일상적으로 업무를 보는 사용자 관점에 볼 때 애플리케이션의 사용성과 보안성은 투명해야 합니다. 열악한 사용자 경험은 장기적으로 볼 때 조직을 사이버 위협의 위험에 빠뜨릴 수 있습니다. 예를 좀 들어 볼까요. 코로나19로 원격으로 업무를 보는 것이 일상이 되었죠. 관련해 VPN 연결 수요가 급증하였습니다. 그런데 가만히 보니 사용자들은 VPN 연결을 번거로워 했습니다. 평소 Microsoft Office, Outlook 및 기타 SaaS 방식의 서비스에 편하게 접근하는 것이 익숙하다 보니 VPN 연결이 불편했던 것이죠.
이런 이유로 안전한 원격 연결의 대명사이던 VPN을 바라보는 시각이 좀 달라지고 있습니다. 사용자 경험을 저해하고, 이로 인해 보안 허점이 생길 수 있다는 우려의 시각이죠. 전통적인 방식을 버리고 사용자 친화적인 안전한 연결과 서비스 접근에 대한 고민으로 나온 것이 바로 제로트러스트입니다. 이 개념은 '절대 신뢰하지 않고 늘 확인을 하라는 것'을 핵심으로 합니다.
사용자 경험의 중요성!
제로트러스트 체계를 잘 갖추기 위해 이런 저런 고민을 하다 보면 결론은 항상 사용자 경험으로 귀결됩니다. 사용자에게 높은 품질의 서비스 경험을 제공해야 한다는 것이죠. 여기서 말하는 품질은 여러 측정 지표가 있습니다. 가령 성능, 지연 시간, 편의성 등이 있죠. 제로트러스트는 품질 요건을 충족해야 만족할만한 사용자 경험을 제공할 수 있습니다. 만족할만한 사용자 경험 제공이 어렵다면? 생산성 저하라는 문제에 직면할 수 있습니다. 그렇다면 제로트러스트 구현에 있어 높은 품질의 사용자 경험을 제공하려면 어떤 요건을 만족해야 할까요? 두 가지 측면에서 기준을 잡을 수 있습니다.
최소 권한을 토대로 세분화된 접근 제어 수행
첫 번째는 세분화된 접근 제어입니다. 접근 제어의 기본은 역할과 책임을 전제로 한 통제입니다. 여기에 한 가지 덧붙이자면 사용자의 쉽고 편하게 원하는 서비스에 접근할 수 있도록 하는 것입니다. 이 두 목표는 양립할 수 있을까요? ‘최소 권한’을 토대로 세분화된 접근 제어를 하면 가능합니다. 사용자에게 부여되는 영구적인 접근 권한? 이런 것은 제로트러스트 체계에서는 허용하면 안 됩니다. 자동화 기술을 기반으로 거버넌스 정책을 유지하면서 탄력적으로 세분화된 접근 제어를 수행해야 합니다. 이렇게 하면 사용자의 접근 편의성을 해치지 않고도 온프레미스와 클라우드를 아우르는 통제를 할 수 있습니다. 하이브리드 및 멀티 클라우드로 가시성 확장
사용자 경험에서 성능은 꽤 중요한 관리 포인트입니다. 제로트러스트 측면에서 볼 때 사용자 경험을 저해할 수 있는 부문 중 하나로 네트워크를 꼽습니다.
제로트러스트는 네트워크 경계를 보호하는 것이 아니라 다양한 네트워크 환경에 있는 모든 사용자와 장치 그리고 서비스를 보호하려는 접근입니다. 온프레미스, 클라우드, 엣지 등 다양한 환경의 네트워크를 모두 살피면서 엄격한 보안 통제가 사용자 불편이나 성능 저하로 이어지지 않는지 모니터링을 해야 합니다. 유동적인 네트워크 환경에 대한 가시성 확보가 중요한 이유인데요, 네트워크 가시성을 바탕으로 네트워크 세그먼트에 대한 접근을 조정할 수 있어야 적극적인 사용자 경험 관리를 할 수 있습니다.
이런 가시성은 사실 확보가 쉽지 않죠. 대부분의 모니터링 도구는 온프레미스 네트워크 전용입니다. 그렇다면 사내 망 밖은 어떻게 모니터링해야 할까요? 브로드컴이 AppNeta를 인수한 이유가 바로 여기에 있습니다. 네트워크 모니터링이 어떻게 자격 증명 관리와 연관되어 있는 지는 다른 포스팅을 통해 알아보겠습니다.
