[데이터넷] 마이크로소프트의 사티아 나델라(Satya Narayana Nadella) CEO는 지난해 개발자 컨퍼런스 ‘빌드2020’에서 “2년 걸릴 디지털 트랜스포메이션이 2개월 만에 이뤄졌다”고 말했다. 코로나19로 재택·원격근무를 시행하면서 기업·기관이 클라우드 도입을 서두르면서 디지털 트랜스포메이션의 여정을 시작하게 됐다는 설명이다. 이러한 추세는 코로나19 이후에도 계속될 것으로 예상되며, 새로운 환경에서 발생할 수 있는 보안 문제에 대한 접근도 이전과 다른 시각의 접근이 필요하게 됐다. 본지는 3회에 걸쳐 포스트 코로나 시대의 보안 이슈를 짚어보고, 마이크로소프트가 제안하는 보안 전략을 소개한다. <편집자>

<연재 순서>
1. 새로운 시대의 보안 철학 ‘제로 트러스트’
2. 보안 내재된 클라우드로 안전한 하이브리드 업무 환경 조성
3. 보안의 미래, 통합·자동화·단순성

코로나19로 많은 기업과 기관이 재택근무를 경험하면서 그 효과를 확인했으며, 코로나19 이후 재택근무와 기존 사무실 근무를 병행하는 하이브리드 업무 환경을 운영하겠다는 입장을 밝힌다. 마이크로소프트의 ‘2021년 연간 업무동향지표(Work Trend Index)’에 따르면 비즈니스 의사 결정권자 66%는 하이브리드 작업 환경을 더 잘 수용하기 위한 물리적 공간 재설계를 고려하는 것으로 나타났으며, 직원의 73%는 유연한 원격 근무가 향후에도 지속되기를 바란다고 답했다.

하이브리드 업무 환경을 채택하는 조직이 늘어나면서 새로운 보안 문제가 불거지기 시작했다. 기존 업무 환경에서는 물리적으로 정해진 업무 공간의 경계를 중심으로 보안을 설계했으며, ‘업무공간 내에서의 접속은 안전하다’는 전제를 두고 보안 정책을 수립했다. 원격지에서 접속 이 필요한 일부 직원과 파트너, 출장 시 외부에서 접속해 야 하는 사람들은 VPN을 이용해 접속하도록 했다.

그러나 하이브리드 업무 환경으로 전환되면서 외부에서 접속해야 하는 직원과 기기가 늘어났고, VPN 증설과 정책 변경으로 인한 비용과 관리 복잡성이 높아져, VPN에만 의존하는 원격접속은 한계에 부딪혔다. VPN은 연결 전 사용자와 기기를 검증하지 않으며, 연결된 후 모니 터링하지 못해 VPN 계정을 탈취한 공격자가 접근하거나 사용자 PC에 감염된 악성코드가 VPN을 통해 내부 시스 템으로 들어오는 것을 막지 못한다.

클라우드 사용이 증가한 것도 기존 경계보안의 한계를 드러냈다. 퍼블릭 클라우드는 사용자와 가장 가까운 클라우드를 이용해 업무할 수 있어 생산성을 높일 수 있다. 그러나 사용자가 퍼블릭 클라우드로 직접 접속했을 때 사용자 행위를 모니터링 할 수 없어 정책 위반이나 보안위협이 발생하는 것을 감지하지 못한다.

그래서 사용자를 중앙 데이터센터로 먼저 접속하게 한 후 사용자와 가까운 클라우드로 접속하게 함으로써 사용자의 클라우드 사용 행위를 모니터링했다. 이로 인해 트래픽이 증가하고 속도가 느려지며, 중앙센터에서 병목현 상이 발생하는 등 클라우드 도입 효과를 누리지 못하게 됐다.

하이브리드 환경의 보안 경계, ‘ID’

새로운 업무 환경에서는 새로운 보안 철학이 필요하다. 시간, 장소, 기기 및 네트워크 환경에 제약없이 업무를  는 하이브리드 환경에서는 물리적인 네트워크 경계가 아니라 서비스에 접속하는 사람과 기기, 즉 ‘ID’를 보안의 경계로 정하고 보안 정책을 구성해야 한다.

‘제로 트러스트’가 이 원칙을 지킬 수 있는 보안 전략으로 부상하고 있다. 제로 트러스트는 사전에 정의된 신뢰를 제거하고 모든 접속과 행위를 검증하고 모니터링하는 것을 핵심 원칙으로 한다.

