Akamai Diversity

Akamai 블로그

모두가 행복한 엔터프라이즈 네트워크 보안 - 이상과 현실 사이

엔터프라이즈 네트워크 보안은 기업의 정보 유출 사례가 발생할 때마다 등장하는 단어입니다.

기업에서 사용하는 업무용 네트워크를 의미하는데 회사 건물에서 사용하는 네트워크뿐만 아니라 서비스용으로 사용하는 IDC, 클라우드 네트워크를 모두 포괄합니다.
기업의 정보 유출의 예를 들면 해외의 경우 3년 전 야후 고객 5억 명 계정 정보 유출, 페이스북의 1억 2천 만명의 고객 정보 유출 사례 등이 있고, 국내의 경우 주요 통신 3사에서 총 4천만 명 이상의 개인정보가 누출된 사례(KT, LG/SKT) 있으며 네이버에서는 개인정보뿐만 아니라 원천징수영수증까지 유출된 사례도 보고된 바가 있습니다. 

 

기업의 개인정보 유출을 수행하는 악의적인 "공격"을 막기 위해 여러 가지 대응 방안들은 보안업계에서 끊임없이 논의되고 있으며 엔터프라이즈 보안을 강화하려는 "방어" 수단을 강구하고 있습니다. 

널리 알려진 가장 안전한 방어는 여러 겹의 보안 과정을 거쳐 확실히 인증되고 검증된 작업자만을 허용함으로써 일정 수준 이상의 보안 레벨을 유지할 수 있다는 개념입니다. 


Thumbnail image for Screen Shot 2020-01-14 at 14.37.18.jpg

이미지 출처: leeds-castle.com 

영국의 켄트주에 있는 1119년에 만들어진 Leeds Castle이라는 구조물의 방어체계가 쉬운 예제라고 볼 수 있습니다. 

외부 공격으로부터  안전한 성 내부의 보안환경을 위해 성 주위에 연못을 만들고 망루를 만들어 외부 네트워크를 감시하는 구조입니다.
내부와 외부를 통하는 길은 도개교라고 부르는 단일 지점이 유일합니다. 

도개교 입구/ 이미지 출처: Roberaten, Shutterstock

이렇게 내부 네트워크와 외부 네트워크를 아예 분리하여 망 분리라는 보안 모델을 구현하고 업무에 필요한 경우 내부와 외부를 연결하기 위해 VPN이라는 서비스를 사용합니다.
특정 사용자나 그룹들은 업무를 수행하기 위해 VPN 계정을 발급받고 내부 네트워크에 진입하여 필요한 업무를 수행합니다.

이러한 보안 모델에서는 그 구조적 특성상 몇 가지 한계를 가질 수밖에 없습니다. 업무에 접속해야 하는 사용자들이 여러 지역에 흩어져 있는 경우 물리적으로 멀리 떨어져 있기 때문에 자연스럽게 성능의 저하가 발생합니다.
그리고 자사 IDC 환경과 클라우드를 동시에 사용하는 경우 각각의 인증시스템을 운영해야 하는 복잡도의 증가가 그렇습니다. 그리고 무엇보다 운영 비용의 증가는 피할 수 없습니다. 

아카마이는 전 세계 글로벌 고객사들과 함께 이러한 기업의 네트워크 환경, 엔터프라이즈 네트워크  좀 더 안전하고 편리하게 만드는 프로젝트들을 수행했었고
그 과정에서 들을 수 있었던 보안 담당자의 생생한 이야기들과 흥미로웠던 점 그리고 프로젝트의 성과에 대해 공유 드리겠습니다.

첫 번째로,  내부 네트워크 보안 책임자분들과 나눈 대화 중에 몇 가지 생각나는 것들이 있습니다.

"보안과 관련된 잡무가 일상의 업무에 방해가 될 만큼 비중이 크다"
"우리 회사 보안이 안전한지에 대한 100%의 확신이 들지 않는다"

 

이 두 가지 코멘트, 여러분들도 혹시 비슷하게 생각해보신 적이 있으신가요? 

보안 잡무에 관한 이야기는 수시로 들어오는 방화벽 IP와 Port의 접근 관련 요청들이 이메일로만 오는 것이 아니라 급한 요청이라 전화나 메시지로 오고 있다면 그런 느낌이 들것 같습니다.
보안팀과 미팅을 진행하다 보면 책상 위에 있는 전화기에서 알림이 오고, 눈치를 보다가 전화를 받으러 바깥으로 나가는 경우도 참 많습니다. 그럴 수 있습니다.

통계에 따르면 보안팀이 수행하는 업무 중 가장 많은 빈도를 차지하는 것은 ACL과 방화벽 정책 변경에 관한 일이라고 합니다.
또한, 엔터프라이즈 보안에 관한 확신은 실제로 어느 연구기관이 주요 CISO들에게 설문을 진행한 적이 있었는데, 회사의 내부 네트워크 보안 신뢰성에 대해 80%가량의 답변이
"완전히 안전하다고 확신하기 어렵다"라고 답변했다는 보고서가 있습니다. 

