[클라우드 내비게이터④-SSE] 엣지 보안으로 분산 환경 보호
상태바
[클라우드 내비게이터④-SSE] 엣지 보안으로 분산 환경 보호
  • 김선애 기자
  • 승인 2022.10.10 09:00
  • 댓글 0
이 기사를 공유합니다

SSE, 클라우드 엣지서 보안 통제해 모든 사용자·기기 동일한 보안 제공
SWG·CASB·ZTNA 및 여러 보안 기술 통합하며 플랫폼으로 진화

[데이터넷] 하이브리드 클라우드 보안 시장에 시큐리티 서비스 엣지(SSE)라는 새로운 용어가 등장했다. 시큐어 액세스 서비스 엣지(SASE)에서 보안 분야만을 떼어서 새롭게 만든 용어다. 제로 트러스트 엣지(ZTE)라는 용어도 나왔다. 엣지 컴퓨팅을 이용해 제로 트러스트를 구현한다는 의미다. 세 용어 모두 기본 개념은 같다. 중앙 데이터센터가 아니라 사용자와 가까운 ‘엣지’에서 서비스를 제공하고 통제해 분산 환경을 유연하게 관리한다는 것이다.

클라우드는 업무 환경을 효과적으로 분산시킬 수 있다. 언제, 어디서나 애플리케이션에 접속해 일할 수 있기 때문에 굳이 사무실에 가지 않아도, 원격지에 출장을 가지 않아도 업무가 가능하다. 지정된 업무 장소 없이 이동 중에도 충분히 일 할 수 있다.

그런데 분산된 클라우드에서 사용자가 어떤 행위를 하는지 파악하기 어려워 데이터 유출이나 랜섬웨어 감염 등의 사고를 당할 수 있다. 예를 들어 서울에 본사를 둔 글로벌 기업의 파리 지사에서 M365를 이용해 업무를 한다면, 당연히 파리에 위치한 애저의 M365에서 일하게 된다. 이 경우, 서울 본사에서는 이 사람이 실제로 일을 했는지, 보안 정책에 위배되는 사항은 없는지 파악하기 어렵다.

지금까지는 파리 지사에 있는 사람도 서울 본사 데이터센터를 경유해 파리의 애저 리전으로 다시 돌아가 일하는 방식을 사용해왔다. 그러면 중앙에서 가시성을 가질 수 있지만, 접속에 걸리는 시간이 많이 걸려 사용이 불편하고, 네트워크 비용을 과도하게 사용하게 된다.

사용자와 가장 가까운 리전 혹은 PoP에 엣지를 두고 네트워크·보안을 통제하고, 이 엣지의 보안 정책은 중앙에서 통제하면, 사용자 경험을 해치지 않고 트래픽 비용을 낭비하지 않으면서 중앙통제가 가능하다. 이것이 SSE·SASE, ZTE의 개념이다.

쉽게 도입 가능한 SSE

SSE는 2022년 2월 가트너가 매직쿼드런트를 발표하면서 등장했다. 가트너는 퍼블릭 혹은 프라이빗 클라우드에서 SWG, CASB, ZTNA를 제공하는 솔루션을 SSE로 정의했다. SSE는 웹, 클라우드 서비스, 개인 애플리케이션한 액세스를 보호하며, 액세스 제어, 위협 보호, 데이터 보안, 보안 모니터링 및 네트워크 기반 및 API 기반 통합에 의해 수행되는 허용 가능한 사용 제어를 포함한다.

SSE는 네트워크 구성 변경 필요 없고 클라우드로 구독하는 것 만으로 쉽게 사용할 수 있으며, 필요한 기능을 우선 사용하고 필요에 따라 추가·확장할 수 있다. 가트너는 SSE가 연평균 21% 성장하고 있으며, 2025년까지 SSE 서비스를 도입하려는 조직의 80%가 개별 보안 서비스를 도입하기보다 통합된 솔루션을 도입할 것이라고 예측했다.

▲SASE의 개념적 모델(자료: 아카마이)
▲SASE의 개념적 모델(자료: 아카마이)

SSE를 공급하는 기업은 매우 많다. 클라우드 기반 보안 서비스를 제공하는 기업들은 거의 대부분 SSE 혹은 이 개념을 갖춘 서비스를 제공하고 있는 셈이다. 플랫폼에 핵심 기술을 완벽하게 통합해 단일 사용환경과 관리 환경을 제공하는 경우도 있지만, 자사 기술이라도 통합하지 못하고 단순히 나열한 것에 불과한 경우도 있다. 써드파티 기술이나 인수한 기술을 통합하지 못한 경우도 있어 플랫폼의 이점을 제공하지 못한다.

