Offcanvas

모바일 / 보안 / 클라우드

언제 어디서나 위험··· 원격근무자를 보호하는 보안 기술 6가지 

2021.02.15 Peter Wayner  |  CSO
코로나19 사태가 아직 끝나진 않았지만 종식된다고 하더라도 많은 기업은 모든 직원이 매일 사무실에 출근하는 일상으로 돌아가지 않을 수 있다. ‘어디서나 일할 수 있는 것’은 한때 출장이 잦은 영업팀이나 해외 파견직 등에 국한됐었지만 이제는 많은 사람에게 일상적인 옵션이 될지 모른다.  

이에 따라 기업은 원격 협업을 지원하는 안전한 인프라를 마련해야 할 필요가 있다. 이를테면 외근직의 비정기적 액세스를 지원했던 도구를 확장 및 개선해 기업의 모든 워크플로우에 관한 데이터를 전달할 수 있도록 해야 한다. 첫 번째로 해야 할 일은 데이터가 안전하게 전달되도록 하는 것이다. 
 
ⓒGetty Images

TLS 인증서  
원격에서 로그인할 때는 암호화된 연결을 사용해야 한다. 웹 사이트의 TLS 인증은 최신으로 유지돼야 하고, 모든 통신에서 HTTPS를 쓰는지 확인하라. 암호화된 웹 연결을 위한 인증서 설치는 ‘렛츠 인크립트(Let’s Encrypt)’와 같은 프로젝트 덕분에 훨씬 쉬워졌다. 이것보다 더 고급 보안을 제공하는 인증서는 예를 들면 디지서트(DigiCert), 지오트러스트(GeoTrust), 코모도(Comodo) 등의 다른 인증기관에서 찾을 수 있다. 

제로 트러스트 
바라쿠다(Barracuda), 페러미터 81(Perimeter 81), 윈드스크라이브(WindScribe) 등을 포함한 기존 사설 네트워크 업체들은 모두 전통적인 VPN 솔루션을 제공한다. 하지만 VPN은 사무실의 시작과 끝(위치)이 명확하지 않은 시대에서 가장 적합한 모델은 아니다. 

따라서 제로 트러스트 모델을 채택하는 기업이 늘고 있다. 이는 모든 직원이 예를 들면 공격자에 의해 와이파이가 훼손된 카페와 같은 위험한 장소에서 로그인한다고 가정한다. 

이 경계적인 태도는 네트워크상에서 이동하는 데이터로 국한되지 않는다. 수많은 내부 애플리케이션이 안전한 네트워크에 존재할 것이라는 가정하에 개발된다. 일부 방화벽이나 기타 액세스 툴을 통해 위험한 패킷을 걸러냈기 때문이다. 이 오래된 패러다임은 애플리케이션 개발자로 하여금 보안 문제를 경시하도록 만들었다. 

제로 트러스트 모델로의 전환은 곧 태도의 변화를 의미한다. 위협 인텔리전스 회사 히아스(HYAS)의 마케팅 부사장 토드 디이먼은 “경계가 완전히 죽었다. 게이트웨이 보안에 의존하고 있다면 홈 엔드포인트에서 송수신되는 모든 트래픽을 감시하지 못한다”라고 지적했다. 

개발자는 코드를 검토해 과거의 가정이 유효하지 않은 곳을 발견해야 한다. 예를 들면 웹 앱이 모든 URL 요청에 응답하는가? 이는 파일을 다운로드하기 위한 올바른 URL을 신뢰할 수 있는 사람만 알고 있다고 가정하는가? 한 컴퓨터에 계정이 있는 모든 사람은 관리자로 간주되는가? 물론 신뢰할 수 있는 네트워크라면 이 정도의 질문으로 충분하지만 공개된 네트워크라면 이것만으로는 부족하다. 

아키텍트는 제로 트러스트 모델 도입을 염두에 두고 코드를 검토해야 한다. 인증 수단을 추가해 올바른 인증을 하도록 수정할 수 있는 코드도 일부 있겠지만 상당한 재설계가 불가피한 코드도 있다. 한 가지 확실한 솔루션은 데이터가 사용되지 않을 때 이를 잠그는 것이다. 

디이먼은 “현재 애저를 사용하고 있으며, 저장된 모든 데이터는 암호화된다. 개인식별정보(PII)도, 고객 기밀 데이터도 아니지만 데이터가 이동 중이거나 유휴 상태일 때 이를 암호화한다”라고 말했다. 

