클라우드 전문정보

제목 엔터프라이즈 네트워크 보안의 이상과 현실
등록일 2021-04-08 조회수 488
2021-01-엔터프라이즈 보안

아카마이 테크놀로지스 / 김현도 부장


클라우드 시대를 맞이한 엔터프라이즈 보안

기업들의 클라우드 도입이 점차 가속화되어 가고 있다는 추세는 이제 더이상 새로운 일이 아니다. 과학기술정보통신부가 발표한 ‘2019년 정보화통계조사’와 ‘최근 5년간의 정보화통계조사 분석’ 결과에 따르면 250인 이상 대규모 사업체의 클라우드 도입률은 50%를 넘어섰다. 특히, 2014년 23.6%였던 도입률에 비한다면 두배 이상의 증가 속도를 보이고 있는 것이다. 또한 10인 이상 사업체 기준으로는 2014년 12.9%였던 클라우드 도입률은 2018년에 22.7%로 증가 했다.

표1-클라우드 이용률

[그림1. 클라우드 이용률]

특히 2020년 이후 코로나19의 장기화로 스마트폰, 태블릿 PC등 모바일 기기의 사용량 증가로 새로운 정보화 운영 환경과 클라우드 플랫폼을 더욱 적극적으로 활용하고 있으며 그에 따라 엔터프라이즈 네트워크의 보안 강화를 위해 알아두어야 할 점들 역시 새롭게 나타나고 있다. 대고객 서비스들과 달리 기업 업무용 어플리케이션과 네트워크는 클라우드와 자체 데이터센터를 혼용한 형태인 하이브리드 클라우드의 형태가 늘어나고 있다는 점이 가장 큰 변화점이다.

보안확실성(security confidentiality)은 사이버 보안에서 가장 중요한 개념인데, 이러한 하이브리드 클라우드 기반에서 동작하는 엔터프라이즈 보안 운영은 이전보다 더 넓은 범위의 주요 데이터 보호와 보안 경계를 고려해야 한다. 따라서 보안 확실성은 낮아지게 되는 것이 현실이지만 정확히 무엇을 통제하고 확인하면 되는지, 개선하기 위한 다양한 방법론중 기업의 현실에 맞는 절차들을 알아두고 준비하면 보안 확실성을 충분히 높일 수 있다.



엔터프라이즈 업무 환경의 변화에서 주목할 점

엔터프라이즈 업무 환경은 더이상 집에 별도의 컴퓨터를 마련해야 한다는 일종의 의무감이 사라지던 시점에서 가장 큰 변화가 이루어졌다고 생각해볼 수 있다. 다양한 업무 형태, 새로운 업무 서비스의 적용이나 도입과 같이 다양한 표현으로 업무 환경의 변화를 설명할 수 있지만, 중요하게 바뀐 변화들을 정리해보면 세 가지로 요약해볼 수 있다.

가. 사용자의 접속 위치 확대

코로나19 사태 속에서 아이러니하게도 공유 오피스 업계가 활황기를 맞고 있는 이유는 주요 기업들의 ‘백업 오피스’ 수요가 늘었기 때문이다. 본사에서 코로나 19 확진자가 나오는 상황을 대비하여 주요 부서나 팀을 ‘공유 오피스’로 분산시키면 업무 마비 가능성을 최소화할 수 있기 때문이다. 작년 초까지만 해도 많은 직장인들은 회사 사무실에 출근하여 정해진 내 자리에서 시스템 접속과 필요한 작업을 했고, 외근 등의 사유로 바깥으로 이동하는 경우는 상대적으로 간단한 업무를 수행하는 것이 일반적이었다. 바깥에서 접근하는 경우 VPN 등과 같은 추가 인증 절차도 거쳐야 하고, 불안정한 WiFi 신호에 조마조마했던 경험들을 한 번씩은 갖고 있다. 코로나19 확산 이후 재택근무가 일상화되고 어떤 경우에는 강제적으로 재택근무를 수행 해야 하는 경우까지 생기고 있으며, 이는 기간이 정해져 있는 임시적인 조치가 아니라 기업들이 앞으로 대비 해야 할 장기적인 변화로 받아들여야 한다. 직장인들이 업무 접속을 위해 집에서 접속하는 IP주소나 집근처 한적한 카페의 IP주소를 보안팀에 등록 요청하는 상황은 현실적이지 않다.

