[제로 트러스트①] 보안 경계 사라지는 ‘재택근무’
상태바
[제로 트러스트①] 보안 경계 사라지는 ‘재택근무’
  • 김선애 기자
  • 승인 2020.11.09 14:18
  • 댓글 0
이 기사를 공유합니다

재택·원격근무, 디지털 트랜스포메이션 가속화
WFA 성공 위해 보안 전략 전면 재정립 필요

[데이터넷] 코로나19로 인해 가장 크게 바뀐 것이 업무 형태다. 집이나 공공장소, 지점·지사와 같은 원격지 등 어디에서나 일할 수 있는 ‘WFA(Work From Anywhere)’가 받아들여지고 있다.

가트너는 8월 발표한 ‘디지털 워크플레이스를 위한 하이프 사이클 6가지 트렌드’에서 원거리 경제(The distance economy)와 스마트 워크플레이스(Smart workspaces)를 주요 트렌드로 꼽았다. 대면 업무와 유사한 환경으로 비대면 업무를 조성할 수 있게 하며, IoT, 가상 작업 공간, 동작 센서와 얼굴 인식 등의 기술을 이용해 스마트한 작업 공간을 만드는 시도가 나타날 것이라는 전망이다.

기업 47% “코로나 후에도 원격근무 지속”

코로나로 WFA 확산세가 증가하는 것은 실제 조사에서 분명하게 나타난다. 포춘 조사에 따르면 2021년까지 직원이 사무실에서 일하도록 허용하지 않겠다고 답한 CEO가 26%에 불과했다. 가트너 조사에서도 기업 임원의 47%가 코로나 이후에도 원격근무를 지속하겠다고 답했다.

우리나라에서도 WFA가 빠르게 도입되고 있다. 일반 기업 뿐 아니라 공공·금융기관에서도 재택근무가 가능하도록 규제가 완화됐다. 공공기관 경영정보 공개시스템(알리오)에 따르면, 올해 상반기 정부 각 부처 산하 공공기관 363곳의 재택근무 인원은 7만4681명으로 공공기관 임직원 5.6명당 1명 꼴로 재택근무 를 진행했다. 금융기관의 경우 9월 전자금융감독규정 시행세칙을 개정해 외부에서의 업무망 접근을 허가할 수 있게 해 재택근무 확산에 가속을 붙였다.

WFA가 중요한 화두로 떠오르면서 관련 사업도 활발하게 일어나고 있다. 중소벤처기업부의 ‘비대면 서비스 바우처 수요 기업 모집 공고’에 5400여개 기업이 참여한 것으로 집계됐다.

이성권 시큐리온 대표는 “그동안 비용과 인력이 부족해 WFA에 소극적이었던 기업들도 정부 지원정책으로 WFA를 통한 디지털 혁신을 이룰 수 있는 기회를 갖게 됐다. WFA 초기에는 당면한 업무 수행을 위한 협업 툴 도입에 초점이 맞춰지고 있지만, 장기적으로는 WFA를 위한 보안 솔루션 도입이 진행될 것으로 기대된다”고 말했다.

WFA, 디지털 트랜스포메이션 가속화

기업·기관이 감염병 예방을 위해 WFA를 고민하는 것은 아니다. 포춘 조사에서 75%의 CEO가 ‘코로나19로 디지털 트랜스포메이션이 가속화 될 것’이라고 밝혔는데, WFA가 이 과정에서 큰 역할을 할 것으로 기대된다.

구글 조사에 따르면 91%의 직원이 원격으로 작업할 때 생산성이 더 높다고 느낀다고 답했다. WFA는 직원이 위치한 곳에서 즉시 일을 할 수 있기 때문에 업무 효율성을 높일 수 있으며, 장소와 사용 기기를 구분하지 않고 IT를 지원할 수 있어 업무 유연성도 높일 수 있다. 사용하 는 대역폭을 줄여 비용을 절감하고 직원의 사용자 경험을 향상시킬 수 있다.

이상적인 WFA는 사용자 경험을 최적화해 생산성을 극대화하며 각종 비용을 줄이는 효과를 제시할 수 있다. 그러나 현실적으로 WFA를 도입하기 위해 많은 사항을 고려해야 한다. 가장 중요한 고려사항은 ‘보안’이다. 어디서나 접속할 수 있는 WFA는 어디서나 공격할 수 있다는 뜻도 된다.

지스케일러 클라우드 플랫폼에서 수집한 데이터를 분석한 결과, 코로나 초기 원격 사용자를 대상으로 한 피싱 공격 85% 증가, 차단된 의심스러운 웹사이트·멀 웨어 파일 25% 증가, 엔터프라이즈 사용자 타깃 공격 17% 증가, 코로나 관련 도메인 신규 등록 9만6000건, 코로나 기간 동안 원격 사용자 대상 피싱과 악의적 웹· 멀웨어가 300배 증가한 것으로 나타났다. 공격자들이 원격 사용 환경에서 기회를 찾은 것이다.

WFA 보안 경계, ‘ID’

WFA는 보안의 경계를 ID로 내려오게 한다. 사내 네트워크 경계에서 보호막을 쳤던 방식이 아니라 직원과 디지털 자산이 위치한 그 곳에서부터 보호해야 한다는 뜻이다. 가장 쉽게 WFA를 이행하는 방법은 사내 보안 정책이 적용된 노트북을 지급하는 것이다. 사내 보안 정책이 적용된 단말기라고 해서 안전을 담보할 수 없다. 공격자는 기존에 구축된 보안 시스템을 우회 하는 방법을 잘 알고 있어 사용자 단말의 보안 정책을 무력화 하는 것은 쉬운 일이다.

