여러분의 회사는 지금 어떻게 사내 자원에 접근하고 계신가요? 아직도 VPN 클라이언트 하나만 켜면 사내 망 전체가 노출되는 구조에서 일하고 계시진 않나요? 사실 이 모습이 그렇게 어색하지 않으실 겁니다. 우리 모두 오랫동안 그렇게 일해왔으니까요. 그런데 지난 몇 년 사이, 이 풍경이 빠르게 바뀌고 있습니다.
지니언스의 NAC를 사용해 보신 분이라면 "단말과 사용자 단위의 정밀한 정책"이라는 표현이 익숙하실 겁니다. ZTNA는 그 NAC의 차기 제품 라인업입니다. Zero Trust의 3대 원칙 — Software-Defined Perimeter / Micro-Segmentation / Enhanced Authentication — 이 핵심이라는 건 다른 자료에서 이미 많이 소개되어 있으니, 이 글에서는 그 외에 ZTNA에 새로 추가된, 그리고 잘 알려지지 않은 기능들에 집중해 보려고 합니다.
오늘 살펴볼 신기능은 세 가지입니다.
하나씩 보겠습니다.
ZTNA 시장에는 이미 여러 제품이 나와 있습니다. 다른 ZTNA 제품들의 자료를 보다 보면 자주 마주치는 표현이 있죠. "애플리케이션 단위의 세분화된 접근 제어", "역할 기반 정책" 같은 문구들입니다. 좋은 표현이지만, 막상 도입해 보면 "그래서 이 단말을 어떤 기준으로 그룹화해서 어디까지 허용해야 하지?"라는 질문에서 멈추는 경우가 많습니다.
지니언스 ZTNA의 Micro Segmentation은 이 지점에서 다른 길을 갑니다. NAC 시절부터 축적해 온 분류 자산을 그대로 가져다 쓸 수 있도록 설계되어 있기 때문입니다.
NAC를 운영해 보신 분이라면 노드 정책의 조건 화면을 한 번쯤 보셨을 겁니다. IP/MAC, 등록 일자, 열린 포트, 시스템 정보, 사용자 계정, 백신 정보, 에이전트 상태, 태그, 노드 타입, 트래픽, 애플리케이션, 플랫폼, 비밀번호 설정 여부, 업데이트 정보… 이 조건들을 자유롭게 조합해서 그룹을 만들고 정책을 부여할 수 있죠.
ZTNA는 이 분류 자산을 그대로 상속받습니다. 단순히 "사용자 그룹 A는 애플리케이션 X에 접근 가능"이라는 식의 평면적인 정책이 아니라, "Windows 11이면서 / 백신이 최신이면서 / 회사 표준 도메인에 가입되어 있고 / 외부 IP에서 접근 중인 단말" 같은 복합 조건으로 그룹을 정의하고 권한을 부여할 수 있습니다.
[ 사진 1. 노드 분류 조건 ]
이게 왜 중요할까요? 실제 보안 사고는 대부분 "분명히 인가된 사용자가 인가된 단말로 접근했는데, 그 단말이 이미 감염되어 있었던" 시나리오에서 시작됩니다. 사용자·역할만으로는 잡히지 않는 위협을 단말 상태·환경 정보로 한 단계 더 거를 수 있다는 뜻입니다.
정책 구조는 두 단계입니다.
화이트리스트 기반이라는 점도 명시해 둘 만합니다. 명시적으로 허용된 것만 통과하므로, Zero Trust의 "Deny by default" 원칙이 그대로 구현됩니다.
[ 사진 2. Compliance + Permission 정책 매트릭스 예시 ]
요즘 랜섬웨어 사고 분석 보고서를 보면 거의 빠지지 않고 등장하는 단어가 있습니다. Lateral Movement (측면 이동). 처음 침투한 단말 하나에서 사내 네트워크 전체로 확산되는 단계를 가리키는 말이죠.
