보안과 생산성의 융합
IT 보안 툴 및 관행으로 인해 생산성이 떨어지는 것은 매우 흔한 일입니다. 심지어 물리적 보안의 경우도 그러한 문제가 발생합니다. 비행기를 탈 때 여러 가지 보안 단계를 거칠 필요가 없다면 1시간 미리 공항에 도착해야 할 필요도 없을 것입니다. 이러한 문제 때문에 네트워크 보안을 강화할 수 있는지 여부 자체가 아니라, 과연 비즈니스에 영향을 미치면서까지 보안을 강화할 필요가 있는지를 고민해야 하는 경우가 많습니다.
또한 새로운 비즈니스 지원 기술을 도입할 때, 어떤 이득을 얻기 위해 어떤 리스크를 감수할 것인지도 고려해야 합니다. 새로운 기술이 비즈니스에 가치가 있다고 판단했다면 그 이후에는 그 가치가 확장되는 공격표면과 그에 따른 유출 리스크보다 더 큰지를 판단해야 합니다. 이 때문에 보안 팀과 IT 팀 간의 지속적인 긴장 관계는 마치 당연한 것처럼 되었습니다. 하지만 사실 그럴 필요는 없습니다.
2022년 4월 플랫폼 업데이트에서는 Akamai가 미래의 업무 방식을 어떻게 만들어가고 있는지에 대해 자세히 알아보겠습니다. 이 미래의 업무 방식에서는 고객들이 유출 리스크를 최소화하는 동시에 비즈니스 생산성을 높이는 제로 트러스트 여정에 착수할 수 있습니다. 이와 같이 보안과 생산성을 융합하기 위해서는 먼저 제로 트러스트 원칙을 구현할 때 흔히 발생하는 문제들을 해결해야 합니다.
제로 트러스트의 어두운 면
분석가, 벤더사 및 보안 전문가들은 "제로 트러스트"가 무엇을 의미하며 이를 어떻게 이룰 것인지에 대한 다양한 견해를 제시했습니다. 모두가 동의하는 한 가지는 제로 트러스트라는 강력한 기반을 통해 보안 팀이 유출 리스크 및 영향을 최소화할 수 있다는 것입니다. 그러나 제로 트러스트의 이상적인 최종 상태가 무엇인지에 대해서는 쉽게 동의할 수 있지만, 이를 어떻게 이룰 것인지 그리고 이것이 비즈니스에 어떤 영향을 미칠 것인지에 대해서는 세부적인 이견이 많습니다.
리스크를 야기하면서도 업무에는 별 도움이 되지 않는 묵시적 트러스트를 업무 환경에서 "제로 아웃", 즉 완전히 배제하는 것이 제로 트러스트의 최종 목표라고 보면 됩니다. 그러면 우리 모두가 바라는 대로, 공격자들이 시스템의 취약점을 악용하거나 새로운 멀웨어를 침투시킬 틈이 없어질 것입니다.
제로 트러스트의 어두운 면은 이러한 최종 상태에 다다르기 전의 과정에서 드러납니다. 제로 트러스트는 결과만이 아니라 그 과정도 중요합니다. 제로 트러스트를 제대로 구현하지 못하는 가장 큰 이유는 과정 자체를 소홀히 하기 때문입니다. 제로 트러스트 과정에 대해 살펴보면서 고려해야 할 몇 가지 핵심 사항이 있습니다.
생산성 저하
첫째는 사고로 인한 것이든, 원래 계획되었던 것이든 직원 생산성에 미치는 영향입니다. 제로 트러스트의 기본 원리는 주로 거부 목록을 통해 접속을 제한하는 것입니다. 이것은 허용되는 것을 지정하는 방식입니다. 즉, 그 외의 모든 것은 거부됩니다. 공격자가 악의적인 활동을 하지 못하도록 막다 보면 종종 직원들이 업무를 제대로 수행하지 못하도록 방해할 가능성도 커집니다.
자산 및 직원들이 서로 간에 통신해야 하는 모든 시나리오를 보안 팀이 예측할 수 있는 것은 아닙니다. 그뿐만 아니라, 비즈니스와 인력은 예측할 수 없는 형태로 발전하고 변화하고 있습니다. IT 및 보안 팀은 신뢰가 부여되어야 하는데 그렇지 않은 시나리오를 고려해야 합니다.
