서비스

클라우드와 사이버공격 등 복잡해진 IT환경의 보안 정책은?

디지털데일리 발행일 2022-03-19 10:05:12
이상일

[디지털데일리 이상일기자] 기업의 IT인프라가 클라우드로 전환되고 비대면 시대의 도래에 따른 사이버 공격이 증대되고 있는 가운데 아카마이가 새로운 보안 이슈에 따른 대응 전략을 밝혔다.

17일 디지털데일리 웨비나 플랫폼 DD튜브에서 열린 ‘아카마이 엣지 클라우드 보안 전략’ 웨비나에서 아카마이 코리아 김채하 차장은 제로 트러스트에 기반한 내부 업무 시스템의 안전한 접속 전략을 소개했다.

2022년 기업 정보보호 이슈 전망 보고서에 따르면 올해 기업의 보안 담당자들이 가장 고민하고 있는 것이 바로 ‘제로 트러스트’다. 제로 트러스트는 핵심 자산에 대한 취약한 권한과 불필요한 과도한 액세스 권한을 제거하는 것에 주안을 둔 사이버 보안 기술이다.

코로나로 인한 재택근무 추진으로 기업 내부에서 보호되던 네트워크를 벗어난 환경에 적합한 보안 접근 필요성이 대두되면서 팬데믹 시대의 가장 효과적인 보안 개념으로 주목받고 있다.

아카마이는 제로 트러스트를 구현할 수 있는 솔루션으로 ▲원격 접속 솔루션 엔터프라이즈 애플리케이션 액세스(EAA) ▲사용자 인증을 더 안전하게 해줄 수 있는 다중요소인증(MFA) 등 2가지 솔루션을 제시하고 있다.

EAA는 ID 인지 기반의 원격 접속 솔루션이다. 전통적인 보안 소켓 계층 가상 사설망(SSL VPN) 대신 사용자가 어디에 있던 항상 애플리케이션에 접속하기 위해서 인증을 받게 한다. 또, 접속하는 사용자에 대한 권한이 부여된 애플리케이션에 대해서만 접속을 가능하게끔 하는 솔루션이다.

김채하 차장은 “EAA는 네트워크 및 데이터 중심의 보안 대신 엣지상에서 시큐어 엑세스를 제어하는 형태를 선보이고 있다”며 “임직원, 협력사, 파트너사는 그들의 위치에 상관없이 접속하고 인증과 인가가 완료되기 전까지 사용자들은 EAA 엣지까지만 접속이 가능하기 때문에 실제 애플리케이션 혹은 데이터센터 내부에 네트워크에 접속 할 수가 없다”고 설명했다.

따라서 기업 입장에서는 외부에서 내부로 들어오는 애플리케이션 요청에 대해 언제나 허용할 필요가 없고 애플리케이션들의 생성-삭제-변경에 따라 방화벽의 정책을 변경할 필요가 없다.

또, 모든 공격과 관리의 대상이 기업 네트워크 내부에서 외부에 있는 EAA쪽으로 옮겨감으로써 더욱 더 안전하고 신뢰받을 수 있는 사용자 접속 및 통제가 가능해지게 된다는 설명이다.

김채하 차장은 “예를 들어 포트 스캐닝 공격이나 디도스 공격도 모두 엣지상에 있는 프록시가 전달받기 때문에 내부 네트워크까지는 전달되지 못하는 구조가 된다. 이 방식이 네트워크 기반의 원격 접속인 VPN과 비교했을 때 가장 큰 구조적 차이”라고 밝혔다.

아카마이 MFA는 탈취될지도 모르는 사용자의 계정에 한 번 더 추가 인증을 통해 보안을 강화하는 솔루션이다. 기존 스마트폰을 하드웨어 보안 키로 변환하는 스마트폰 애플리케이션을 사용해 원활한 사용자 경험을 제공한다.

김채하 차장은 “아카마이의 MFA는 하드웨어 토큰 대신 소프트웨어 기반으로 스마트폰 앱을 이용해서 사용이 가능하다. 모바일 앱과 사용자가 사용하는 브라우저 간의 페어링을 통해서 정식 사용자를 인증할 수 있다”며 “또한 사용자를 인증할 수 있는 개인키 또한 모바일 내 가장 안전한 장소에 저장이 되기 때문에 실제 해킹에도 안전하다”고 강조했다.

