 있다. 이런 상황에서 ZTNA나 SDP 솔루션으로 전면 교체하라고 일방적으로 압박할 수는 없다. 특히 중소기업은 추가적인 재정 투입이 부담스럽고 보안 전문 인력도 부족하기에 새로운 보안 기술 도입을 더욱 주저할 수밖에 없다.

VPN을 통한 보안 사고가 기승인 가운데 정부의 정책적 지원이 절실한 이유다. 이에 최근 한국제로트러스트보안협회는 ‘제로 트러스트 도입 바우처’ 제도 신설을 제안하기도 했다. 중소기업이 보안 컨설팅부터 솔루션 도입까지 필요한 비용을 정부가 지원하는 제도에 제로 트러스트 솔루션을 추가함으로써 VPN 교체에 따른 초기 부담을 대폭 줄일 수 있다. 

특히 제로 트러스트 시장은 2024년 약 1조2,700억 원 규모에서 연평균 23.5% 성장해 2030년에는 약 4조 5천억 원에 달할 것으로 전망되는 유망 시장인 만큼, 정부 차원의 선제적 지원이 시장 창출과 기업 경쟁력 강화에도 직결될 수 있다.

또한 공공 조달 시 제로 트러스트 기반 솔루션에 가점을 부여하는 방안도 고려해볼 만하다. 정부와 공공기관이 선도적으로 제로 트러스트 솔루션을 도입하면 민간 기업의 신뢰 확보와 시장 확산에도 긍정적 영향을 미칠 수 있다.

특히 미국 바이든 정부의 행정명령과 같이 우리나라도 제로 트러스트 전환을 법령 등으로 명문화한다면, 국내 산업계 사이버 보안 강화와 기술력 확보에도 많은 도움이 될 것으로 전문가들은 기대하고 있다.

< ZTNA와 SDP 솔루션 제공하는 국내 기업들 >

제로 트러스트 보안 모델은 개념이자 방법론이며 접근 방식이다. 명확히 보편화된 모범 답안을 기대하는 것은 아직 시기상조라 할 수 있고, 각 기업마다 천차만별인 IT 인프라 환경을 고려하면 이는 향후에도 불가능한 기대라고 할 수 있다. 기업과 기관들은 제로 트러스트 아키텍처를 참조하되 각자가 보유한 내부 시스템 환경, 사업 성격에 따라 각기 다른 방식을 선택하면 된다. 

국내 사이버 보안 기업들은 각자 보유한 기술들의 강점을 살려 고객사들의 환경을 심층 검토해 제로 트러스트 구현 방안을 제시하고 있다. VPN을 대체하는 ZTNA 및 SDP 솔루션은 대표적으로 엠엘소프트, 드림시큐리티, 프라이빗테크놀로지, 지니언스 등이 제공한다.

엠엘소프트는 국내에서 SDP 기술을 앞장서 소개한 기업이다. 한국전자통신연구원(ETRI)으로부터 이전받은 TAPS(Trust Access Protection Solution) 기술을 기반으로 ‘티게이트 SDP’를 상용화하며 시장을 선도하고 있다.

엠엘소프트의 티게이트 SDP는 △SPA 인증 △화이트리스트 기반 동적 방화벽 △서버 스텔스 등 핵심 기능을 탑재하고 있으며, 2021년 망분리(NAC) 보안 인증서와 2023년 VPN 기능 확인서를 잇달아 획득하고 금융·공공 분야 레퍼런스를 확보해나가고 있다. 지난해 엠시큐어 등과 컨소시엄을 이뤄 대형 금융사를 대상으로 제로 트러스트 시범사업을 진행하며 사업 확대에 속도를 내고 있다.

드림시큐리티도 SDP 관련 기술력을 확보, ‘매직SDP(Magic SDP)’라는 솔루션을 제공한다. 또한 매직SDP를 중심으로 통합 접근제어 및 계정관리(IAM), PKI, FIDO 등을 연계해 제로 트러스트 아키텍처를 구현했다.

지니언스는 자사 네트워크 접근 제어(NAC) 솔루션을 기반으로 ‘지니안 ZTNA’를 개발했다. 지니안 ZTNA는 사용자 인증을 위한 에이전트와 게이트웨이 등으로 구성되며, 세분화된 정책을 제공하면서도 기존 VPN과 같은 업무 환경을 구축하도록 지원한다. 특히 백그라운드에서 보안 강화 기능을 수행하도록 하고 사용자가 인터페이스에서 느끼는 편의성을 유지하기 위해 노력했다.

프라이빗테크놀로지는 구축형 ZTNA 솔루션 ‘프라이빗커넥트(PRIBIT Connect)’를 서비스하고 있다. 이 솔루션은 에이전트 기반으로 네트워크에 연결하기 전인 장치 수준에서 허용되지 않은 접속을 차단하는 데 초점을 맞췄다. 네트워크 접속 전에 차단이 이뤄져 실제 속도, 대역폭에 영향을 미치지 않으며, 모든 접속 요청에 ‘데이터 플로우 ID’를 부여함으로써 디바이스 성능 저하 없는 사용성을 제공한다.