그래서 SSE를 고민할 때 서비스가 실제로 어떤 아키텍처를 채택하고 있는지, 이 서비스를 사용한 다른 기업의 사례와 우리 조직에 맞는 서비스 아키텍처인지 꼼꼼하게 따져볼 필요가 있다. 또한 관리 편의성과 탁월한 사용자 경험을 보장하는지, 비즈니스 변화에 따라 유연하게 확장·축소 혹은 변경이 가능한지 살펴봐야 하고, 조직에게 필요한 추가 보안 기능을 플랫폼에 쉽게 추가할 수 있는지 등을 따져봐야 한다.

통합 플랫폼으로 보안 서비스 제공

클라우드를 통해 보안을 서비스한다는 개념으로 SSE를 본다면 아카마이의 보안 솔루션이 매우 충실하게 이를 구현했다고 볼 수 있다. 아카마이는 글로벌 클라우드 엣지를 통해 다양한 보안 기술을 제공하고 있다. HTTPS를 포함한 모든 트래픽을 분석해 위협을 사전에 차단하며, 클라우드 보안 인텔리전스를 확보해 시시각각 달라지는 공격 양상을 파악하고 대응한다.

아카마이의 보안 포트폴리오는 웹 기반 공격 차단, 봇·디도스 방어, 계정탈취·피싱·공급망 공격 차단, 원격 보안 접속, 다중인증, SWG와 마이크로세그멘테이션을 통한 직원 및 내부 보호 등으로 구성된다.

아카마이를 국내에 공급하는 굿모닝아이텍의 보안 자회사 조인어스비즈는 아카마이 솔루션을 고객 한경에 맞게 제공하는 한편, 멘로시큐리티 RBI와 SSE, RSA 넷위트니스 XDR, 시큐어가드테크놀러지 APPM 등 조인어스비즈가 공급하는 다른 솔루션과 함께 제공해 보다 완벽한 보안을 운영할 수 있게 한다.

멘로시큐리티는 클라이언트 없는 고속 렌더링 기술 ‘ACR(Adaptive Clientless Rendering)’을 이용한 원격 브라우저 격리(RIB) 기술로 사용자 경험 저하 없이, 웹사이트를 격리 환경에서 보여주어 사용자의 웹 활동을 보호한다. RBI는 사용자가 웹사이트에 접속할 때 가상의 격리된 브라우저에서 사이트를 열어 웹사이트에 숨은 악성코드가 사용자에게 영향을 미치지 않도록 하는 기술이다.

멘로시큐리티 보안 플랫폼은 RBI 기술을 비롯해 SWG, CASB, DLP, FWaaS가 통합돼 있으며, 2022년 ZTNA 솔루션 ‘멘로 프라이빗 액세스(MPA)’를 출시하고 SSE 플랫폼을 완성했다. MPA는 애플리케이션을 격리된 환경에서 보여주어 감염된 기기와 사용자가 애플리케이션을 위험하게 하는 것을 막고, 직원들이 어떤 환경에서도, 어떤 기기를 이용해서도 안전하게 업무할 수 있도록 지원한다.

한편 굿모닝아이텍은 9월 인포블록스와 파트너십을 맺고 DNS를 중심으로 한 클라우드 보안 서비스도 제공한다. DDI 전문기업 인포블록스는 모든 연결의 시작인 DNS에 수집되는 데이터를 분석해 지능적인 탐지·대응을 위한 정보를 제공한다. 이를 SOAR 플랫폼에 연계해 더 지능적인 보안 대응이 가능하게 하는 한편, 클라우드에서 중요도가 더 높아지는 DNS 보안을 제공해 SASE를 위한 여정을 더 안전하게 한다.

탁월한 프록시 기술로 클라우드·사용자 접근 보호

클라우드 기반 보안을 제공할 때 매우 중요한 인프라 중 하나가 프록시다. 포워드 프록시는 사용자가 접근할 수 있는 웹 활동을 제한시킬 수 있고, 리버스 프록시는 내부 서버를 보호하는 역할을 한다. 최근에는 HTTPS 복호화 기능을 추가해 암호화 트래픽을 포함한 모든 트래픽을 분석해 암호화에 숨은 위협도 제거할 수 있게 한다.