나. 접속 장비의 다양성

업무용으로 데스크탑 컴퓨터만을 지급하는 회사보다 적절한 사양의 노트북을 제공하는 회사가 이제는 더 많아졌다. 그리고 업무 효율성을 위해 태블릿 PC를 제공하는 경우도 점점 더 늘어가고 있다. 또한, 많은 기업에서 창의성 발휘와 기업혁신의 중요한 도구로 BYOD(Bring Your Own Device)가 활용되기를 기대하고 있다. BYOD는 개인소유의 스마트기기나 모바일 장비를 이용해 회사 업무에 접속해서 업무를 처리하는 것을 의미하는데, 이러한 BYOD 사용자들은 메일확인, 문서 리뷰등의 업무 용도로 활용하는 것이 일반적이다. 엔터프라이즈 네트워크 내부의 자료에 접근하기 때문에 이러한 스마트기기들 역시 보안 정책에서 중요하게 고려해야 하는 접속 장비이며, 이 장비들이 최신 보안패치를 설치했는지부터 멀웨어나 랜섬웨어가 감염되었는지 파악하는 것등이 시작점이 될 수 있다.

다. 업무용 애플리케이션과 데이터의 위치

웹 기반 업무 소프트웨어로 설명할 수 있는 SaaS 클라우드 서비스의 확대는 업무 환경에서 직접적으로 체감되는 변화이다. 언제 어디서나 인터넷이 연결되어 있기만 하면 번거로운 문서, 발표 자료 등의 소프트웨어 설치 없이 웹브라우져를 통해 업무에 접속하고 필요한 일을 할 수 있다. 어플리케이션의 환경뿐만 아니라 이러한 업무들을 통해 저장되는 데이터의 위치 역시 기업이 직접 운영하는 데이터센터의 서버에만 한정되지 않고 정확한 위치를 알 수 없는 SaaS 클라우드 서버에 존재한다. 이러한 서비스들은 높은 수준의 업계 보안 기술을 적용해두었다고는 하지만 데이터를 가공하고 처리하는 과정에서 누군가의 계정관리 누락에 따른 보안 사고가 생길 가능성 역시 염두에 두어야 한다.



클라우드 기반 보안 업계 동향

클라우드 기반의 엔터프라이즈 보안의 어려움을 해결하기 위한 다양한 솔루션이 주요 보안 컨퍼런스에서 소개되고 있다. 글로벌 보안 컨퍼런스인 RSAC(RSA Conference), 데프콘(DEFCON)을 비롯하여 국내 주요 보안 컨퍼런스인 ISEC(국제 시큐리티 컨퍼런스), K-CTI(대한민국 사이버위협ㆍ침해사고대응 인텔리전스 컨퍼런스), G-Privacy (정부/공공/기업 개인정보보호&정보보안 컨퍼런스) 주제 발표와 솔루션을 엔터프라이즈 네트워크 관점에서 정리해보면 2019-2020년 사이에는 ‘제로트러스트 네트워크’라는 단어가 눈에 들어온다. 그리고 2020-2021년부터는 ‘SASE’라는 단어가 다시 등장하고 있다.

엔터프라이즈 보안솔루션의 본질은 악의적인 의도를 가진 공격자를 선제적으로 식별하고 악의적인 요청들을 분석하여 소중한 기업의 어플리케이션의 자산을 효율적으로 지켜내는 것과 동시에 내부로부터 시작되는 데이터의 유출 가능성을 차단 하는 것에 있다. 기업들의 업무 환경이 다양하기 때문에 다양한 컴포넌트들을 이용하여 여러 형태의 솔루션을 만들지만 지향하고자 하는 보안적 관점에서의 목표는 궁극적으로 동일하다.



트렌드 분석 - Zero Trust Network Access(ZTNA)부터 Secure Access Service Edge(SASE)까지

가. Zero Trust Network Access

2010년 보안 분석기관 포레스터 리서치는 기업용 자산과 어플리케이션에 접속하는 모든 사람과 장치를 신뢰할 수 없다는 개념을 바탕으로 한 ‘제로트러스트’라는 용어를 소개했다. 이 모델은 기업용 자산과 어플리케이션에 접근하는 요청을 접근하거나 거부하는 판단지표를 물리적인 네트워크의 위치가 아닌 접근 장비와 사용자의 인증에 집중한다는 것이 특징이다. 팔로알토 네트웍스의 CTO인 존 킨더버그가 말하는 제로트러스트 네트워크는 인터넷은 믿을 수 없는 네트워크이며 모든 접속에 대해 확인과 검증과정을 거쳐야 한다고 말한다. 기업의 임직원 프로파일을 살펴보고 그 역할에 따른 업무 어플리케이션별 접속을 개별적으로 허가하거나 거부하는 과정에 적용해야 한다는 개념이다. 그리고 이러한 보안검색과 통과절차가 기업 네트워크 부근에서 이루어지는 것이 아니라 접속하는 사용자에 좀 더 가까운 인터넷 상의 클라우드에서 이루어지기 때문에 상대적으로 기존 아키텍쳐보다 강력한 보안 구성을 가질 수 있다는 것이 중요한 특징이다.