아카마이 코리아 김현도 이사는 ‘차세대 클라우드 보안환경과 아카마이 가디코어 세그멘테이션(Akamai Guardicore Segmentation)’ 발표를 통해 차세대 클라우드 보안 환경 구축에 대해 발표했다.

김현도 이사는 “클라우드 시대에서의 보안은 역설적으로 점점 더 복잡해졌다. 예전에는 운영환경의 최상단이나 각 VPN 환경의 방화벽만 잘 관리하는 정도로도 충분했는데 다양한 클라우드가 생겨나면서 서비스 플랫폼들에 꼭 맞는 보안 환경을 구축하는 것이 어려워졌다”고 진단했다.
때문에 클라우드의 보안 정책은 여러 환경을 고려해야 하며 특히 워크로드를 고려한 보안 정책이 필수라는 것이 김 이사의 설명이다.

그는 “특정 작업을 수행할 수 있는 가상머신, 컨테이너, 애플리케이션들을 워크로드라고 한다. 예전에는 이 개념이 서버라든지 특정 VM 등으로 한정됐는데 클라우드 시대로 넘어오면서 좀 더 자세하고 더 잘게 쪼개지게 됐다. 워크로드와 보안 정책 등 두 가지 요소는 보안을 위한 필수 조건으로 공격자들은 바로 이 지점을 통해 피해 대상의 네트워크나 데이터베이스 등에 침입해서 원하는 바를 얻어낼 수 있게 됐다”고 말했다.

이런 상황에서 기업들은 네트워크를 세분화(segmentation)하는 것이 중요해졌다. 미국의 내셔널 사이버 시큐리티 센터(NCS)에 따르면 서버들 간 트래픽에 대한 보안 정책 방향에 있어 꼭 필요한 최소한의 권한만 주는데 중점을 두고 있다.

김현도 이사는 “NCS에서 정의한 네트워크 세분화는 유사한 속성을 가진 자산들을 묶어서 별도로 네트워크를 분리하는 것을 의미한다. 즉 세분화하고 필요한 최소한의 권한만 열어두는 것을 의미한다”며 “워크로드나 애플리케이션의 속성 값에 따라 개별 그리고 그룹별 보안 정책이 각각 워크로드마다 적용돼야 한다고 말하는 것이 핵심”이라고 설명했다.

다만 방화벽 정책이 워크로드나 어플리케이션의 속성 값을 반영하기 어렵거나 힘든 이유는 바로 워크로드의 특성 그 자체 때문이다. 워크로드라는 개념이 서버 단위로 이루어지지 않고 컨테이너나 이미지의 형태로 동적으로 바뀌고 새롭게 배포되기 때문에 방화벽 입장에서는 워크로드의 IP를 추적하고 필요한 포트를 열고 닫고 관리하는 데 적지 않은 운용 부담이 생긴다.

이러한 클라우드 시대의 보안 정책에 대해 아카마이는 ‘가디코어 세그멘테이션(Akamai Guardicore Segmentation)’을 제시하고 있다. 이 솔루션은 클라우드 이후 새로운 서비스 플랫폼에서 대응해야 할 보안 과제를 모두 해결하면서도 높은 가시성과 접근 제어까지 수행이 가능하다는 설명이다.

김현도 이사는 “기존 베어메탈에서부터 VM 환경 그리고 퍼블릭 클라우드 내 인스턴스와 컨테이너 환경을 모두 지원하고 소프트웨어 기반 모델을 이용해서 유연하고 효과적인 세그멘테이션을 수행한다. 워크로드의 시각화는 물론 빠르고 정확하게 보안 정책을 적용할 수 있으며 풍부한 에코 시스템을 갖고 있기 때문에 통합된 탐지와 대응 역시 가능하다”고 밝혔다.

또, 가디코어 세그멘테이션은 퍼블릭 클라우드인 AWS, 구글 클라우드, MS 애저 환경은 물론 프라이빗 클라우드에서 많이 쓰이는 오픈 스텍과 인증 시스템인 옥타, 그리고 마이크로소프트 액티브 디렉토리, 그리고 VDI 환경에서는 VMX와 시트릭스 등 다양한 운영 환경을 지원하고 있다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스