기존 VPN 구조의 한계는 명확합니다. 일단 VPN 터널이 열리면 그 안에서는 사실상 같은 LAN처럼 동작합니다. 한 단말이 뚫리면 그 단말이 닿을 수 있는 모든 자원이 위험 노출됩니다.
ZTNA의 Micro Segmentation은 자원을 데이터 중요도(High / Medium / Low) 기준으로 격리된 zone으로 나누고, 각 zone은 ZTNA Gateway로 보호됩니다. 단말이 한 zone에 접근했다고 해서 다른 zone에 자동으로 접근되지 않으며, 매 요청마다 신뢰 검증이 다시 일어납니다. 침투에 성공한 공격자가 다음 단계로 넘어가는 비용을 극적으로 올리는 구조입니다.
[ 사진 3. Data Criticality 기반 Zone 분리 다이어그램 ]
마지막으로 짚어둘 게 있습니다. ZTNA의 권한 부여는 정적이지 않습니다. 필요한 시점에 / 필요한 만큼만 권한을 줍니다. 근무 시간 외에는 ERP 접근이 차단되거나, 출장지에서는 일부 서비스만 열리는 식의 적응형 정책을 600+ 조합 위에서 표현할 수 있습니다.
NAC를 이미 쓰고 계신 고객이라면 이 부분이 가장 빠르게 와닿으실 겁니다. "우리가 NAC에서 만들어둔 그 복잡한 정책들, ZTNA에서 다시 다 만들어야 하나요?" 라는 질문에 대한 답이 바로 "그대로 옮겨갑니다"입니다.
비밀번호 한 번이라도 까먹어서 출근 후 첫 30분을 비밀번호 재설정으로 날려보신 경험, 다들 있으시죠? 한 조사에 따르면 응답자의 63%가 비밀번호를 잊어서 중요한 정보 접근에 어려움을 겪은 적이 있다고 합니다. 더 심각한 건 따로 있습니다. 89%의 기업 조직이 피싱 공격을 경험했다는 통계입니다. 비밀번호는 잊어버리기 쉽고, 동시에 쉽게 빼앗깁니다.
ZTNA는 이 오래된 문제를 해결하기 위해 Passkey 인증을 정식 탑재했습니다.
Passkey는 FIDO2 / WebAuthn 표준에 기반한 비밀번호 없는 인증 방식입니다. 사용자의 단말(스마트폰, PC)에 저장된 개인 키와 서비스의 공개 키 쌍을 통해 인증이 이루어지죠. 비밀번호 자체를 서버에 저장하지 않으므로, 서버가 뚫려도 인증 정보가 유출되지 않습니다. 피싱 사이트는 도메인이 다르므로 Passkey가 응답하지 않고, 사용자는 지문이나 얼굴, PIN으로 본인 확인을 마치면 끝입니다.
지니언스 ZTNA의 Passkey는 업계 표준 라이브러리 위에서 구현되어 있어 Windows Hello / macOS Touch ID / iPhone Face ID 같은 단말 기본 인증기를 그대로 활용할 수 있습니다. 별도 OTP 앱을 설치하시지 않아도 되고요.
[ 사진 4. Passkey 등록 화면 ]
ZTNA에서 Passkey가 동작하는 위치는 두 군데입니다.
인증 모드도 유연합니다. 1차 인증 단독으로도 쓰실 수 있고, 2차 인증(MFA)으로 SMS·Email과 병렬로 운영하실 수도 있습니다. SAML SSO와도 연계됩니다. 기업의 기존 IDP를 유지하면서 마지막 한 단계만 Passkey로 강화하는 식의 점진적 도입이 가능하다는 뜻입니다.
[ 사진 5 - Passkey 인증 모달 ]
지문 인식이 없는 데스크탑을 쓰시는 분도 걱정 마세요. Bluetooth가 활성화된 환경이라면, Android Chrome이나 iPhone Safari를 인증기로 사용해서 데스크탑에서의 인증을 완성할 수 있습니다. 단말이 다양해질수록 Passkey의 휴대성은 더 빛납니다.