Screen Shot 2020-01-14 at 14.37.52.jpg<https://www.mediacorp.sg> 

MediaCorp은 싱가폴에서 가장 큰 미디어 제작회사이고 영어, 중국어를 포함한 다섯 개 언어로 콘텐츠를 만들고 있습니다. 

이 회사의 내부 보안팀은 프로젝트 그룹으로 구분된 사용자들을 실제 보안정책에 적용하거나 변경하는데 일반적으로 3일에서 5일 가량의 시간이 소요되었습니다.
접속 성능 이슈도 있긴 했지만 느린 업무처리로 내부 불만이 꽤 높은 상황이었고, 그렇다고 보안팀 엔지니어를 추가로 고용하자니 아주 애매한 부분이 있습니다.
왜냐하면 A라는 그룹의 사용자들이 B라는 애플리케이션에 접속해도 되는지 안 되는지에 대한 판단은 보안팀이 아니라 B라는 애플리케이션 담당 PM이나 A그룹의 책임자가 판단하는 문제이기 때문입니다.
보안팀 입장에서는 뭔가 보안 같지만, 보안 같지 않은 그런 업무를 하고 있다고 생각하고 있습니다.

Screen Shot 2020-01-14 at 14.37.56.jpg

<http://his.co.jp>

HIS는 글로벌 여행 서비스 제공회사로 세계 각국에 많은 수의 직원이 일하고 있고 주로 패키지 상품을 다루는 여행사입니다. 

업계 특성상 업무 지구 내의 사무실보다 여행지의 카페나 숙소 등에서 일을 많이 하는데, 소중한 고객의 개인정보를 많이 가진 관계로 VPN을 통한 접속은 필수입니다. 따라서, VPN 접속 상태에서 체감하는 성능 저하는 업무효율에 영향을 줄 만큼 매우 중요한 문제였습니다. 예를 들면 여행지 이미지와 동영상을 업로드하거나 본인이 관리하는 패키지 여행 정보의 내용 확인 등의 업무를 할때 현지에서 제공하는 인터넷 속도보다 현저히 느리기 때문에 불만이 높았었다고 합니다.

Screen Shot 2020-01-14 at 14.38.00.jpg

<https://www.lixil.com>

LIXIL은 빌딩과 집에 필요한 장비를 만들고 공급하는, 70년의 업력을 가진 제조 서비스 회사입니다. 제조업 기반의 시스템이기 때문에 오래된 장비와 시스템들을 사용하고 있었는데
스마트폰과 태블릿PC 기반으로 고객의 주문을 받아내는 최신 시스템을 연동시키려고 보니 내부 시스템들의 보안이 매우 우려되는 상황입니다.
IDC 내에 설치한 장비와 SaaS 기반의 애플리케이션들을 어떻게 통합 보안을 이루어낼 것인가 하는 거죠. 그리고 놀랍게도 IT 비용을 더 투자하는 것이 아니라 절감하고 싶어했습니다.
지금은 21세기니까 당연히 그럴 수 있죠.

Screen Shot 2020-01-14 at 14.38.06.jpg

다양한 고객들과의 프로젝트를 살펴보니 공통적으로 발견되는 네트워크 컴포넌트들이 있습니다. 

당연하겠지만 IDC에 구축해놓은 업무용 시스템들과 그 진입장벽인 NGFW, VPN, IPS, IDS 등이 내부 네트워크를 이루고 있고, SaaS 같은 클라우드에 접속해서 쓰는 업무용 시스템들이 보입니다. 

 

IDC를 기준으로 NGFW, IPS, IDS 같은 여러 겹의 보안 서비스를 위한 장비들이 감싸고 있고, 내부 사용자들의 접근은 룰별로 정책을 관리하는 것이 기본이라고 볼 수 있습니다.
일반적인 시각에서 보면 아주 잘 구현된  보안 모델이기도 합니다. 

MediaCorp의 고민점은 IDC 내의 방화벽 정책에 있었고, HIS는 VPN 장비에 있었으며 LIXIL의 고민은 IDC와 SaaS 환경 전체를 아우릅니다. 

Screen Shot 2020-01-14 at 14.38.11.jpg

이런 문제들을 해결할 때 가져야 하는 중요한 원칙이 있습니다. 문제를 근본적으로 해결해야 한다는 것입니다. 가능한 아키텍쳐수준에서 대처해야 하고 개별문제 자체만을 바라보지 않아야 하죠. 