보호해야 할 데이터와 애플리케이션, 서비스, 서버를 외부에서 보이지 않도록 안전하게 감춰두고, 이 서비스에 접속하려는 사람이나 기기의 무결성을 검증한 후 해당하는 서비스로만 접속하도록 한다. 접속 후 행위를 모니터링하며, 다른 서비스로 접속할 때 다시 검증과정을 거치도록 한다. 공격자가 계정을 탈취해 정상 사용자로 위장해 접근하려 할 때 공격 대상인 서비스를 찾을 수 없게 하고, 공격자가 침투했다 해도 다른 서비스로 확장하지 못하도록 하기 위한 것이다.

더불어 지속적인 검증과 모니터링, 통합되고 자동화된 위협 탐지·대응으로 이미 진행중인 공격을 빠르게 탐지하고 완화조치를 하며, 복잡해지는 보안운영센터(SOC)를 효율화하고 업무 강도를 낮춰 보안인력이 더 높은 수준의 정교하고 지능적인 위협 대응에 집중할 수 있도록 한다.

2010년 제로 트러스트 개념을 처음 제안한 포레스터는 2019년 ‘확장된 제로 트러스트 프레임워크’를 발표했는데, 여기에서 강조한 핵심 원칙을 간단하게 정리하면 ▲명확한 검증(Verify explicitly) ▲최소한의 액세스 권한 부여(Grant least privileged access) ▲침해당했다는 전제(Assume breach)로 요약할 수 있다.

마이크로소프트는 이 같은 제로 트러스트 원칙을 지킬 수 있는 엔드 투 엔드 솔루션을 통합해 빌트인 된 보안 플랫폼으로 제공한다. 이로써 모든 환경에서 단순하지만 강력한 보안 정책을 운영할 수 있도록 돕는다.

마이크로소프트의 보안사업부문은 연 매출 100억달러에 이르는 세계 최대 보안 사업을 진행하고 있다. 매년 10억달러의 연구개발비를 투입해 보안과 컴플라이언스, 탈 중앙화된 신원확인 등 조직이 직면한 가장 어려운 보안 과제를 해결할 수 있도록 지원한다.

“해커들은 침입하지 않고 로그인한다”

제로 트러스트의 첫 번째 단추라고 할 수 있는 ‘명확한 검증’은 브렛 아세놀트(Bret Arsenault) 마이크로소프트 정보보호최고책임자(CISO)의 “해커들은 침입하지 않고, 로그인 한다”는 말에서 시작해야 한다.

공격자는 단단하게 구축된 보안 경계를 뚫는 것보다 쉽게 구할 수 있는 사용자 계정으로 ‘로그인’ 한 후 내부에서 더 높은 권한을 탈취하면서 공격 범위를 확장해간다. 정상 사용자 권한으로, 정상 프로세스를 이용해 중요 시스템으로 이동하는 공격자를 ‘신뢰기반 보안원칙’으로 설계한 기존 보안 솔루션으로 찾아내기 어렵다. 그래서 서비스 접속 전 사용자와 기기를 정확하게 검증해 권한없는 공격자의 접속을 차단해야 한다.

사용자와 기기를 검증하는 방법 중 가장 많이 사용되는 것은 ID/PW인데, 이는 지하시장에서 무료 혹은 저가에 구입할 수 있다. 공격자들은 이미 입수한 ID/PW로 서비스에 접속한 후 추가 정보를 탈취하는 크리덴셜 스터핑 공격을 통해 더 많은 계정 관련 정보를 입수하고 있다

사용자에게 계정 보호를 위해 더 길고 복잡한 비밀번호를 사용하고 주기적으로 바꿀 것을 권고하지만, 이는 사용자를 불편하게 할 뿐 공격을 어렵게 하지 않는다. 이에 암호없는 인증(Passwordless Authentication)이 대안으로 부상한다. 암호없는 인증은 사용자가 직접 입력하는 비밀번호를 제거하고 생체인식, 일회용 암호, 모바일 앱 을 이용한 푸시 알림 등을 사용해 사용자를 확인한다.

암호없는 인증은 사용자가 비밀번호를 입력하는 방식보다 강력한 인증 보안을 구현할 수 있다. 잊어버린 비밀번호를 재설정하거나 암호를 저장하는 등의 과정에서 소요되는 비용을 줄이고 규제준수 요건을 만족시키는데 도움이 된다. 사용자 경험을 개선할 수 있고, 사람이 아닌 기기 의 인증에도 사용할 수 있어 다양한 IoT 환경에도 적용 할 수 있다.

