구글의 신조 ‘믿지 마라, 확인하라’…‘VPN’에서 ‘ZTNA’로 [해외실험실: 빅테크 보안 대해부 ②]

중국 정부 연계 해커 공격에
ZTNA 전사 차원서 구현
새로운 보안 표준으로 부상
전환 비용·복잡성은 숙제

(EPA연합뉴스)

구글은 2009년께 ‘가상사설망(VPN)’ 장비가 뚫리는 대규모 사이버 공격을 겪은 후 근본적인 해결 방안을 고민했다.

2009년 중국 정부와 연계된 ‘지능형 지속 위협(APT)’ 집단이 일으킨 사이버 공격 ‘오로라 작전’이 전 세계를 휩쓸었다. 구글도 지식 재산권이 도용당하는 등 여러 피해를 봤다. 11일 블룸버그통신에 따르면 구글은 당시 사태에서 교훈을 얻어 막대한 비용을 들여 ‘절대 믿지 말고, 항상 검증하라’라는 ‘제로 트러스트 네트워크 접근(ZTNA)’을 전사 차원에서 구현했다.

구글은 먼저 내부 보안 전략과 기술 역량을 전면 재검토했다. 이어 보안을 중점에 두고 수십억 달러를 투자했으며 해커를 비롯한 인력 보강에도 힘썼다. 갈수록 정교해지는 사이버 위협에 대응하고자 근본에서부터 달라진 접근 방식을 고려했다. 구글이 택한 방법이 바로 ZTNA다. 한 번 인증이 끝나면 기업 내부 네트워크에 넓은 통로를 열어주는 VPN과는 차별화 된다.

구글 외에도 ZTNA는 기업들의 우선적인 보안 선택안이 되고 있다. 원격·하이브리드 근무가 일상이 된 데다 기업용 VPN 장비가 대형 해킹 사건의 ‘정문’으로 반복해서 악용된 것이 기업들을 ZTNA로 떠미는 직접 배경이다. 여기에 클라우드·멀티클라우드 전환과 각국의 규제·거버넌스 압박이 맞물리면서 ‘신규 보안 투자=제로 트러스트’라는 인식이 확산되는 분위기다.

하지만 ZTNA 전환은 녹록치 않다. ZTNA는 전 세계 최고보안책임자(CISO)의 우선 과제 목록에서 상위권에 올랐지만, 실제 구현·운영 측면에서 성숙 단계에 올라선 기업은 극소수라는 지적이다. 기존의 복잡한 인프라 구조, 정책 설계와 운영의 높은 난이도, 비용과 자원 부담, 확장성과 성능 문제 등으로 난관이 만만치 않기 때문이다. 일각에서는 기존 VPN에 일부 기능을 덧씌우고 ZTNA라는 이름만 붙이는 등 ‘ZTNA 워싱’이 이뤄지고 있다는 폭로도 나온다.

모델 자체의 한계도 존재한다. 일부 연구는 제로 트러스트가 접근 제어·수평 이동 차단에는 효과적이지만, 피싱·내부자 위협·설계 오류가 있는 API 공격 등에는 별도의 대응 체계가 필요하다고 제시했다. 즉, ZTNA를 도입했다고 해서 다른 보안 통제가 불필요해지는 것은 아니라는 뜻이다.

클라우드 보안업체 지스케일러는 “VPN이 공격자에게 열린 ‘넓은 문’이 되는 현실에서 ZTNA는 분명 유력한 대안”이라면서 “그러나 그 도입이 ‘체크리스트 항목’이나 ‘신규 제품 구매’에 그칠 경우, 기대했던 만큼의 보안 성과를 얻지 못한 채 또 다른 유행어로 사라질 위험도 동시에 안고 있다”고 지적했다. 그러면서 “지금 필요한 것은 ZTNA를 둘러싼 시장의 속도전이 아니라 각 조직이 자신의 인프라와 위협 모델에 맞게 보안을 처음부터 다시 설계하려는 느리지만 근본적인 접근”이라고 조언했다.

※용어설명 ZTNA (Zero Trust Network Access·제로 트러스트 네트워크 접근)
“누구도, 어떤 기기든, 어디서 접속하든 기본적으로 신뢰하지 않는다”는 보안 철학을 기반으로 한 차세대 원격접속·접근통제 보안 방식으로 사용자의 위치나 네트워크가 아니라 사용자 신원, 기기 보안 상태, 접근 목적을 기준으로 접속 이후에도 지속적으로 검증하는 보안 모델.