제로 트러스트 원칙을 적용할 때 발생할 수 있는 또 다른 잠재적 피해는 생산성 저하입니다. 간단히 몇 가지 예만 살펴봐도 늘어나는 신원 확인 절차, 워크로드 및 최종 사용자 디바이스에 부담을 주는 에이전트, 최종 사용자가 로그인해야 하는 툴 등이 있습니다. 각각의 것들은 크게 부담이 되지 않을 수도 있습니다. 하지만 이러한 사소한 장애물들이 쌓이다 보면 득보다 실이 더 많은 상황에 도달할 수 있습니다.
여러 터치포인트의 필요성
제로 트러스트 여정에서 겪게 되는 마지막 고충은 보안 팀과 통합업체, 설계자, 분석가에게 미치는 영향인데, 이 고충도 그 여느 것 못지 않게 큽니다. 현재 제로 트러스트를 홀로 완성할 수 있는 제품은 시중에 없습니다. 따라서 보안 팀은 여러 콘솔에서 정책을 유지하고, 여러 에이전트를 롤아웃하고, 여러 가지 통합을 유지 관리해야 합니다.
이것은 인력이 충분한 보안 팀에서도 어려운 작업이며, 비용과 인력 시간 모든 면에서 상당한 비용을 유발할 수 있습니다. 이 마지막 문제가 앞에 언급된 두 가지 문제를 더 복잡하게 만듭니다. 오탐 가능성이 증가하고 에이전트 및 툴 수가 늘어남에 따라 최종 사용자에게 부담을 주기 시작하기 때문입니다.
점근적 방식
또한 진정한 제로 트러스트를 추구하는 것은 실제로는 점근적인 방식입니다. 즉, 비슷하게 다가갈 수는 있지만 모든 묵시적 트러스트를 완전히 제거하는 것은 사실상 불가능합니다. 특히 제로 트러스트 원리를 적용할 수 있는 부분을 꼭 집어서 생각해보면 그렇습니다.
예를 들어, 신뢰할 수 있는 사용자가 신뢰할 수 있는 소스로부터 신뢰할 수 있는 애플리케이션을 다운로드할 때 실행되는 공급망 공격이 있다고 가정해보세요. 현재의 제로 트러스트 원리대로라면 이러한 공격이 가능하며 악성 페이로드가 모든 트러스트 영역을 우회할 수 있습니다. 이 경우 엔드포인트에서 메모리 안에 제로 트러스트를 적용해야 할 필요성을 고려할 수도 있겠지만, 그것은 이번에 다룰 내용에서는 벗어나는 주제입니다. 요점은 완벽한 제로 트러스트는 사실상 불가능하며 목표에 더 가까이 다가갈수록 여러 가지 고충이 수반될 수 있지만, 이는 리스크를 최소화하는 동시에 생산성까지 극대화하는 미래의 업무 환경을 제공하기 때문에 매우 가치 있는 노력이라는 것입니다.
오늘의 게시물에서는 기업이 이러한 비전을 실현할 수 있도록 돕기 위해 Akamai가 어떤 노력을 기울이고 있는지 알아보겠습니다. 각 단계마다 비즈니스를 방해하지 않으면서 심각한 보안 유출의 가능성을 줄일 수 있습니다. 제로 트러스트를 최종 목표로 도입하는 기업이 많아짐에 따라, 이제 Akamai와 같은 보안 벤더사들의 입장에서는 더 많은 기업이 위에서 언급한 것과 같은 부정적인 결과를 초래하지 않으면서 이 단계를 신속하게 달성할 수 있도록 지원하는 것이 중요합니다.
비전과 현실의 격차 해소
제로 트러스트란 비즈니스를 운영하는 데 필요한 것만 허용하고 그 외 모든 것은 금지하는 것입니다. 필요한 행동과 불필요한 행동을 구분한 후 각각에 대한 정밀한 조치를 취하는 것이 제로 트러스트 여정의 핵심입니다. 올바른 툴이 없다면 거의 불가능합니다. 따라서 기업은 필요 이상으로 허용함으로써 너무나 많은 리스크에 노출되거나, 필요 이상으로 금지함으로써 생산성을 저해하게 됩니다.
이것은 매우 어려운 작업이지만, 최종 사용자가 알아차리지도 못할 만큼 정교하고 세밀하게 묵시적 트러스트를 제거하는 방법들이 있습니다. 그리고 이 방법을 제대로 수행한다면 새로운 기술을 안전하게 도입하고 모든 비즈니스 지원 활동을 신뢰할 수 있는 정도까지 공격표면을 최소화할 수 있습니다. 보안 및 생산성이 융합되므로 제로 트러스트는 유출 리스크를 최소화하는 동시에 인력을 지원할 수 있습니다. 그렇다면 이러한 미래의 업무를 어떻게 실현할 수 있을까요?
