[데이터넷] 90년대 말 회사에 T1(1.5Mbps), E1(2.5Mbps) 같은 인터넷 전용선이 설치되기 시작했다. 전용선이 설치되면서 방화벽도 도입되고, 이메일 서버도 도입됐다. 인터넷 확산이 가속화되면서 업무 환경이 급속히 바뀌기 시작했다.

과거에는 사내 직원끼리 주고받는 형태의 메일시스템이 주로 사용됐다면, 이제는 전 세계 누구와도 메일을 주고받을 수 있는 형태로 바뀌었다. 사회적으로는 닷컴 열풍이 불면서 IT기업 상장에 대한 관심이 높아졌고, 주식의 거래도 전화로 증권사 직원에게 주문을 하거나, 증권지점 객장에 방문해서 매수·매도 전표에 내용을 기입해서 거래하던 방식에서, 인터넷이나 HTS를 활용해서 거래하는 형태로 바뀌었다. 특정지역에나 가야 구할 수 있었던 성인잡지는 인터넷 브라우저만 열면 손쉽게 접할 수 있었다. 아이러브스쿨은 그동안 연락이 끊겼던 동창을 찾아주었다.

이렇게 급격히 변화가 오다 보니 사무실에서는 업무에 집중하기 못하는 직원이 늘어났다. 기업에서는 증권, 게임, 채팅, 성인 사이트 등 업무 이외의 사이트를 접속하지 못하게 하고자 했다. 이런 필요에 의해서 만들어진 솔루션이 초기 웹 보안 솔루션이었다.

웹 보안의 진화

인터넷 서비스가 다양해지면서 이전에 없었던 보안 문제가 불거지기 시작했다. 대표적인 웹 보안 이슈는 다음과 같다.

• 전송 데이터 암호화

초기 인터넷 서비스는 데이터를 평문으로 전송하는 방식이어서 보안에 매우 취약했다. 일례로 PC방에서 옆사람이 입력한 ID, 비밀번호를 손쉽게 가로챌 수 있었다. 이런 문제로 인해 인증정보, 개인정보 등이 유출됐으며, 인터넷에서 데이터 전송 시 암호화하는(https) 방식이 적용되기 시작했다.

초기에는 인증정보와 개인정보 전달 시에만 선택적으로 https를 사용하는 것이 일반적이었으나, 현재는 사이트 전체에 https를 적용하는 경우가 대부분이다. 과거에는 서버의 컴퓨팅 파워가 좋지 못해 암호화로 인한 부하 때문에 사이트가느려지는 현상이 많아 선택적으로 암호화를 적용했다.

• 악성코드 진화

초기에는 웹사이트 접속 시 팝업 창 폭탄이 뜨는 등 지금 보면 애교로 봐줄 만한 것들이 대부분이었다. 그러나 개인정보 거래가 돈이 되고, 용이해지면서 정보를 유출하기 위한 악의적인 코드들이 발생하기 시작했으며, 악의적 코드들이 웹페이지에 묻어서 사용자의 PC로 들어오기 시작했다.

당시 웹사이트는 단순한 구조였고, 웹방화벽(WAF)이나 지금과 같은 웹 보안 솔루션이 없었기에 단순한 트릭으로 입력란에 SQL 일부를 입력하거나, 특정 파일을 업로드하는 방식으로 DB의 데이터를 화면에 뿌리고, 원하는 파일을 다운받을 수 있었다.

• 내부 정보 유출

또 다른 문제는 내부자에 의한 정보의 유출이다. 데이터나 정보가 돈이 되면서 고객의 신상 정보, 기술 노하우가 담긴 설계 도면, 출점 및 영업계획 등을 경쟁업체 등에 빼돌리는 문제가 빈번하게 발생했다. 이를 방지하기 위해 엔드포인트 단에 USB 등의 장치를 통제하는 매체제어 솔루션이나 파일을 암호화하는 DRM 솔루션이 도입되기 시작했다.

웹 보안 위협이 진화하면서 보안 솔루션도 발전하고 있다. 암호화된 https 트래픽을 복호화해 검사하고, 그 속에 숨겨진 악성코드를 찾아서 이를 차단할 수 있게 됐다. 그러나 첫 번째 악성코드가 발견된 뒤 대책이 나오기 때문에 첫 번째 악성코드로 인한 피해를 막을 수 없었다.

모든 악성코드를 100% 막을 수 없지만, 최대한 리스크를 줄일 수 있는 있다. 발생하는 악성코드를 신속히 발견하고, 최단시간 내 대책을 배포해서 시간적 갭을 줄이는 방법이 그중 하나다. 신·변종 악성코드를 신속하게 발견하려면 전 세계에 수많은 센서가 있어야 한다. 포스포인트는 전 세계 10억개 이상의 센서, SNS 서비스와 연계된 보안 네트워크를 통해 수집한 데이터를 분석해서 15분 간격으로 패턴을 업데이트한다.