원격지에서 내부 시스템으로 접속할 때 VPN을 사용하는데, VPN은 VPN 자체 취약점이 있을 뿐 아니라 사용자 계정을 탈취한 공격자가 드나들 수 있다. 또한 VPN은 방화벽을 거치지 않고 내부 시스템으로 접속할 수 있기 때문에 기기에 숨어있던 악성코드가 내부 시스템으로 유입될 수 있다.

VPN은 에이전트가 설치된 기기를 내부 시스템으로 인식하고 외부에서의 접근과 같은 강력한 보안 정책을 적용하지 않도록 설계했다. 인가된 내부자의 접근은 신뢰하고, 인가되지 않은 사람의 접근은 신뢰하지 않고 검증하도록 한 기존의 보안 접근 전략에 기반한 인프라이기 때문이다.

▲기존 인프라에서 원격근무 할 때 어려움(자료: 지스케일러)
▲기존 인프라에서 원격근무 할 때 어려움(자료: 지스케일러)

보안 접속·쉬운 구축 가능한 WFA 필요

지스케일러는 성공적인 WFA를 위해서는 다음과 같은 점을 고려해야 한다고 설명한다.

  • 다양한 애플리케이션에 보안 접속: 직원들이 업무에 필요한 다양한 애플리케이션에 안전하게 접속할 수 있어야 한다. 인터넷, SaaS, 사내 데이터센터, 퍼블릭 클라우드에 설치된 사내 애플리케이션 등 모든 애플리케이션에 대한 보안 접속이 필요하다.
  • 클라우드 아이덴티티 액세스 관리: 직원들이 사무실 또는 리모트 어디에서 일하든지 액세스를 관리하고, 승인된 직원들만 특정 애플리케이션이나 리소스에 액세스할 수 있도록 해야 한다.
  • 빠른 사용자 경험: 직원이 어떤 환경에서 접속하든 사무실에서 일할 때와 동등한 사용자 경험을 실현하는 것이 중요하다.
  • 신속한 전개: 다운타임은 생산성 저하로 이어지며, 수익에 영향을 준다. IT 팀은 어떤 환경에서든 원격접속 기능을 신속하게 전개해야 한다.
  • 가시성과 문제 해결: 운용관리를 효과적으로 하기 위해서는 포괄적인 감시와 투명성이 필요하다. IT는 원격이나 온프레미스 어느 방식의 액세스에서도 사용자와 애플리케이션을 실시간으로 가시화해야 한다. 문제가 발생했을 경우 근본 원인을 파악하고 해결할 수 있도록 미리 준비해야 한다.
  • 사이버 위협으로부터 보호: WFA에서는 인터넷이 새로운 네트워크가 된다. SaaS 애플리케이션을 이용할 경우 클라우드가 조직의 새로운 데이터 센터가 된다. 새로운 패러다임에는 새로운 보안 대책이 필요하다.
  • 데이터 보호: 리모트 워크 중인 직원들은 데이터센터 밖에서 데이터에 액세스하거나 파일을 저장한다. 적절하게 컨트롤하지 않으면, 회사의 지적 재산 확보에 필요한 정보를 IT가 얻을 수 없게 될 가능성이 있다.

제로 트러스트로 WFA 보안 만족

WFA, 클라우드와 같이 내부-외부의 경계가 모호해진 상황에서 기존에 구축한 ‘신뢰 기반 접근 정책’을 유지하는 것은 위험한다. 공격자는 내부자 권한을 탈취해 내부 업무 프로세스를 지키면서 침해를 이어간다. ‘신뢰할 수 있는 내부자’라 해도 그 행위를 모두 다 신뢰할 수는 없다.

포레스터는 2010년 ‘제로 트러스트(Zero Trust)’ 개념을 발표하면서 “신뢰하지 않고 항상 확인해야 한다”고 주장했다. 인가된 내부 사용자의 정상적인 접근이라 해도 모든 단계에서 다시 검증하고 모든 행위를 모니터링해야 한다는 뜻을 담고 있다.

▲포레스터 ‘확장된 제로 트러스트’
▲포레스터 ‘확장된 제로 트러스트’

제로 트러스트는 기본적으로 모든 액세스를 거부한 상태로 시작하며, 사람과 기기의 ID 및 속성, 접속 시간과 날짜, 지리적 위치 및 장치 상태 등 상황정보를 기반으로 최소 영역에 대한 액세스 권한을 부여한다. 다른 애플리케이션으로 이동할 때 또다시 검증과정을 거치도록 해 공격자가 신원 탈취·권한상승으로 더 높은 권한을 획득하면서 측면이동하는 것을 막는다.

‘제로 트러스트’의 개념을 단순하게 설명하면, 사람이나 기기를 검증한 후 해당하는 애플리케이션으로만 접속하게 하며, 접속 후 행위를 모니터링해 이상행위를 찾아내는 것이다. 간단해 보이지만 실제 구현은 매우 복잡하다.

포레스터는 2019년 발간한 ‘제로 트러스트를 통한 보안 전략 재창조(Reinvent Your Security Strategy With Zero Trust)’에서 “제로 트러스트는 장기간의 여정”이라고 정의했다. 포레스터는 제로 트러스트가 특정한 기술이나 솔루션이 아니라 플랫폼이며 생태계, 그리고 비즈니스 이니셔티브를 확장하기 위해 장기간 노력해야 하는 전략이라고 설명한다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.