IT·전자

[기고] 급변하는 기업 환경, 제로 트러스트 보안이 최선

발행일시 : 2020-05-22 00:00
천지용 메가존 플랫폼 사업부 부장 <천지용 메가존 플랫폼 사업부 부장>

모두가 완벽한 보안을 추구하는 이유는 어느 누구도 완벽한 보안을 실현하지는 못하기 때문이다. 현실적으로 기업 상황에 맞는 합리적인 보안을 구축하고 유지하는 것이 최선의 길이다. 여러 보안 사고의 사례를 통해 외부 침입 경로를 파악하고 그것을 최대한 방어하는 전략이 중요하다.

점점 불안해지는 기업보안, 왜?

클라우드 도입이 확산되면서 기업들은 언제 어디서나 애플리케이션에 접속해 필요한 작업을 진행할 수 있게 됐다. 그룹웨어, 고객관계관리(CRM), 전사적자원관리시스템(ERP) 등 기업의 내부 프로그램들이 여러 네트워크에 혼재하게 되면서 관리는 복잡해지고 보안 위험은 높아지고 있다.

특히 최근에는 신종 코로나바이러스 감염증(코로나19) 확산의 여파로 재택근무, 온라인 수업 등 원격 접속이 생활 속에 본격적으로 자리를 잡아가면서 보안 솔루션에 대한 수요도 늘어나고 있다. 하지만 보안 시스템과 정책은 한 번 정해지면 변경하기 어렵고, 사용자 추가와 삭제 작업도 번거로워 처음 구축할 때부터 고려해야 할 점들이 많다. 기존 보안 솔루션으로는 인사 이동을 할 때마다 빠르게 담당자에게 권한을 부여하고 계정을 새로 만들기가 쉽지 않았다. 보안 관련 IT 실무진들은 사용자 추가 등 보안 정책을 쉽게 바꿀 수 있고, 빠른 환경 변화를 즉각 반영할 수 있는 솔루션이 필요하다는 목소리를 내고 있다.

이런 상황에서 원격 접속 시 사용자와 기기를 가리지 않고 모든 요청을 의심해야 한다는 이른바 ‘제로 트러스트’ 원칙이 주목을 받고 있다. 제로 트러스트란 신뢰할 수 있는 내부 네트워크는 존재하지 않는다는 전제 하에 사용자, 애플리케이션, 접근 등을 모두 의심하고 행동을 추적해 필요한 사람이 필수 애플리케이션만 접속하도록 하는 원칙이자 보안 모델이다.

외부 접근 철통 방어엔 제로 트러스트 보안 모델 EAA

이제까지는 기업 IT 담당자가 외부에서 기업 내 애플리케이션에 접속할 경우 일반적으로 SSL VPN, IPSec VPN 같은 솔루션을 사용해 왔다. 제로 트러스트 원칙을 실현하려면 인증과 권한을 관리해 사전에 설정된 사용자가 권한이 있는 애플리케이션만 접근할 수 있도록 제어(AuthN/AuthZ)하는 솔루션을 적용하는 것이 효과적이다. 필요한 용량 증감에 유연하게 대응할 수 있는 클라우드 서비스의 장점이 담긴 제품을 선택하는 것도 중요하다.

EAA(Enterprise Application Access)는 아카마이가 제로 트러스트 보안 모델을 구체화한 솔루션으로, 기본적으로 내부로의 접근을 모두 막고 접근 권한이 부여된 기기나 사용자만 접속을 허용한다. EAA는 인바운드 방화벽 포트를 열지 않고 데이터센터 안에 엔터프라이즈 커넥터(Enterprise Connector)라는 일종의 가상머신을 두는 독특한 해결법을 제시한다.

엔터프라이즈 커넥터는 사용자 확인과 접속만을 관리하고 허용한다. 기존 가상사설망(VPN, Virtual Private Network)은 일단 연결만 되면 모든 기업 내부 네트워크에 접속할 수 있지만, 아카마이 EAA는 외부 요청을 엔터프라이즈 커넥터로만 연결하고 사전에 정의된 사용자•기기가 접속할 때에도 권한에 맞는 애플리케이션만 열어준다. 데이터 경로 보호, 싱글 사인 온(SSO, Single Sign On), ID 접속, 애플리케이션 보안, 관리 가시성 등 일반적인 보안 기능은 그대로 유지했다. 아카마이는 접속의 부하를 능동적으로 분산하는 여러 알고리즘을 적용해 내부 인프라의 트래픽 균형을 유지한다.

