통합 보안 플랫폼에 탑재되며 공격 차단 역량 높여
[데이터넷] 이메일만큼 공격에 자주 이용되는 것이 웹이다. 타깃 사용자가 자주 방문하는 웹사이트에 악성링크를 숨기거나, 정상 사이트와 유사하게 제작된 가짜 사이트로 사용자를 유인해 감염시키는 방법이 흔히 사용된다. 그래서 원격지 가상환경에서 브라우저를 열어 웹사이트에 접속하도록 하는 원격 브라우저 격리(RBI) 기술이 주목된다.
RBI는 사용자 기기에 영향을 주지 않는 원격지에서 페이지를 열어 보여주기 때문에 사용자 기기는 공격 영향을 받지 않는다. 웹페이지에 악성코드가 숨어있다 해도 해당 세션이 종료되면 웹페이지 읽는데 사용한 1회용 브라우저도 사라지기 때문에 악성코드 감염 가능성이 없다.
RBI는 사용자 경험을 해치지 않으면서 격리 환경을 제공하는 것이 핵심인데, 이는 쉽게 구현할 수 있는 기술은 아니다. 웹사이트의 하위 페이지까지 격리 환경에서 원본 그대로 보여줄 수 있어야하며, 여러 플러그인까지 활용할 수 있어야 한다. 또한 사용자가 웹 페이지에 입력한 값이 공격자에게 보여지지 않도록 보호해야 한다.
한 번 열어보고 종료한 페이지를 다시 로드할 때, 새 화면이 아니라 마지막으로 열어봤던 페이지를 보고 싶어하는 사용자도 있고, 인터넷 사용기록을 남기고 싶어하는 사용자도 있다. 그런데 원격 브라우저가 완전히 삭제되면 이전에 봤던 내역을 볼 수 없기 때문에 사용에 불편함을 줄 수 있다.
또한 웹페이지 로딩 시 평소와 달리 오랜 시간이 걸리면 업무에 지장이 있다는 점도 RBI 선택 시 중요한 검토사항이다. 업무 환경이 분산되고 복잡해지는 상황에서 느린 웹은 민감한 의사 결정 시간을 지연시켜 큰 피해를 입힐 수 있다. 그래서 RBI는 지연 없는 접속이 반드시 필요하며, 원본 웹페이지와 동일한 사용자 환경을 구현할 수 있어야 한다.
사용자와 원격 브라우저, 원격 브라우저와 실제 웹 사이트와의 통신이 안전하게 보호되어 중간에 중요 정보가 탈취되지 않도록 해야 하고, 소규모 사용자부터 수백만의 대규모 사용자까지 원활하게 사용할 수 있도록 높은 확장성을 갖춰야 한다. 웹페이지의 동영상, 텍스트 등 다양한 미디어 형식에서도 렌더링 속도와 품질이 원본과 동일해야 하고, 인쇄, 복사, 붙여넣기 등 일반적인 작업도 정상적으로 수행되어야 한다.
고속 렌더링으로 사용자 경험 저해 없이 무해화
RBI 시장의 선두주자는 멘로 시큐리티로, 고속 클라이언트리스 렌더링(ACR) 기술을 이용해 사용자 경험에 영향 없이 거의 대부분의 웹페이지를 격리 브라우저에서 열어볼 수 있게 한다. 자체 개발한 언어로 브라우저를 구동시키기 때문에 HTML 환경에 맞게 제작된 악성코드는 활동하지 못하며, 활동한다 해도 해당 세션이 종료되면 원격 브라우저도 삭제되기 때문에 악성코드가 사용자에게 영향을 주지 못한다. 또 원격지에서 열리기 때문에 사용자 기기를 감염시킬 수 없다.