제로트러스트 네트워크를 구현한 가장 대표적인 사례는 구글이다. 구글은 2014년부터 보안 모델을 VPN을 기반으로 한 네트워크 접속 기반에서 제로트러스트 네트워크 모델로 옮겨가려는 시도를 시작했으며 그 중 많은 시간을 임직원의 직무역할과 분류에 대한 파악과 재정의, 업무장비의 추적관리를 위한 인벤토리 서비스, 사용자 인증과 접근제어 정책개편등에 투자했다. 이제 구글 임직원들은 아주 특별한 경우를 제외하고는 VPN을 사용하지 않으며 기업 네트워크의 경계를 허물면서도 보안 아키텍쳐의 강화를 이루어냈다. 접속 정책을 사용자와 업무요청에 기반하여 적용하면서도 클라우드 기반의 자사 어플리케이션, 타사의 클라우드 서비스뿐만 아니라 직접 운용하는 데이터베이스까지 적용할 수 있었기 때문에 가능했으며, 이 과정에서 얻은 노하우를 바탕으로 작년과 올해에 걸쳐 구글클라우드를 통해 다른 기업들이 이 모델을 적용할 수 있도록 돕는 비욘드코프 제품군을(BeyondCorp) 출시하기도 했다.

표2-BeyondCorp

[그림2. BeyondCorp]

나. SASE(Secure Access Service Edge)

SASE는(“새시”라고 발음) 정보기술 자문회사인 가트너가 2019년 발간한 하이프 사이클(Hype Cycle for Enterprise Network) 보고서에서 처음 소개되었다. 이 보고서는 2024년까지 40%이상의 기업이 SASE를 도입하기 위한 전략을 가지게 될 것이라 예상했다는 점이 흥미롭다.

기업에서 필요한 보안기술의 적용은 클라우드를 통해 진행되어야 한다는 프레임 워크다. SASE 프레임워크는 크게 보안과 네트워크로 구분되고, 기업에게 필요한 다양한 기능들을 모두 충족시키는 것이 필요한데, 중요하게 살펴봐야할 다섯가지 기능은 다음과 같다.

표3-SASE

[그림3. SASE]

- SD-WAN Service: 기존의 광대역 인터넷과 프라이빗 링크를 통해 광역 네트워크 연결에 가상화된 리소스를 제공하는 소프트웨어 기반 네트워크 기술

- Secure Web Gateway: 웹사이트에 접속에 대한 필터링과 제어등을 포함한 관제기술

- Firewall as a Service: 네트워크 연결에 대한 방화벽 기능을 클라우드 형태로 제공하는 기술

- Cloud Access Security Service: 안전한 클라우드 사용을 돕는 중개자 서비스

- Zero Trust Networks: 엄격한 신원/장비 검증을 통한 강화된 보안 절차 제공 서비스

이처럼 많은 기능들을 요구하는 보안 프레임워크는 기업들이 클라우드 서비스나 인프라를 기반으로 성장함에 따라 기업용 데이터, 임직원의 접속위치, 타블렛과 스마트폰을 포함한 접속기기, 어플리케이션들이 사무실이나 데이터센터와 같은 고정된 장소가 아닌 외부에서 접속하고 있기 때문이다. 기업의 네트워크 경계는 더이상 보안팀에서 정의할 수 있는 한계를 벗어났고, 클라우드의 엣지까지 기업용 네트워크의 새로운 경계가 되었다.

SASE에서는 이외에도 다양한 기능들이 필요하다고 명시되어 있긴 하지만, 대부분의 기능들이 이미 사용되어 왔던 기술이나 개념이다. SASE는 기존의 주요 지점 검사 방식이 아니라 모든 종류의 접속지점 보안과 네트워크 기술들을 융합해야 한다는 기본 개념에서 시작하기 때문에 그렇다.



클라우드 기반 보안 아키텍쳐 적용을 위한 즐거운 여정

마지막으로 새로운 보안 모델을 엔터프라이즈에 적용하기 위한 절차를 살펴보자. Zero Trust Network, SASE모델 모두에게 적용되는 포괄적인 절차이며 기업 환경에 따라 각 절차를 검토하고 수행하는데 소요되는 시간이 가변적일 수 있다.

표4-보안모델적용절차

[그림4. 보안모델 적용 절차]

가. 보안 상태 진단

가장 먼저 스스로 기업용 엔터프라이즈의 보안을 점검하는 것이 첫번째다. 아래 10가지 항목을 먼저 살펴보자.