[기고] 급변하는 기업 환경, 제로 트러스트 보안이 최선

내부 네트워크가 외부 요청과 직접 연결되는 것이 아니라, 엔터프라이즈 커넥터라는 매개체이자 창구와 연결되기 때문에 방화벽을 열지 않아도 된다. 설정도 간편해져 별도의 전용 장비를 구입하거나 보안정책을 추가로 설정할 필요가 없다. 최종 사용자가 모든 내부 네트워크를 탐색할 수 없고, 허용된 앱에만 접속할 수 있어 보안 위협을 최소화했다. 네트워크 환경에 따른 제약이 없고, 설치 시간도 단 몇 분밖에 걸리지 않는다. 결과적으로는 서비스 구축 비용이 대폭 절감되는 효과가 있다.

EAA는 출장지나 자택 등 외부에서 원격 접속을 시도하는 최종 사용자 입장에서도 장점이 많다. 이제까지는 기기에 전용 클라이언트를 설치해야 하는 방식이 주를 이뤘지만, EAA를 활용하면 별도의 소프트웨어를 설치할 필요 없이 바로 브라우저에 접속할 수 있다. 웹 브라우저에서 인터넷 주소(URL)를 입력해 간편하게 EAA 에지(EAA Edge)에 접속할 수 있다. EAA 에지는 지정된 앱에만 접속할 수 있도록 전송계층보안(TLS) 트래픽만을 전달한다. 이후 엔터프라이즈 커넥터가 접속을 허용하고 내부 네트워크에 배포된 애플리케이션과 연결한다. 이와 같은 과정은 모두 브라우저를 통해 간편하게 이루어지기 때문에 복잡한 기술을 쉽게 전달하고 편리한 사용자 경험을 제공할 수 있다.

또 대시보드 화면에서는 어떤 사용자가 언제 어디서 어떤 애플리케이션을 사용했는지 즉, 애플리케이션 사용 현황을 확인할 수 있다. EAA는 독립형 서비스이기 때문에 다른 아카마이 솔루션과 별개로 구축할 수 있다. 웹 콘텐츠, 기업 애플리케이션, 비디오를 안전하게 배포하고 가속하는 아카마이 인텔리전트 플랫폼의 솔루션들 중 하나인 EAA와 아카마이의 웹 성능 향상 솔루션•웹 보안 솔루션•미디어 전송 솔루션 등이 함께 구축될 경우 시너지를 기대할 수도 있다.

외부 유출 절대 금지 EPT 보안 모델

기업은 내부에서 외부로 향하는 요청도 보호해야 한다. 악성코드 공격은 점점 더 정교해지고 있으며, 이제까지 일반적으로 많이 사용됐던 방어 수단인 도메인네임시스템(DNS, Domain Name System)를 회피하는 공격도 늘어나고 있다. 특히 워너크라이(WannaCry), 엑스표트르(ExPetr), 배드래빗(BadRabbit) 등 기존 랜섬웨어의 변종이 매년 급증하고 있다. 랜섬웨어는 사용자의 컴퓨터에 침투해 데이터를 암호화하고 이것을 인질로 금전을 요구하는 악성 프로그램이다. 지난 2017년 랜섬웨어 공격을 받은 기업의 65%가 데이터 전체 또는 상당량의 접속 권한을 상실했고, 금전을 지불한 경우에도 1/6가량의 기업이 데이터를 회복하지 못했다.

일단 데이터가 침해되면 빠른 대처나 회복이 어렵다는 것이 기업 입장에서는 상당히 치명적인 부분이다. 2018년 아카마이가 발표한 내용에 따르면 데이터 탈취 평균 탐지 시간은 201일, 지능형지속위협(APT) 공격 대응 비용은 평균 1,800만 달러에 달한다. 평범한 사내 이메일을 가장한 피싱 공격, 악성 링크로 안내하는 악성코드, 데이터를 인질로 잡고 금전을 요구하는 랜섬웨어 등 다양한 보안 공격과 위협에서 벗어나기 위해서는 이메일이나 링크에 바로 접속할 수 없도록 한 단계 더 보호를 거쳐야 한다.

아카마이의 ETP(Enterprise Threat Protector) 역시 제로 트러스트 모델을 기반으로 한 클라우드 보안 솔루션이다. ETP는 프로토콜, 요청 제한, HTTPS 정책 위반, 명령어 주입(Command Injection) 공격, 트로이 백도어 및 아웃바운드 콘텐츠 유출 등 공격 유형에 맞춰 사전 정의된 보호 컬렉션을 제공해 위험한 연결을 차단한다.