마이크로소프트의 애저(Azure)는 다른 대형 클라우드와 마찬가지로 데이터 보안 옵션을 제공한다. 오라클 및 기타 데이터베이스 업체는 파이썬과 자바 코드가 포함된 SDK를 배포해 이 프로세스를 단순화한다. 데이터가 잠겨 있기 때문에 공격자는 파일 시스템이나 네트워크로의 액세스를 활용할 수 없을 것이다. 

SASE(Secure Access Service Edge) 
인터넷상의 사용자를 위해 기존 애플리케이션을 수정하는 또 다른 방법은 전문 게이트키퍼를 추가하는 것이다. 이는 사용자와 사용자의 데이터 요청을 중단한 후 ID 및 액세스가 올바른지 확인한다. 

이와 관련해 성장하고 있는 아키텍처 모델은 SASE(Secure Access Service Edge)라고 불리는 프로세스다. 이 게이트키퍼는 기본 방화벽보다 훨씬 스마트하고, 요청 내 데이터를 검토하면서 스테이트풀 필터링을 이행할 수 있으며, 이들 값을 바탕으로 지능적인 결정을 내릴 수 있다. 

이 새로운 계층을 추가하면 다양한 웹 서비스를 보호할 수 있다. 여기에는 회사 외부의 클라우드에서 호스팅되는 다수의 서비스도 포함된다. 사용자 컴퓨터는 SASE 게이트키퍼와 통신하고 다른 서비스는 SASE 게이트키퍼가 확인한 요청에만 응답한다. 

이를테면 시트릭스(Citrix), 팔로알토 네트웍스(Palo Alto Networks), 맥아피(McAfee) 등이 제공하는 툴은 시간 경과에 따라 사용자를 추적하고 모든 서비스로의 액세스에 관해 결정을 내린다. 이들이 동일 장소나 동일 클라우드에서 호스팅 되지 않더라도 상관없다. 
 
클라우드 애플리케이션 및 스토리지 
원격에 있는 직원 컴퓨터는 기밀문서 및 데이터를 위한 일반적인 저장 위치가 될 수 없다. 직원이 암호화되지 않는 플래시 드라이브나 기타 하드웨어로 기밀 정보를 다루고 공격자가 탈취할 수 있는 위치에 데이터를 두도록 해선 안 된다. 랜섬웨어는 여전히 원격 데이터를 파괴하는 심각한 위협이다. 

드롭박스(Dropbox)와 같은 원격 스토리지 업체는 유휴 데이터의 추가 보안을 위한 암호화 옵션을 제공한다. 개발자는 깃허브(GitHub), 깃랩(GitLab), 비트버킷(Bitbucket)과 같은 리포지토리에서 정기적으로 코드를 검사해야 한다. 또한 데이터 애널리스트는 새턴 클라우드(Saturn Cloud), 매트릭스 DS(Matrix DS), 콜래보라토리(Collaboratory) 등의 중앙 허브를 사용해야 한다. 

많은 기업이 인기 있는 오피스 툴(예: 구글 워크스페이스(Workspace), 마이크로소프트 팀즈(Teams))의 웹 기반 버전으로 전환하고 있다. 이들은 유연한 데다가 대규모 팀에 배포하기가 상대적으로 쉽지만 보안 세부사항이 아직 완전하게 파악되지 않았다. 

대기업은 대규모 보안 팀을 보유하고 있지만 사람들의 브라우저로 코드를 보내는 모델은 여전히 진화 중이다. 예를 들면 구글은 개인 문서를 유출해 곤란을 겪었다. 개발자들은 여전히 확장 프로그램이나 콘솔로 코드를 삽입할 수 있는 브라우저에서 실행되는 코드 보안의 복잡성을 완전히 이해하지 못한다. 이러한 툴은 다른 모든 툴과 마찬가지로 결함이나 잠재적 문제가 있는지 모니터링해야 한다. 

다중인증(MFA) 
원격근무 보안의 첫 번째 단계를 꼽으라면 사용자 식별을 말할 수 있을 것이다. 신뢰할 수 있는 사무실 안에서는 구식 암호로 충분할지도 모르지만 보안 계층을 추가하는 것은 언제나 더 좋다. 가장 간단한 솔루션은 2단계 인증(예: 직원 스마트폰)을 요구하는 것이다. 트윌리오(Twilio), 보나지(Vonage), 플라이보(Plivo), 텔닉스(Telnyx) 등의 서비스 업체는 SMS 메시지 전송을 포함해 다양한 커뮤니케이션을 위한 API를 제공한다. 