엔터프라이즈 보안 체크리스트 10가지 항목
  1. 임직원이 업무를 위해 접속하는 어플리케이션들의 취약점 패치는 최신 버전으로 이루어졌는가?
  2. 임직원 계정(아이디/패스워드)는 강화된 보안 정책을(2FA인증/분실처리/감사로그) 준수하는가?
  3. 임직원 업무특성에 맞는 어플리케이션 그룹에만 접근을 허용하고 있는가?
  4. 업무 어플리케이션 개발/운영 환경의 정보보호 관리를 위한 실무 책임자를 지정하였는가?
  5. 업무 어플리케이션 개발/운영 환경 시스템과 접속단말기등에 대한 정기 취약점 검사를 수행하고 예방대책을 수립하였는가?
  6. 임직원 업무용 단말기의 랜섬웨어/멀웨어 감염 방지를 위한 대책을 마련하였는가?
  7. 기업용 데이터센터와 클라우드 플랫폼에 동일한 수준의 보안 정책을 적용하였는가?
  8. 엔터프라이즈 네트워크 트래픽 모니터링과 위험 감지 체계를 구축하였는가?
  9. 엔터프라이즈 네트워크 트래픽은 적절한 형태로 암호화되어 처리되고 있는가?
  10. 외부로부터의 해킹가능성이나 내부로부터의 정보유출 가능성에 대해 모의 해킹을 수행하고 보호대책을 적용하였는가?
이 항목들 중 ‘네’라고 답한 항목이 5개 이하인 경우 기업용 엔터프라이즈 보안을 강화하기 위한 대처가 필요하다고 볼 수 있다.

나. 대상 어플리케이션 선정

두번째로 어떤 엔터프라이즈 어플리케이션에 SASE보안모델을 적용하기 시작할 것인지 정하는 단계다. 운영중인 엔터프라이즈 어플리케이션들중 가장 높은 빈도로 사람들이 접속하거나 개인정보를 다루는 어플리케이션이거나 접속속도나 오류발생과 같은 가장 많은 내부 불만이 있는 어플리케이션의 구조를 파악하고 위에서 소개된 다섯개의 주요 기능이 어떻게 해결할 수 있는가를 고민하는 단계다. 이 단계에서는 SASE 전문 보안벤더들의 도움을 받는 것을 권장하는데, 가급적 두개 이상의 독립된 솔루션을 비교하는 것이 좋다.

다. 보안 모델 부분 적용

위 과정에서 선택한 엔터프라이즈 어플리케이션에 SASE보안 모델을 적용할지 결정했다면 가능한 작은 단위로 시작할 것을 추천한다. 보안에 관한 이해도가 높은 부서를 대상으로 베타 테스트를 하는 것을 시작하는 것이 안전한 방법이다. 또한 보안 벤더들로부터 유사한 사례를 적용한 다른 기업들이 있는지 확인하고 적용 과정에서 어떠한 어려움이 있었는지, 예상되는 문제들은 어떤 것들이 있는지 파악해야 한다.

라. 검증 절차

새로운 보안 모델의 적용은 예상치 못한 문제를 발생시킬 수 있다. 오래전에 수동으로 적용해두었던 보안 필터에 의한 오동작, 파트너사 임직원을 위해 임시로 발급했던 계정 사용으로 인한 보안 경보 발생, 방화벽 도입 단계에서 누락된 어플리케이션으로 인한 접속 거부 현상등을 예로 들수 있다. 일정 시간을 두고 임직원의 업무처리에 문제가 없는지 지켜보고 발견된 문제점들을 목록화 하여 다음번 검증 과정에서 미리 확인하는 등의 예방적 절차도 필요하다.

마. 확대 적용

일부 엔터프라이즈 어플리케이션에서 성공적으로 SASE보안을 적용했고, 일정 기간동안 특별한 문제를 발견하지 못했다면 지금까지의 절차를 점차적으로 확대해도 좋다는 의미다. 많은 엔터프라이즈 어플리케이션들은 유사한 구조와 접속 환경을 가지고 있기 때문에 가능한 일인데, 가능한 도입 검토 시작 단계에서 해당 업무 담당자에게 새로운 보안 모델의 적용 과정에서 생길 수 있는 helpdesk성 이슈들에 대해 공유하는 것이 좋다. 가능하다면 일정 기간동안 임시로 보안 지원 채널을 (email, 전화, issue tracker) 열어두고 대응하는 것도 괜찮은 방법이며 이 과정은 어느정도의 SASE 보안 모델이 적용된 이후부터는 필요하지 않을 것이다.



저작권정책
K-ICT 클라우드혁신센터의 저작물인 『AIaaS(AI as a Service) - 인공지능 기반의 플랫폼』은 K-ICT 클라우드혁신센터에서 아카마이 테크놀로지스 김현도 부장에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.

다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.