[데이터넷] 코로나19로 원격·재택근무가 확산되고 일상의 많은 부분에서 온라인·비대면 소통이 늘어난 만큼 이를 노린 사이버 공격 및 범죄 또한 증가하고 있다. 이에 따라 전 세계적으로 사이버 보안의 중요성이 강조되고 있는 가운데 각국 정부는 사이버 위협 실태 및 대응 체계 점검을 비롯해 국민의 안전한 디지털 환경 구축을 위해 노력하고 있다.
엣지 서비스로 배포되는 ‘제로 트러스트’ 보안
기존에는 전용선이나 VPN을 통해 애플리케이션과 웹 트래픽을 여러 어플라이언스를 갖춘 데이터센터로 백홀링하는 방식으로 사이버 보안을 구축하는 경우가 종종 있었다. 그러나 이제는 업무 형태가 변화함에 따라 증가하는 트래픽과 다양한 위치에서의 접속에 모두 대응해야 하는 어려운 상황에 처했다. 그렇다면 왜 기존의 방식으로는 이를 해결할 수 없는 것인지, 미래의 변화에도 대응할 수 있는 솔루션은 과연 무엇인지 등에 대한 궁금증이 생길 것이다.
트래픽 백홀링은 성능 저하를 야기할 뿐 아니라 공격 트래픽을 백홀링하게 되면 훨씬 더 심각한 결과를 초래할 수 있다. 그럼에도 불구하고 기존의 보안 모델은 모든 트래픽을 보안 스택으로 백홀링하거나 일부 액세스가 보안 스택을 통과하지 못하도록 하는 두 가지의 루즈-루즈(lose-lose) 옵션 중 하나를 선택해야 하는 상황에 직면하게 된다.
물론 사이버 공격으로 인해 막대한 피해를 입을 수 있는 현대 사회에서 후자의 옵션은 사실상 선택할 수 있는 사항이라고 보기 어렵다. 모든 트래픽은 견고한 보안 스택을 통해 전송돼야 한다. 그렇다면 백홀링 없이 이러한 목표를 달성하려면 어떻게 해야 할까? 엣지 서비스로 배포 및 제공되는 ‘제로 트러스트(Zero Trust)’ 보안이 그 해답이 될 수 있다.
기존 보안 모델, 현재와 미래 상황에 부적합
직장에서 인터넷 기반 웹 애플리케이션에 액세스하는 직원들을 예로 들어 기존의 모델을 살펴보자. 직원들이 액세스하는 애플리케이션들에는 업무에 필수적인 SaaS 애플리케이션, 업무 처리 중 활용되는 웹 애플리케이션 또는 개인적인 일에 사용되는 기타 웹 애플리케이션 등 다양한 것이 포함될 수 있다. 이로 인해 발생하는 트래픽을 보호하기 위해서는 SWG(Secure Web Gateway)가 필요하다.
SWG는 수용 가능한 사용 정책이 반드시 시행되도록 담보할 수 있을 뿐 아니라 직원들이 실수로 피싱 사이트에 액세스하지 않도록 차단하고, 무엇보다 중요한 보안 요소인 멀웨어가 직원의 디바이스에 절대 다운로드되지 않도록 보장할 수 있다. SWG는 보안 스택의 필수 구성요소며, 사이버 보안에 대해 보다 엄격한 자세를 취하기 위해서는 인터넷 기반 웹 애플리케이션에 접근하는 모든 액세스가 SWG를 거치도록 해야 한다.
다만 문제는 SWG가 어플라이언스 또는 가상 어플라이언스의 형태로 단일 또는 소수의 장소에만 배포되는 기존 SWG 모델에는 백홀링이 필요하는 점이다. 대부분의 직원들이 한 사무실에서 근무하고 있거나 사무실의 수가 많지 않은 경우에는 SWG가 해당 사무실의 내부 혹은 근처에 위치하도록 하면 백홀링이 필요하지 않을 수 있다.