사용자 경험 개선하며 강력한 검증 가능해야

싱글사인온(SSO)을 이용해 ID를 통합하면 단일 관리 환경에서 온프레미스와 클라우드 모든 곳에서 디지털 자산에 대한 접속을 가시화하고 통제할 수 있어 강화된 검증 효과를 누릴 수 있다. 한 번의 인증으로 여러 애플리케이션에 접속할 수 있기 때문에 사용자 경험도 개선될 수 있으며, 사용자가 여러 서비스에 ID/PW를 입력하는 과정에서 해당 정보가 유출되거나 실수로 공개되는 일도 방지할 수 있다.

‘명확한’ 검증을 위해서는 상황에 따라 더 강력한 인증을 추가로 요구하는 다중인증(MFA)이 필요하다. 중요도가 낮은 업무에, 평소와 같은 패턴으로 접속하려는 사용 자는 자동 로그인으로 접속하게 하고, 보안 수준이 같은 애플리케이션에 접속할 때 SSO로 연동시켜 추가 인증 없이 진행하게 한다. 중요도가 높은 업무나 평소와 다른 상황의 접속이라면 OTP, SMS, QR인증, ARS, 생체인증 등의 추가인증을 요구한다.

인증 정책을 설계할 때 반드시 ‘최소 권한 부여’ 원칙을 지켜야 한다. 사용 편의성이 높은 간편인증은 계정정보가 탈취되거나 공격자가 기기를 장악했을 때 서비스를 보호하지 못한다. 적응형·상황인지 인증을 적용해 공격자의 이상행위를 찾아낼 수 있지만, 이상행위로 분류되지 않은 ‘의심스러운’ 행위는 탐지하지 못한다.

최소권한 부여 원칙은 인가된 서비스 범위와 인증 유 효시간을 최소화 해 침투한 공격자가 다른 서비스로 확장하거나 인가된 서비스에 은닉해 있다가 공격을 개시하는 것을 막는다. 이 같은 보안 원칙인 JIT(Just-In-Time), JEA(Just-Enough Access)을 적용한 ID 거버넌스를 구 축해야 한다.

제로 트러스트 3원칙 통합한 ‘애저 AD’

마이크로소프트는 ‘애저 액티브 디렉토리(Azure AD)’에 제로 트러스트의 3원칙을 통합시켰다. 애저 AD는 사용자의 환경과 위치, 디바이스 위험도를 측정 해 액세스를 허용하거나 제한·차단 여부를 판단한다. 암호없는 인증과 ‘임시 액세스 패스(Temporary Access Pass)’, ‘조건부 액세스(Conditional Access)’를 사용해 적절한 리소스를 보유한 적절한 사람만 적절한 데이터에 접근할 수 있도록 한다.

애저 AD는 SSO를 쉽게 적용해 원하는 디바이스에서 모든 서비스에 간편하게 접속할 수 있도록 해 사용자 경험을 강화하는 동시에 가시성을 향상시킨다. HR 시스템에 연결된 사용자가 접속할 수 있는 액세스 패키지를 자동으로 부여해 사용자와 관리자가 수동으로 설정하고 관 리해야 하는 ID 관리 항목을 최소화한다. JIT·JEA 및 사 용자 프로비저닝·프로비저닝 해제를 자동 구성하고 시스템의 모든 ID를 최신 상태로 유지시켜 항상 검증된 사용자와 기기만 접속할 수 있도록 한다.

애저 AD 조건부 액세스는 GPS 기반 위치 명명 기능과 디바이스 필터 조건 기능을 탑재해 접근제어를 보다 세분 화하고 디바이스 관리를 간소화한다. 이를 ‘마이크로소프 트 엔드포인트 매니저(Microsoft Endpoint Manager)’와 통합해 더 세분화된 제어를 제공한다. 엔드포인트 매니저에 필터 기능이 추가돼 디바이스 관리와 ID를 통합하고 특정 디바이스 사용자에게만 허용되는 정책과 애플리 케이션을 지정할 수 있다.

엔드포인트 매니저는 기기의 무결성을 검증하고 가시성을 확보해 감염됐거나 허가되지 않은 기기의 무단 액세스를 제어한다. 탈옥·루팅한 모바일 기기의 접근을 차단 해 잠재적인 위협을 제거하며, 공유 디바이스 모드를 이용해 사용자의 프라이버시를 보호하면서 회사 애플리케 이션에 액세스하는데 필요한 프로세스를 간소화한다. 윈도우 디스크 암호화 기술인 비트라커 기술을 모바일 기기까지 확대 지원해 랜섬웨어·데이터 탈취 등의 위협을 차단한다.