제로 트러스트를 달성하기 위한 세 가지 주요 구성요소
제로 트러스트의 어두운 면을 만나지 않고도 제로 트러스트에 도달하기 위한 세 가지 주요 구성요소가 있습니다. 이 세 가지는 다음과 같습니다.
가시성
이해
제어 기능
우리는 모든 자산과 각각의 흐름을 실시간으로 파악하고 기록을 살펴볼 수 있어야 합니다. 무슨 일이 왜 일어나고 있는지를 이해해야 합니다. 마지막으로, 그러한 이해를 바탕으로 정교하고 세밀한 조치를 취해야 합니다.
가시성이란 묵시적 트러스트를 제거할 다양한 자산, 흐름, 애플리케이션, 사용자를 보안 관리자가 볼 수 있도록 하는 것입니다. 이러한 가시성은 다양한 운영 체제, 디바이스 그리고 네트워크의 기타 측면을 포괄할 만큼 방대해야 합니다.
그다음에는 확인한 것에 대해 이해해야 합니다. 이러한 이해를 통해서만 무엇이 필요한지 그리고 무엇이 필요하지 않은지를 정확하게 판별할 수 있습니다. 컨텍스트, 가이드, 시각화를 통해 어떤 일이 일어나야 하는지, 어떤 일이 일어나서는 안 되는지, 비즈니스에 무엇이 필요한지, 어떤 것이 리스크를 초래하는지를 파악할 수 있습니다.
일단 모든 것을 확인하고 어떤 일이 일어나고 있는지를 이해했으면 묵시적 트러스트를 제거하기 시작할 수 있습니다. 이때 세밀함과 정확성이 가장 중요합니다. 예를 들어, 정상 운영에 필수적인 일부 프로세스에 필요하지 않은 서비스도 포함되어 있을 수 있는데 공격자들은 이를 악용합니다. 그럴 경우에는 서비스 수준에서 정책을 적용할 수 있어야 합니다. 머신 또는 애플리케이션 레이어에서의 광범위한 스트로크 정책은 오탐을 초래합니다.
기업에 필수적인 툴 세트
현재로서는 어떤 툴도 단독으로는 네트워크에서 모든 묵시적 트러스트를 완전히 제거하여 제로 트러스트에 도달할 수 없습니다. 이를 극복하기 위해 Akamai는 여러 툴을 완전하게 통합하는 로드맵을 통해 가장 완벽한 제로 트러스트 제품 포트폴리오를 구축하고 있습니다.
마이크로세그멘테이션
Akamai Guardicore Segmentation은 세계 최고의 마이크로세그멘테이션 솔루션 기업으로 네트워크 내부의 흐름을 제어함으로써 제로 트러스트를 촉진하는 역할을 합니다. Akamai는 Guardicore를 인수했는데, 가장 큰 이유는 Akamai가 제로 트러스트에서 가장 중요하게 여기는 핵심 요소들을 이 제품이 제대로 갖추고 있기 때문입니다.
지원되는 운영 체제가 가장 많으며 네트워크를 실시간으로 보고 과거 기록도 확인할 수 있으므로 가시성이 탁월합니다. 유연한 레이블링과 직관적인 UI 덕분에 가장 복잡한 환경 안에서도 의존성을 쉽게 파악할 수 있습니다. 또한 애플리케이션 및 서비스 수준까지 정책 적용을 유도하여 정교하고 세밀하게 제어할 수 있습니다.
2022년 4월 플랫폼 업데이트에서는Akamai Guardicore Segmentation을 포트폴리오 전반에 도입했을 뿐만 아니라 더욱 간편하게, 안전하게, 광범위하게 사용할 수 있도록 제품 자체를 여러 가지 면에서 개선했습니다. 서비스 수준 제어를 통해 최신 랜섬웨어 기법을 쉽게 차단할 수 있는 랜섬웨어 방어 템플릿과 같은 몇 가지 기능에 대해 집중적으로 다룰 예정입니다.
제로 트러스트 네트워크 접속과 멀티팩터 인증
Akamai Enterprise Application Access 제품은 필요한 애플리케이션에 대해서만 진정한 제로 트러스트 기반 접속을 제공하며, 전체 네트워크에 대한 접속과 가시성을 허용할 필요가 없도록 함으로써 공격표면을 대폭 줄입니다.