직원들의 원격 근무가 보편화됨에 따라 트래픽을 SWG로 백홀링해야 할 필요성이 생기는데, 일반적으로 이는 성능 저하 및 기타 확장 문제를 야기하는 원격 액세스 VPN을 통해 이뤄진다. 직원들이 사무실에서 근무하는 경우에도 마찬가지다. 그들이 만약 주 사업장이 아닌 위성 사무실(satellite office)에 있다면 트래픽을 SWG로 백홀링을 해야하는데 이는 일반적으로 MPLS와 같은 사무실 간 전용 통신 링크를 통해 진행되면서 높은 비용을 발생시킨다.
모든 트래픽 흐름, 액세스 제어·검사 거쳐야
보안 스택의 필수 구성요소에는 SWG만 있는 것이 아니다. 강력한 사이버 보안 상태 유지를 위해서는 SWG를 통과하는 인터넷 접속뿐 아니라 모든 트래픽 흐름이 액세스 제어 및 검사를 반드시 거치도록 해야 한다. 이러한 요구사항은 제로 트러스트의 근본 철학이다.
구체적인 사례를 들어 살펴보자. 직원들이 기업의 데이터센터 또는 클라우드에 배포된 사내 애플리케이션에 액세스하는 경우, 관련 트래픽 또한 보안 스택을 거쳐야 하는데, 이는 흔히 제로 트러스트 네트워크 액세스라고 불리는 구성요소를 통해 이뤄진다. 기본적으로 해당 구성요소는 ID 인지 프록시라고 볼 수 있으며, 엄격한 인증을 통해 해당 애플리케이션에 대한 액세스 권한을 확보한 사용자들에게만 각 애플리케이션의 노출 및 접근이 허용되도록 보장하는 역할을 한다.
중요한 것은 제로 트러스트 보안 상태에서는 모든 트래픽 흐름이 보안 스택을 통과해야하는데 기존 배포 모델에서 이러한 요구 사항을 충족시키려면 백홀링이 필수지만 이에 따른 문제들이 수반된다는 점이다. 백홀링은 높은 비용과 성능 저하를 야기하는데 일부 트래픽이 공격 트래픽일 수 있다는 점을 고려하면 문제는 더욱 심각해진다.
결국 공격 트래픽을 처리하는 것은 보안 스택의 몫이다. 해당 트래픽이 보안 스택에 도달하기 전까지는 공격 트래픽인지 여부를 알 수 없기 때문이다.
그만큼 백홀링은 공격 트래픽이 네트워크 링크 및 디바이스와 상호작용하고 손상시킬 수 있는 가능성을 높여 중요한 업스트림 링크를 제거하고 전체 보안 스택을 접근 불가 상태로 만드는 등의 피해를 입힐 수 있다.
엣지에서 보안 스택 배포돼야
그렇다면 어떻게 해야 할까? 트래픽을 보안 스택에 백홀링하는 대신 트래픽이 발생하는 엣지에 보안 스택을 배포하는 것이다. 이러한 모델에서는 완전한 제로 트러스트 보안 스택이 엣지 인프라에서 구동되는 서비스의 형태로 제공된다.
보안 스택을 엣지에 배포하면 사용자 및 직원들의 위치가 사무실인지 집인지 아니면 이동 중인지에 관계없이 항상 그 근처에 있을 수 있다. 마찬가지로 데이터 센터, 클라우드, 심지어는 누군가의 책상 아래를 비롯한 모든 위치에서 애플리케이션 가까이에 있을 수 있다.
보안 스택은 그 필요성이 가장 높은 곳, 트래픽이 있는 곳, 즉 사용자 및 애플리케이션과 가까운 엣지에 위치함으로써 백홀링 없이도 보안을 지킬 수 있다. 뿐만 아니라 엣지에 있는 보안 스택은 감염된 기업 디바이스 및 봇을 포함한 모든 공격자들의 근처에 있으므로 공격 트래픽이 피해를 입히기 전에 그 근원지 부근에서 미리 차단할 수 있다.
엣지 서비스형 제로 트러스트 보안 스택을 활용하면 백홀링 없이도 모든 트래픽 흐름을 보호할 수 있다.