마이크로소프트의 엔드포인트 보안 솔루션 ‘디펜더 포 엔드포인트(Defender for Endpoint)’는 윈도우, 리눅스, 맥OS 등 다양한 OS를 지원하고, 관리되지 않은 기기를 검색하고 무단 침입을 차단하며, 취약성과 설정 오류 를 제어하고, 알려진·알려지지 않은 위협을 제거한다.

지속적인 탐지와 대응 필요한 제로 트러스트 여정

제로 트러스트는 장기간에 걸쳐 진행해야 하는 ‘여정’ 이다. 그래서 지속적인 탐지와 대응, 개선이 진행되어야 하고, 보안 기술과 시스템, 전략의 완벽한 통합, 단순화된 관리가 무엇보다 중요하다. 이에 온프레미스·클라우드 전반에서 완벽한 통합과 자동화를 이뤄야하며, 이를 기 반으로 AI를 활용한 위협 분석, 확장된 위협 탐지와 대응(XDR), 보안 오케스트레이션, 자동화 및 대응(SOAR)을 적용해야 한다.

하이브리드 업무환경에서 보안 복잡성이 높아지기 때문에 이 세 기술이 더 중요해진다. 재택근무 보안 문제를 예로 들어보면, 보안에 취약한 가정용 공유기를 사용하고 다른 가족 구성원도 사용할 수 있기 때문에 쉽게 감염될 수 있고 초보적인 해킹에도 피해를 입을 수 있다.

이 문제를 해결하기 위해 보안조직은 기기에 강력한 보안 솔루션을 설치하고, 업무에 접근할 때마다 강력한 인증과 기기 무결성 검증을 실시하며, 엔드포인트와 네트워크에 이상행위 탐지 시스템을 적용하려고 한다. 그러나 사용자 단의 보안이 강화되면 업무 생산성이 떨어지고 직 원의 반발이 심해지며, 충분한 리소스가 없는 IoT 기기는 사용할 수 없게 된다.

하이브리드 업무 환경에서는 사용자 경험을 보장하면서 강력한 보안을 유지해야 한다는 난제에 부딪히게 된다. 그래서 비즈니스 전체에 AI 기반 보안 분석 기술을 적용해 모든 행위를 지능적으로 분석하고 이상정황을 찾아 내야 한다.

AI 기반 보안 분석은 노이즈가 많기 때문에 SOC 업무를 폭증시킬 수 있으므로 통합과 오케스트레이션을 이용 해 SOC를 자동화하고, 보안 분석가는 자동화로 걸러내지 못한 위험도가 높은 위협 대응에 집중하도록 해야 한다. 이러한 요구를 위한 솔루션이 AI 위협 분석과 XDR, SOAR이다.

마이크로소프트는 엔드포인트 보호와 이메일, 협업, 클라우드 환경을 보호하는 ‘마이크로소프트 365 디펜더 (Microsoft 365 Defender)’ 통합 포털을 발표하며 강화된 XDR 전략을 공개했다. 또 SIEM과 SOAR를 통합한 ‘애저 센티넬(Azure Sentinel)’에 타사 솔루션 통합을 위 한 커넥터와 탐지 룰, 플레이북, 워크로드를 추가해 하나 의 패키지로 구축할 수 있도록 단순화했다.

AI 기반 위협 탐지 기능을 강화하기 위해 애저 센티넬에 ‘사용자 및 개체 행동 분석(UEBA)’을 추가해 AI 분석의 노이즈를 제거하고 이상징후를 정확하게 탐지할 수 있도록 했다. 또 ‘클라우드 앱 시큐리티(Cloud App Security)’를 통해 클라우드 의 의심스러운 앱 활동과 데이터 유출 시 도를 탐지하고 최신 클라우드 기반 공격을 차단한다.

마이크로소프트 아시아 사이버범죄 대응조직(DCU) 책임자인 메리 조 슈레이드(Mary Jo Schrade)는 “하이 브리드 업무 환경은 많은 조직에 새로운 보안 과제를 안 겨준다. 사람들은 생산성을 높이기 위해, 혹은 단순한 호기심으로 신뢰할 수 없는 애플리케이션을 사용하고 의심 스러운 웹사이트에 방문하며 악성메일을 열어본다. 회사 경계 밖에서 일어나는 위협 행위가 사내 시스템과 클라우 드를 감염시켜 심각한 피해를 입을 수 있다”며 “모든 조직은 사이버 위생(Cyber Hygiene)을 강화해야 하며, 이는 하이브리드 환경에 특히 더 중요하게 다가온다. 제로 트러스트 보안 원칙에 따라 단순하지만 강력한 보안으로 안전한 세상을 만들기 위해 노력해야 한다”고 말했다.