리스트에 쌓인 개별문제들을 하나하나씩 해결해나가다 보면 언젠가 내 일이 끝날 것이라는 헛된 희망은 가지면 안 됩니다.  크게 보고 크게 해결해야 큰 보상이 돌아올 거라는 희망이 좀 더 좋지 않을까요?

Screen Shot 2020-01-14 at 14.38.15.jpg

이러한 기준에서 제시하는 새로운 네트워크 아키텍쳐를 소개 드립니다. 앞선 아키텍쳐와 가장 달라진 점은 인증과 접속관리를 일반 인터넷 네트워크 내에서 수행한다는 점입니다.

이 컴포넌트를 Secure Access as a Service라는 이름으로 이야기할 수 있겠습니다.  룰별로 정책을 관리하는 관점보다 사용자와 업무 관련성을 기반으로 룰을 만든다는 점과 인터넷 그 자체를 내부 네트워크로 사용한다는 점이 특징이라고 할 수 있습니다.

이처럼 보안에 필요한 인증과 권한처리가 클라우드에서 모두 처리돼서 IDC나 SaaS의 보안 정책이 실행되었을 때 보안 책임자와 담당자 입장에서는 어떤 체감이 있었을까요?

Screen Shot 2020-01-14 at 14.38.20.jpg

첫째로 일이 편해졌습니다. API를 자동화를 통해 새로운 사용자의 생성, 연동 애플리케이션 설정 과정을 기존 보안 업무 workflow에 통합하게 되면 보안팀 입장에서는 권한 설정과 관련된 잡무가 극단적으로 줄어드는 효과를 누리게 됩니다. 그리고 내부나 파트너 회사 직원들의 입장에서도 권한 신청을 해놓고 세월아 네월아 기다리는 시간을 줄일 수도 있습니다.

둘째로 전반적인 보안의 완성도가 높아졌습니다. 내부 네트워크 그 자체를 유지하기 위한 시간적, 비용적인 노력을 장기적으로 줄이는 효과가 있습니다. 새로운 NGFW를 적용한다든지
직원의 증가에 따른 VPN 라이센스의 비용증가와 같은 노력을 추가로 들이지 않고도 보안 서비스의 수준을 높일 수 있습니다.
이건 내부 네트워크와 외부 네트워크의 통합을 이루어냈기 때문에 가능했습니다.

Screen Shot 2020-01-14 at 14.38.27.jpg

이런 효과들을 구현단계에서 검증하고 테스트하는 과정에서 피곤함에 지쳐 보였던 고객사 보안담당자가 환하게 웃고 있는 모습도 볼 수 있었고, 편한 마음으로 미팅을 진행할 수 있습니다. 
최근에 함께 고민하고 있는 이슈는 실제 사용자들이 접근할 때 사용하는 장비의 보안성을 어떻게 담보할 것이냐? 하는 부분입니다.

사용자들의 단말이 최신 운영체제를 사용하고 있는지, 회사에서 권장하는 백신 프로그램을 사용하고 있는지, 너무 오래된 브라우져를 사용해서 접속하고 있지 않는지 등이 그 예제가 될 수 있습니다.
회사에서 생각하는 최소한의 보안 기준을 어느 지점에 두느냐에 따라 유동적으로 설정할 수 있는데, 이 정책을 어떻게 적용하여 가장 적당한 수준의 보안 수준을 유지할 것인가가 중요한 의제입니다.

Screen Shot 2020-01-14 at 14.38.32.jpg

내부 네트워크를 별도로 유지하는 이유는 내부 자산들을 안전하게 지키기 위해서입니다. 안전한 내부 네트워크를 유지하기 위해 들이는 노력은 서비스를 위한 일반 인터넷 기반의 외부 네트워크와 별도라고 생각해서
인적, 물적 자원을 투입하는 것에 비해 앞서 말씀드린 것처럼 전반적인 보안의 수준이나 내부 사용자들의 경험이 높지 않습니다.

위의 사례처럼 내부 네트워크를 외부네트워크와 통합하여 보안 접속 아키텍쳐를 구성하게 되면 성능 면에서, 보안성 측면에서 기존 데이터센터와 클라우드 기반의 시스템을 좀 더 효율적으로 운영할 수 있게 됩니다.
보안의 경계를 굳이 나누지 않고 모든 사용자를 동일하게 엄격한 기준으로 판단하고 접속을 제어할 수 있습니다. 보안장비에서 직접 관리해야 하는 모든 사용자 접속에 대해 직접 판단하실 필요 없이 클라우드 형태의 보안 접속 서비스를 이용하게 되면 모두가 편하고, 효율적인 엔터프라이즈 네트워크 환경을 합리적인 비용으로 운영할 수 있게 됩니다. 

 

관련자료:
- "구글과 아카마이가 가는 길" 제로 트러스트 네트워크 구축에 필요한 것

- 9년간 추진해온 아카마이 '제로트러스트' 이니셔티브