포워드 프록시를 이용하는 SWG는 기술 자체에 대해 주목할만한 진전이 있는 것은 아니지만, SSE의 핵심 기술로 꼽히면서 SSE의 성능과 안정성, 보안성을 판단하는 기술적 기준은 될 수 있을 것으로 보인다.

SWG 시장의 강자인 지스케일러가 2022년 2월 가트너가 처음 발표한 SSE 시장 매직쿼드런트에서 가장 높은 실행력을 인정받으면서 리더 그룹에 포함됐다. 리더 그룹에 속한 맥아피엔터프라이즈(현 스카이하이시큐리티)는 실행 능력 면에서 높은 점수를 받았다. 지스케일러는 10년 연속 SWG 시장 리더였고, 2020년에는 유일하게 리더 그룹을 지킨 기업이다.

탁월한 프록시 기술을 이용해 클라우드 엣지에서 통합 보안을 제공하는 지스케일러의 SSE는 위험을 감소하고 ZTNA를 통한 안전한 원격 접속을 보장한다. 사용자가 위치한 곳에서 사용자와 애플리케이션의 연결을 추적·관리해 어느 위치에서도 일관성있는 보안 정책 적용과 가시성 확보가 가능하다. 공격표면 관리를 통해 서비스 환경의 외부 노출을 방지해 공격받을 가능성을 제거한다.

국내 기업 중에서는 모니터랩이 포워드·리버스 프록시 기술을 이용해 웹 보안과 원격접속 보안을 모두 제공한다. 모니터랩은 글로벌 클라우드 인프라 ‘아이온클라우드(AIONCLOUD)’를 운영하고 있으며, 이를 통해 네트워크 엣지 플랫폼 ‘AISASE’를 제공한다. 웹방화벽, SWG, ZTNA, CASB, DLP가 포함돼 있다. 모니터랩의 AISASE는 보안 스택을 클라우드 엣지 플랫폼에서 제공하면서 보안체계 전반을 개선하고 공격자의 성공을 어렵게한다.

SECaaS 플랫폼 아이온클라우드는 웹사이트 보호(Website Protection) 서비스와 ZTNA 솔루션 ‘시큐어 인터넷 액세스(SIA)를 제공한다. 웹사이트 보호 서비스에는 웹방화벽, 웹사이트 멀웨어 스캐너(WMS), 시큐어 CDN, 디도스 완화 등의 솔루션이 포함된다. SIA는 인증된 사용자만 안전하게 업무에 접속할 수 있도록 하며, 원격접속 보안 솔루션을 대체할 수 있다.

SaaS 가시성 확보 ‘필수’

클라우드 사용 중 발생하는 매우 심각한 문제 중 하나가 가시성이 떨어진다는 것이다. 자사에서 사용하는 클라우드 현황을 파악하지 못하며, 어떤 데이터가 어떻게 유통되는지 알지 못한다. 관리되지 않은 SaaS 앱에서 데이터가 유출되고, 계정이 탈취되며, 랜섬웨어가 접근한다.

기가몬 ‘2022년 이후의 랜섬웨어 상태’ 보고서에서는 IT 의사결정권자 87%가 하이브리드·멀티 클라우드 환경에서 랜섬웨어가 숨어있는 위치를 식별하기 위해 더 많은 가시성이 필요하다고 응답했다.

클라우드 중에서도 허가받지 않은 SaaS를 사용하거나 잘못된 설정으로 중요 데이터가 낮은 권한으로 애플리케이션으로 이동하는 등의 문제가 발생한다는 것이 매우 심각하다. 그래서 CASB가 필수로 요구되는데, CASB는 허가된 애플리케이션에만 접근할 수 있도록 해 섀도우 클라우드를 제거하고, 애플리케이션에서의 사용자 활동 모니터링과 보안 정책 규정 준수, 멀웨어 방지, 데이터 유출 방지 등의 기능을 제공한다.

CASB는 사용자와 클라우드 간의 데이터 액세스 경로에 위치하며, 엔드포인트 디바이스에 에이전트를 설치할 수 있으며, 혹은 에이전트리스 방식으로 각 장치에 대한 구성을 요구하지 않고도 프록시 에이전트를 사용할 수 있다. 에이전트리스 CASB를 사용하면 회사에서 관리하는 디바이스, 무인 BYO 장치를 신속하게 배포하고 보호할 수 있다. 에이전트리스 CASB는 또한 사용자 개인 정보를 존중해 회사 데이터만 검사한다.