한 가지만 짚어드릴 게 있습니다. Passkey는 도메인 기반 인증이므로, 관리콘솔에 IP로 직접 접근하시면 등록·인증이 동작하지 않습니다. 정책 서버에 도메인을 부여해 두시는 게 사전 준비 사항입니다.
2021년 말 Log4j 사태를 기억하시나요? 전 세계의 보안 담당자들이 야밤에 일제히 출근했던 사건이죠. "우리 시스템에 Log4j가 들어있나? 들어있다면 어느 버전이지?" 이 단순한 질문에 답하는 것조차 어려운 회사가 대다수였습니다.
이 사건 이후 SBOM (Software Bill of Materials)이라는 단어가 갑자기 보안 업계 키워드 1위로 올라왔습니다. "소프트웨어에 들어있는 모든 오픈소스 컴포넌트의 명세서". 이름 그대로입니다.
지니언스 ZTNA는 제품에 탑재된 오픈소스 컴포넌트 정보를 SBOM 형식으로 정식 제공합니다. 형식은 업계 표준 두 가지를 모두 지원합니다.
생성 도구는 Syft와 각 언어별 표준 플러그인(cyclonedx-maven-plugin, cyclonedx-npm, cyclonedx-gomod)을 사용해서 빌드 시점에 자동으로 산출됩니다. 즉, 출시되는 모든 패키지에 SBOM이 포함됩니다.
SBOM은 단일 파일 하나로 뭉뚱그려 주지 않습니다. 컴포넌트별로 분리되어 제공됩니다.
| 컴포넌트 | 형식 |
| 관리콘솔 (WebUI) | CycloneDX |
| Engine (centerd) | CycloneDX |
| Agent (Windows) | CycloneDX |
| Agent (Linux) | CycloneDX |
| Agent (macOS) | CycloneDX |
각 컴포넌트가 어떤 오픈소스를 어느 버전으로 사용하고 있는지 한눈에 확인하실 수 있습니다.
파일 시스템에 직접 접근하지 않으셔도 됩니다. 관리콘솔에 "제품에 탑재된 Open Source 정보" 페이지가 별도로 마련되어 있어, 웹 브라우저에서 그대로 라이브러리 목록·버전을 확인하실 수 있습니다. 보안 담당자가 사내 취약점 점검 도구와 cross-check 하실 때 매우 유용합니다.
[ 사진 6. 관리콘솔 제품에 탑재된 Open Source 정보 페이지 ]
SBOM은 단순히 "우리가 투명합니다"라는 마케팅 메시지가 아닙니다. 실제 운영에서 의미 있는 차이를 만들어 냅니다.
오늘 소개해 드린 세 가지 신기능을 한 줄로 다시 정리하면 이렇습니다.
Zero Trust는 더 이상 트렌드 키워드가 아니라 운영 도구가 되었습니다. 그리고 그 운영 도구를 가장 잘 만드는 방법은, "Zero Trust"라는 표어를 외치는 것이 아니라, 그동안 단말과 사용자에 대해 알아온 모든 것을 활용해서 최대한 정밀한 정책을 표현하는 것이라고 생각합니다. 지니언스 ZTNA가 가는 방향이 바로 거기입니다.
ZTNA는 최근 업데이트를 통해 위에서 소개한 기능들이 추가·확장되었고, 앞으로도 계속 진화할 예정입니다. 이미 NAC를 운영 중이시거나 새로운 Zero Trust 솔루션을 검토 중이시라면, 가까운 시일 내에 한 번 들여다보시는 것을 추천드립니다.
다음 글에서 또 다른 새로운 소식으로 찾아뵙겠습니다. 감사합니다.
지니언스 해외사업부 Global TA팀의 팀장으로서, Global 고객 Pre-Sales 및 기술지원을 담당하고 있습니다.