Akamai MFA 는 사용자를 보호하기 위해 FIDO2 MFA(Multi-Factor Authentication)를 추가하여 Enterprise Application Access의 인증 기능을 보완합니다. 물리적 보안 키가 필요한 다른 FIDO2 기반 MFA 솔루션과 달리, Akamai MFA는 스마트폰 앱을 사용하여 비용과 복잡성을 줄입니다.
항상 ZTNA(Zero Trust Network Access)를 FIDO2 기반 MFA와 함께 사용하는 것이 좋습니다. 우리만 노력하고 있는 것은 아닙니다. 미국 정부 역시 MFA를 배포하는 것이 국가의 사이버 안정성을 개선하는 데 중요하다는 것을 깨달았습니다. 2021년 5월 바이든 대통령은 모든 연방 기구에 MFA 사용을 의무화하는 행정 명령 을 내렸고, 2022년 1월 미국관리예산국(U.S. Office of Management and Budget)은 배포된 MFA 서비스가 피싱 방지와 FIDO2 표준에 기반해야 한다는 보다 자세한 정보를 제공했습니다.
단문 메시지 서비스(SMS), 기타 전화 통신 방식 또는 표준 푸시 알림을 두 번째 인증 요소로 사용하기 때문에 일반적으로 피싱 공격을 받기 쉽고 덜 안전한 것으로 간주되는 MFA 솔루션의 잘 알려진 보안 취약점을 고려했을 때 이는 매우 적절한 접근 방식으로 보입니다.
증가하는 사이버 공격 해결
지난 1년 동안 많은 고객이 MFA를 도입하게 된 또 하나의 요인이 있습니다. 사이버 공격이 끊임없이 증가함에 따라 많은 기업은 사이버 보험에 투자하고 있습니다. 그리고 보험 적용 조건을 충족하기 위해서는 모든 로컬 및 원격 로그인에 MFA를 배포해야 한다는 조항을 보험 약관에 명시하는 보험 회사들이 점점 늘어나고 있습니다.
이는 지난 몇 년간의 보험금 청구 건수를 살펴봤을 때 해당 기업에 MFA가 있었다면 사고를 방지할 수 있었다는 분석 결과를 직접적으로 반영한 것입니다. 이것은 또한 직원 로그인이 공격자들의 주요 표적이 되고 있다는 증거입니다.
강력한 피싱 방지 요소 제공
기업들이 암호 없는 인증으로 전환하는 것을 고려하기 시작함에 따라, 취약한 인증 요소를 SMS와 같은 또 다른 취약한 요소로 대체하는 것은 문제를 해결하지 못합니다. FIDO2 기반 Akamai MFA는 암호 없는 인증을 통해 얻고자 하는 보안 장점을 달성하는 데 필수적인 강력한 피싱 방지 요소를 제공합니다.
Enterprise Application Access와 Akamai MFA는 강력한 제로 트러스트 접속 솔루션을 통해 민간 기업의 IT 리소스에 접속할 수 있게 해줍니다.
2022년 4월 플랫폼 업데이트에서는 배포 유연성 그리고 동종업계 위협 방지 기술과의 상호 운용성을 강화하기 위해 Enterprise Application Access 및 Akamai MFA에서 개선된 여러 가지 부분에 대해 소개할 예정입니다. 플랫폼이 전반적으로 강화됨으로써 이제 Enterprise Application Access는 다양한 플랫폼에서 제로 트러스트 보안에 도움이 되는 여러 가지 주요 기능 개선을 지원합니다. 여기에는 디바이스 체계 평가의 일환으로 MacOS에서 Cylance AV 및 Microsoft Defender를 탐지하는 기능도 포함됩니다. 또한 Okta 및 Microsoft Azure AD와의 SCIM 통합이 이제 이들 기업에서 인증 및 검증을 거치고 있습니다. 그리고 고객이 테스트하고 검증할 수 있도록 Ubuntu에서 Enterprise Application Access 클라이언트의 기술 프리뷰를 릴리스했습니다. 정식 클라이언트 릴리스는 2022년 후반부로 예상됩니다.
이제 Akamai MFA는 사용자 네트워크의 IP 주소, 사용자 위치(지리적 위치), 알려진 사용자인지 여부에 따라 적응형 MFA를 제공하는 컨텍스트 인식 정책을 지원합니다. 이 새로운 기능을 Enterprise Application Access와 함께 사용하면 필요한 사용자에게만 제로 트러스트 접속 권한을 제공함으로써 보안 접속을 강화할 수 있습니다.
