클라우드 시대 보안 체계를 바꿔라...아카마이, '제로트러스트 모델' 제시

클라우드 시대 보안 체계를 바꿔라...아카마이, '제로트러스트 모델' 제시

“많은 기업이 클라우드를 도입해 네트워크 환경이 변했지만 보안 체계는 과거와 달라지지 않았습니다. 클라우드 환경에서 발생하는 새로운 보안 취약점에 대응하기 위해 '신뢰하고 검증'하는 기존 방식에서 '모든 것을 검증'하는 '제로트러스트' 모델 전환이 필요합니다.”

21일 닉 호킨스 아카마이 아시아 태평양·일본 엔터프라이즈 제품 담당 수석 디렉터는 르메르디앙 서울에서 열린 기자간담회에서 클라우드 시대 '보안 체계 변화'를 촉구했다.

최근 사이버 위협은 어느 때보다 커졌다. 아카마이 보고서에 따르면 A고객사는 두 달 사이 80억건에 달하는 부정 접속 공격을 받았다. 악성코드 90% 이상은 특정 기업을 타깃으로 유포된다. 기존 네트워크 방어 체계로 광범위한 해커 공격을 막기 부족하다.

호킨스 디렉터는 “유일하게 모든 사용자 위치나 애플리케이션 상관없이 방어책을 마련하는 방법은 클라우드에 일차 방어선을 마련하는 것”이라면서 “아카마이는 클라우드 접근에 대해 '제로트러스트' 정책을 시행한다”고 말했다.

제로트러스트 보안 모델은 모든 사용자와 디바이스를 신뢰하지 않는 것에서 출발한다. 애플리케이션은 인터넷에 연결됐고 네트워크 전체가 감염됐다고 간주한다. 모든 리소스는 보안접속을 거친다. 접속 제어에서 '최소 권한' 전략을 도입해 과도한 사용자 권한 부여에서 발생하는 위험을 최소화한다.

호킨스 디렉터는 “현재 네트워크 보안은 내·외부가 따로 구별되지 않을 뿐 아니라 사용자도 장소를 고려하지 않고 어디서나 접근하고자 한다”면서 “아카마이가 제안하는 보안 체계 강화 방안은 클라우드 환경에 일차 방어선을 마련하는 것”이라고 말했다.

제로트러스트 모델은 클라우드 보안정책으로 사용자가 기업 내부 애플리케이션에 접근할 때 클라우드 환경에서 사용자기기 인증 확인, 아이디 패스워드 확인 등을 거친다.

호킨스 디렉터는 “사용자 기기 인증에는 보안 패치가 제대로 적용됐는지, 실제 사용자가 해당 기기를 통해 접속하는지 여부까지 확인한다”면서 “인증 받은 기기와 사용자 아이디를 이용해 애플리케이션 접근권한을 설정하기 때문에 보안 접속 정책을 강화하게 된다”고 덧붙였다.

국내외 다수 레퍼런스도 확보했다. 올해 아카마이는 세계 시장에서 클라우드 보안 분야에서만 1조원에 가까운 매출을 올렸다. 국내서는 20여개국과 해외 비즈니스를 진행하는 B중견기업에 해당 솔루션을 제공했다. 아카마이 본사에서도 제로트러스트 정책을 활용한다. 2019년까지 회사 내부에서 사용하는 가상사설망(VPN)을 제거하고 클라우드 환경 방어책에 초점을 맞춘다.

정영일기자 jung01@etnews.com