민감정보 유출을 막기 위해 DLP도 통합했다. 포스포인트 DLP는 지속적으로 소량의 정보 유출을 차단한다. 해킹을 통한 정보 유출 시도는 소량의 정보를 지속적으로 유출하는 경우가 대부분이며, 처음부터 대량의 데이터를 한 번에 유출하지 않는다. 적은 규모의 데이터를 전송해보고, 문제가 발생하는지 확인하고, 문제가 없으면 조금 더 전송해보는 식으로 진행한다. 예를 들어 10개 미만의 주민번호를 지속적으로 장기간에 걸쳐 유출하는 것을 발견하기 쉽지 않다. 대부분의 솔루션이 특정 시점의 데이터만을 보기 때문이다.

그러나 보안 전문가라면 10개의 주민번호가 매일 외부로 유출되는 것은 의심스러운 정황이라고 판단할 수 있다. 포스포인트는 사람의 행동 패턴과 이와 관련한 데이터를 지속적으로 모니터링하고 관리해서 리스크를 제거하는(Human Centric) 방식을 택한다. 이것은 포스포인트 제품 포트폴리오를 관통하는 일관적인 특징 중 하나다.

DLP뿐 아니라 웹 격리 솔루션과 연계해 더 높은 보안 효과를 얻을 수 있다. 웹격리는 보안적으로 아주 좋은 콘셉트이지만, 모든 인터넷 사이트를 웹격리로 처리하려면 고성능 장비가 필요하며, 웹 접속 속도가 느려져 업무가 불편해진다. 따라서 웹보안 솔루션이 위험하다고 확인된 사이트는 차단하고, 정상으로 확인된 사이트에만 접속을 허용하며, 의심스러운 사이트는 웹 격리로 처리하는 것이 효과적인 웹 보안 모델이다.

클라우드 기반 보안 서비스 출현

클라우드의 출현은 IT 서비스에 또 다른 혁신적 변화라고할 수 있다. 초창기 데이터 보안을 이유로 내부 데이터센터를 고집하던 기업들도 하나둘씩 클라우드로 마이그레이션하기 시작했다. 마이크로소프트 365, 세일즈포스 등 SaaS는 익숙하게 사용하는 업무 도구가 됐다.

보안솔루션도 예외가 아니다. 과거 어플라이언스를 데이터센터에 있는 랙에 직접 마운트해서 사용하는 온프레미스형태의 웹보안 솔루션이 근래에는 클라우드 형태의 서비스로 진화했다. 포스포인트 ‘웹 시큐리티 클라우드’가 그 대표적인 제품이다. 이를 통해 사내의 단말에 한정되던 웹보안의 영역이 WFA(Work From Anywhere)까지 확장됐다. 코로나로 인해 급격하게 재택근무가 확산되면서 기존에 관리하던 보안적 테두리로는 보안 위협을 통제할 수 없기 때문이다.

시큐어 액세스 서비스 엣지(SASE)는 대표적인 클라우드 보안 솔루션이다. SASE는 보안 웹 게이트웨이(SWG), 클라우드 접근 보안 브로커(CASB), 제로 트러스트 네트워크 액세스(ZTNA), SD-WAN 등의 기능이 포함된 통합 아키텍처다.

포스포인트는 클라우드 보안 게이트웨이(CSG), 프라이빗 액세스(PA)가 SASE의 역할을 한다. CSG에는 SWG, CASB, DLP, 원격 브라우저 격리(RBI) 기능이 포함돼 있다. 웹 보안의 클라우드 버전인 포스포인트 웹시큐리티 클라우드 제품이 SWG다. PA에는 ZTNA, 침입방지 기능이 포함돼 있다.

클라우드 기반 보안 서비스의 장점은 보안서비스 영역의 확대와 짧은 구축 기간, 매니지드 서비스 등 관리의 효율성이다. 또한 기존 온프레미스와의 조합이 가능해서 사내 접속에서는 온프레미스를 사용하고, 사외 접속 시에는 클라우드를 사용하는 하이브리드 구성 또한 가능하다.

솔루션 하나만으로 모든 보안 위협을 차단할 수 없으며, 탄탄한 관리체계와 프로세스가 뒷받침돼야 한다. 보안 솔루션 측면에서 네트워크, 엔드포인트, 서버, 온프레미스, 클라우드, 각각의 솔루션이 제 역할을 해야 하고, 이 솔루션이 유기적으로 작동해야 보안 리스크를 줄일 수 있다.