멘로시큐리티는 격리 기술을 핵심 엔진으로 한 시큐리티 서비스 엣지(SSE) 플랫폼을 제공하며, 99.99% 이상 가용성과 확장성, 레거시 보안체계 바이패스로 속도개선 등의 기능을 지원한다. 서비스 가용성이 99.99% 미만으로 떨어지면 페널티 지급, 멘로시큐리티 격리 기술 사용 중 감염됐을 때 100만달러 배상 계약을 맺으며 서비스 안정성과 보안성에 자신감을 보인다.
멘로시큐리티는 웹 격리 기술로 제로 트러스트 기반 웹 경험을 제공하는 대표적인 사례로 HTML 스머 글링(HTML Smuggling) 공격 방어 방법을 설명했다. HTML 스머글링은 자바스크립트를 사용해 사용자 브라우저 상에 표시된 HTML 페이지에서 프로그래밍 방식으로 악성 페이로드를 구성할 수 있도록 한다. 이 방식은 웹 개발자들이 파일 다운로드를 최적화하는 방법으로 사용해왔지만, 웹 프록시나 샌드박스, 방화벽을 회피할 수 있기 때문에 공격자들이 악용하고 있다.
멘로시큐리티는 웹 격리 기술을 이용하면 악성 페이로드가 사용자에게 영향을 미치지 않아 무해화된 웹 환경을 이용할 수 있다. 멘로시큐리티는 CDR 기술과 연동해 웹·문서를 이용한 공격을 원천 제거한다.
김성래 멘로시큐리티 한국지사장은 “멘로시큐리티는 격리 기술은 수많은 글로벌 기업·기관과 국내 30여개의 기업에서 사용, 보안성과 편의성을 인정받았다. 미국 국방부에서도 멘로시큐리티 인터넷 격리 기술을 활용해 350만명의 국방부 직원의 원격근무를 보호한다”며 “빠르고 정확하고 안전한 멘로시큐리티 보안 기술이 앞으로 더욱 더 극심해질 사이버 공격으로부터 고객을 보호할 수 있을 것”이라고 강조했다.
SSE에 통합되는 RBI
RBI와 CDR이 제로 트러스트 언칙을 구현해 지능적인 공격으로부터 사용자를 보호할 수 있다고 인정받으면서 글로벌 보안 기업들이 전문기업을 인수하거나 기술을 자체 개발하면서 경쟁을 시작했다. 글로벌 기업은 RBI와 CDR을 단독 솔루션으로 공급하기보다 SASE·SSE 혹은 통합 보안 플랫폼의 기술 요소 중 하나로 탑재하면서 자사 보안 플랫폼의 경쟁력을 높이고자 한다.
특히 RBI는 거의 대부분의 보안 플랫폼에 통합되고 있는데, 지스케일러, 포스포인트, 스카이하이 시큐리티(구 맥아피 엔터프라이즈) 등의 SSE에 RBI가 통합돼 있다. 대부분의 격리 솔루션은 웹사이트의 신뢰도를 수치화 해 격리 브라우저에서 열지 판단한다. 확실하게 신뢰할 수 있는 사이트까지 격리 환경에서 열면 인프라 리소스가 너무 많이 들고 사용 편의성도 해칠 수 있다. 또한 복잡해지는 하이브리드 환경에서 모든 웹 활동을 격리 환경에서 지원할 수 없다.
이승원 시큐레터 CTO는 “격리 기술은 원격 브라우저에서 렌더링된 화면만 보여주기 때문에 알려지지 않은 위협으로부터 안전하게 사용자를 보호할 수 있다는 장점이 있지만, 민감 자료를 취급하는 업무에서 외부 클라 우드를 통하는 원격 격리 브라우저에서 열어보도록 하는 것은 맞지 않을 수 있다. 민감한 개인정보 처리나 대 규모 정보를 처리하는 업무 등은 RBI를 적용하지 못한다”며 “RBI가 필요한 업무에 한해 적용하고, CDR·웹 콘텐츠 무해화(WCDR) 등의 기술이나 다양한 악성코드 탐지 기술을 적절히 활용해 각 업무에 맞는 보호 대 책을 마련해야 할 것”이라고 말했다.