또한 Akamai MFA는 이제 VPN(Virtual Private Network) 서버 통합을 지원하므로 Akamai MFA를 온프레미스 AD/LDAP 디렉터리의 VPN 인증 흐름과 사용자 프로비저닝에 통합할 수 있습니다.
보안 웹 게이트웨이
Akamai Secure Internet Access Enterprise는 클라우드 기반의 보안 웹 게이트웨이입니다. 이를 통해 보안팀은 사용자가 어디서든 사용 중인 디바이스에서 인터넷에 안전하게 접속하도록 할 수 있습니다. 빠르게 설정하고 쉽게 배포할 수 있는 이 솔루션은 하드웨어 설치나 유지 관리가 필요하지 않으며, 제로 트러스트 기반 아키텍처에서 또 하나의 중요한 구성요소가 됩니다.
Secure Internet Access Enterprise는 최신 위협 인텔리전스 데이터와 여러 페이로드 분석 엔진을 활용하여 직원들이 정상 웹 콘텐츠에만 접속할 수 있도록 합니다. 위협 인텔리전스는 Akamai의 전례 없는 인터넷 트래픽 가시성을 기반으로 합니다. 여기에는 Akamai Intelligent Edge Platform을 통해 매일 해결되는 3조 3천억 건의 DNS 요청 그리고 기타 Akamai 보안, CDN 서비스 및 수백 개의 써드파티 보안 피드로부터 얻은 트래픽 로그가 포함됩니다.
멀티 테넌트 관리 도입
2022년 4월 플랫폼 업데이트에서는 서비스 사업자, ISP 및 MSSP가 개별 고객 구성을 쉽게 관리할 수 있도록 해주는 멀티 테넌트 관리 기능을 도입합니다. 난독화된 자바스크립트를 사용하여 탐지를 회피하는 웹 페이지를 탐지하고 차단하기 위해, 새롭게 생성된 악성 자바스크립트 기반 페이지를 실시간으로 탐지하고 차단할 수 있는 제로데이 악성 JavaScript 탐지 엔진을 추가하고 있습니다. 배포 유연성을 높이기 위해 매니지드 HTTP Forwarder, IPSec Tunnel 지원 등 Secure Internet Access Enterprise로 트래픽을 전달하는 새로운 방법을 추가하고 있습니다.
제로 트러스트 카운트다운
모든 엔터티를 기본적으로 신뢰하지 않으며 최소 권한 접속만 강제하는 제로 트러스트 상태가 보안 유출의 가능성과 영향을 최소화한다는 점에는 대부분의 사람들이 동의할 것입니다. 그러나 이러한 상태로 나아가기 위해 무엇이 요구되는지 그리고 비즈니스에 어떤 부정적인 영향을 미칠 수 있는지에 대해 밝히는 이들은 많지 않습니다. 그리고 목표에 도달하기 위한 실현 가능한 단계를 제시하는 이들은 훨씬 더 적습니다. 그렇기 때문에 Akamai는 더 많은 기업이 더 효율적으로 제로 트러스트 상태에 도달할 수 있도록 미래의 업무 환경을 만드는 데 전념하고 있습니다.
오늘, 플랫폼 업데이트의 마지막 날을 하루 남겨 놓고, 우리는 제로 트러스트를 지원하는 Akamai의 솔루션 제품군을 확장할 것입니다. Akamai에게, 이것은 모든 엔티티에 대한 심층적이고 광범위한 가시성을 의미합니다. 즉, 시각화된 직관적인 매핑과 풍부한 컨텍스트를 통해 기능을 이해하는 것입니다. 마지막으로, 정교하고 세밀한 제어를 의미합니다. 그래야 제로 트러스트 정책을 적용할 때, 리스크를 야기하는 것만 차단하고 비즈니스를 지원하는 기술은 두려움 없이 맞이할 수 있기 때문입니다.
다음 단계는 무엇일까요?
미래의 업무 환경에서는 더 많은 기업이 더 빠르게 그리고 리스크를 줄이고 비즈니스를 가속하는 방식으로 제로 트러스트를 달성할 수 있습니다. 마지막 날도 빠짐없이 참석해 주시기 바랍니다. 이러한 미래가 여러분에게 어떤 의미인지를 아리 웨일(Ari Weil)이 설명해 드릴 것입니다.