이 밖에 모바일 기기에서 로컬로 실행되는 앱을 사용해 시간을 기준으로 일회용 비밀번호를 생성할 수도 있다. 구글 OPT(Google Authenticator), 프리OPT(FreeOPT), 린OPT(LinOPT)와 같은 툴은 사용자가 이를 처음 초기화할 때 공유 암호를 저장한 다음, 로그인하려고 할 때마다 이를 사용해 새 비밀번호를 생성한다. 

한편 휴대폰 악성코드의 증가로 특수 하드웨어에 모든 암호화 및 인증 알고리즘을 적용하는 전용 하드웨어 토큰에 대한 관심이 높아졌다. RSA 시큐어ID(RSA SecurID), 유비키(Yubikey), 온리키(Onlykey) 등의 툴이다. 사용자가 하드웨어를 하나 더 사용할 용의만 있다면 보안을 강화할 수 있다.  

ID 및 액세스 관리 
다중인증(MFA) 툴은 엔터프라이즈 애플리케이션과 긴밀하게 작동해야 한다. 이는 로컬 코드베이스를 조정해야 하는 내부 개발자들에게 쉽지 않은 문제다. 이에 따라 모든 코드베이스에 쉽게 통합될 수 있도록 설계된 ID 및 액세스 관리 서비스(흔히 ‘서비스형 ID(identity as a service)’ 또는 ‘서비스형 인증(authentication as a service)’이라고 한다)로 전환하는 경우가 많아지고 있다. 

오스제로(Auth 0), 옥타(Okta)의 소프트웨어는 최적의 알고리즘으로 ID 및 액세스 관리를 처리한다. 이를 통해 내부 개발자는 비즈니스 로직에 집중할 수 있다. 

예를 들어 오스제로는 개발자가 몇 줄의 코드를 잘라내 붙여넣기만 하면 애플리케이션 내의 모든 것을 보호할 수 있는 빠른 시작 예제 모음을 제공한다. 오스제로의 코드는 로그인 대화 상자를 추가하고, 오스제로 서버가 비밀번호를 확인하며 2단계 인증 요구 등의 더 강력한 규칙을 적용한다. 모바일 앱을 시작하거나 SMS를 전송해야 한다면 오스제로의 서버가 그 작업을 수행한다. 작업이 끝나면 애플리케이션으로 통제권을 돌려준다.
 
옥타는 이와 유사하지만 액세스를 원하는 모든 사람을 확인하는 자사의 방식을 ‘아이덴티티 엔진(identity engine)’이라고 부른다. 이는 일련의 인증 및 관리 툴을 유연한 파이프라인에 통합해 계정 생성을 단순화하고 소유자에게 올바른 액세스 권한을 부여한다. 사용자의 특정 노트북이나 휴대폰을 추적하는 등 다양한 옵션을 추가하도록 설정할 수 있어 비밀번호에만 의존하는 것을 줄일 수도 있다.  

또한 이는 사용자를 추적하고, 신규 계정을 추가하며, 액세스 규칙을 수정하기 위한 대시보드를 제공해 모든 계정을 처리하는 일을 간소화한다. 개발자는 사전 검증된 코드로 ID 및 인증을 체계화하는 정교한 계층을 추가할 수도 있다. 

원격 보안에 관한 전제를 검토하라 
가장 중요한 조치 가운데 일부는 기술적인 것이 아니다. 감정적이고 개인적인 것이다. 사이버보안 연구 회사 코피들론(Kopidlon)의 공동설립자 그레그 콘티는 “모든 사람이 매우 신속하게 집으로 갔다. 이제 절차를 공식화해야 할 시기라고 생각한다”라면서, “이는 일시적이라고 전제할 수 없다. 그렇다면 장기적 관점에서 정책을 개발해야 한다”라고 권고했다. 

서둘러 내린 모든 결정을 일일이 검토해야 한다는 뜻이다. 놀라울 정도로 많은 수의 보안 사고가 소셜 엔지니어링으로부터 나온다. 이는 직원들을 속여 권한을 얻거나 정보를 훔치는 수법이다. 분산된 인력은 복도나 엘리베이터에서 서로 만나지 못하기 때문이다.  

간단한 해결책은 이벤트를 늘리는 것이다. 이를테면 파티를 열거나, 점심을 사고, 워크숍을 준비하는 것은 느슨해지고 있는 조직 체계를 유지하는 데 도움을 줄 것이다. 즐거운 시간을 보내라는 게 시시하게 느껴질지도 모르겠지만 이는 분산된 사무실의 보안을 강화하는 최적의 방법일 수 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.