에이전트 기반 CASB는 회사에서 관리하는 장치에서만 배포하기 어려운 경우에 효과적이다. 일반적으로 회사 및 개인 데이터를 모두 검사한다. 관리를 제공하는 CABS는 API를 사용해 클라우드의 데이터 및 활동을 검사해 위험한 이벤트에 대해서 경고할 수 있다. CASB의 또 다른 관리 기능은 클라우드 응용 프로그램 사용을 위해 방화벽 또는 프록시 로그를 검사한다.

데이터 보호 강조하는 CASB

CASB의 대표 기업은 스카이하이네트워크로, 맥아피에 인수돼 클라우드 보안 솔루션 중 하나로 제안됐다. 2022년 맥아피 엔터프라이즈가 스카이하이 시큐리티로 사명을 바꾸면서 CASB의 장점이 다시 부각되고 있다. 스카이하이 CASB는 가장 빠르고 안정적으로 허가된 애플리케이션 접근을 허락하고, 데이터 유출을 막으며, 클라우드 애플리케이션 타깃 위협 방어, 규제준수를 제공한다.

세분화된 콘텐츠 공유와 액세스 제어를 포함해 사용자 활동이 발생할 때 데이터를 보호할 수 있도록 실시간 제어를 제공한다. 위험 인식 클라우드 거버넌스 지원 위해 사용자 지정 가능한 261 포인트 위험 평가를 기반으로 세계 최대 규모의 정확한 클라우드 서비스 레지스트리를 지원한다. 사고 후 조사·포렌식 지원을 위한 모니터링과 머신러닝을 활용한 내부자 위협 탐지, 데이터 암호화와 민감 데이터 보호 기능도 지원한다.

동훈아이텍을 통해 국내에 공급되는 스카이하이는 ‘데이터 인지 클라우드 보안(Data-Aware Cloud Security)’이라는 비전을 밝히며 ▲CASB ▲SWG ▲ZTNA ▲CNAPP ▲DLP ▲RBI를 통합한 보안 플랫폼으로 중요 데이터를 보호하다고 설명했다.

가트너 SSE 매직쿼드런트 리더 그룹에 속한 스카이하이 SSE 플랫폼은 웹, SaaS, PaaS, IaaS, 개인 애플리케이션 전반을 보호하며, 하이퍼스케일 서비스 엣지 기술로 높은 가용성, 낮은 지연을 통해 디지털 혁신을 가속화 시킨다.

▲SSE 주요 기능(자료: 스카이하이시큐리티)
▲SSE 주요 기능(자료: 스카이하이시큐리티)

비트글라스를 인수한 포스포인트 역시 SSE 분야에서 주목해야 할 기업이다. 가트너 SSE 매직쿼드런트에서 비트글라스는 높은 비전 완성도를 인정받은 비저너리 그룹에 속했다. 비트글라스는 CASB 시장 초기부터 개척해 온 기업으로, SWG, ZTNA를 통합 제공해 SSE 비전을 완성해왔다. 비트글라스 인수로 포스포인트는 인정받은 프록시 기술과 글로벌 엣지 플랫폼을 통해 제공하는 보안 서비스 역량을 결합한 ‘포스포인트 원’을 제공한다.

에스에스앤씨가 한국지사 역할을 하면서 국내에 공급하는 포스포인트 원은 AWS에 구축된 300개 이상 글로벌 PoP을 지원, 모든 직원이 장소와 위치에 관계없이 빠르게 액세스할 수 있으며, 99.99%의 가동시간을 보장받을 수 있다.

사용자가 어디서나 작업하고, 고위험 웹사이트에 연결해도 안전하게 업무를 할 수 있으며, 권한 있는 사용자의 정상적인 접근이라면 VPN 없이 민감한 애플리케이션에도 접속할 수 있다. 예를 들어 금융 투자 회사의 계약자는 VPN 없이 회사의 내부 감사 응용 프로그램에 안전하게 액세스하거나 개인 모바일 장치에서 마이크로소프트365 문서를 편집할 수 있지만 파일을 다운로드하거나 다른 제3자 사이트에 공유할 수 없도록 제한한다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.