새로운 도메인을 계속 생성해 악성 소프트웨어인 C&C 서버를 숨기는 DGA(Domain Generation Algorithm) 공격은 도메인 기반 방화벽 탐지를 피하기 위해 악성코드를 사용하고, 미리 설정된 알고리즘과 솔트(Salt)를 바탕으로 지속적으로 도메인을 변경한다. 아카마이 보안 솔루션은 행태 기반 탐지 기법으로 빠르게 생성되고 사라지는 도메인과 대량의 NxDomain(Non-Existent Domain)을 탐지한다. 도메인 이름의 어휘를 분석하는 기법도 활용된다.

[기고] 급변하는 기업 환경, 제로 트러스트 보안이 최선

ETP는 DNS를 보안의 한 계층으로 활용해 클라우드에 아카마이 DNS 리졸버(DNS Resolver)를 두고, 기업 네트워크에서 발생하는 DNS 요청을 DNS 리졸버로 전부 처리하도록 한다. DNS는 등록된 IP주소를 찾아가게 해주는 역할을 하는데, 이를 감시해 유해한 사이트로 가는 요청인지를 판단해준다. 또 클라우드의 DNS 리졸버에 각종 유해 사이트와 악성 도메인 정보를 업데이트하며 일종의 블랙리스트를 만들기 때문에 내부에서 유해 사이트로 접근하려는 시도를 탐지할 수 있다.

아카마이는 전 세계 웹 트래픽의 약 30%를 탐지해 공격 패턴, 서드파티 데이터베이스(DB), 후이즈(WHOIS)나 레지스트라(Registrar) 등의 공개 정보를 통합해 블랙리스트를 업데이트한다. 기업이 직접 수동으로 공격 패턴을 입력할 수도 있다. 아카마이는 CSI(Cloud Security Intelligence)라는 실시간 지능형 서비스로 기업을 향한 위협을 모니터링하고 있다. CSI는 365일 24시간 내내 수집한 데이터, 2.2조 건의 쿼리(Query) 정보, 외부 위협 피드 정보를 지속적으로 분석해 고급 행위 분석, 머신러닝(ML), 자체 알고리즘을 적용하고 새로운 위협이 확인되면 바로 ETP 데이터에 추가한다.

최적 파트너의 조건

2014년부터 아카마이와 협력해온 메가존은 매출 1위의 아카마이 플래티넘 파트너로 아카마이 서비스 전담 조직을 구성해 365일 24시간 내내 IT 인프라를 운영하고 모니터링하는 서비스를 제공하고 있다.

EAA와 ETP 모두 클라우드에 배포돼 있어 사용하기 편리하고, 시스템을 확장하기 쉽고 IT 총소유비용(TCO)을 절감할 수 있는 장점이 있다. ETP도 내부 DNS 설정 변경만으로 솔루션을 추가할 수 있어 IT 환경을 보안 솔루션에 맞춰 바꾸거나 별도의 물리적 장비를 구입할 필요가 없다.

최근 기업들이 온프레미스 데이터센터에서 클라우드로 IT 환경 전환을 시도하면서 온프레미스 용으로 설계된 VPN과 악성코드 관리 솔루션을 그대로 쓰지 못해 고민하는 경우가 많다. EAA와 ETP는 온프레미스 데이터센터만 사용하는 기업, 완전히 클라우드로 이전한 기업은 물론이고, 클라우드 마이그레이션(migration)을 진행하면서 하이브리드 형태를 취하는 기업 등 다양한 환경에 적용된다.

이처럼 제로 트러스트 모델을 기반으로 보안 성능을 강화한 솔루션 아카마이 EAA 엔터프라이즈 커넥터와 ETP의 DNS 내부 보안 강화 기법은 VPN, 원격 접속•관리 기능(RDP, Remote Desktop Protocol), 프록시 등 기존 원격 접근 기술의 새로운 대안으로 꼽힌다. VPN 원격 접속 시 발생하는 방화벽 개방과 내부 네트워크 전체 접근, DNS를 악용한 악성코드와 랜섬웨어 등 기존 보안 시스템의 허점을 EAA와 ETP가 없애주기 때문이다.

다양한 공격과 위협에 선제적으로 대응하기 위해 미래 보안 전략을 구상하고 있다면 기존 원격 접속 제어의 보안 취약점을 극복한 제로 트러스트 기반 보안 솔루션이 기준이 돼야 할 것이다.

천지용 메가존 플랫폼 사업부 부장
 

© 2020 nextdaily.co.kr 무단전재 및 재배포금지

(주)넥스트데일리 | 등록번호 : 서울 아 01185 | 등록일 : 2010년 03월 26일 | 제호 : 넥스트데일리 | 발행·편집인 : 구원모
서울시 금천구 가산디지털2로 123, 701호ㅣ발행일자 : 2005년 08월 17일 | 대표전화 : 02-6925-6346 | 청소년보호책임자 : 나성률

Copyright © Nextdaily. All Rights Reserved