이 기사는 지난 9월 29일 바이라인플러스가 주최한 웨비나 ‘구축사례로 살펴보는 기업 웹보안·데이터 유출 방지 기술’에서 동훈아이텍 조현철 수석, 최병현 책임이 진행한 세션발표를 정리한 기사입니다. 

이제 재택근무는 일상이다. 코로나19 팬데믹으로 인해 어쩔 수 없이 시작된 재택근무지만 포스트 코로나 시대에도 재택근무 비중은 과거보다 높아질 것이라는 전망이 많다. 실리콘밸리 일부 기업들은 아예 영구적 재택근무로 전환하는 사례도 나오고 있고, 국내 기업 역시 코로나19 이후에도 재택근무 문화가 확산될 가능성이 높다.

재택근무의 확산은 IT운영팀이나 보안팀에 큰 숙제다. 유연한 근무환경과 보안위협은 비례하기 때문이다. 회사 내에는 각종 보안 시스템이 마련돼 있어 상대적으로 안전하지만, 회사 바깥은 그야말로 해커들의 천국이다. 언제든 직원들의 컴퓨터나 단말기에 악성코드가 설치될 수 있다. 악성코드에 감염된 직원의 컴퓨터가 회사 네트워크에 접속해서 전사적인 정보유출로 이어질 가능성도 배제할 수 없다.

기업들이 이를 막기 위해 가장 많이 사용하는 방법은 VPN(가상사설망)이다. 직원들이 외부에서 VPN을 통해 트래픽을 본사 쪽으로 보낸 후, 사내 장비들을 통해 보안을 적용 받게 된다. 하지만 모든 사용자 트래픽이 본사 쪽으로 들어오게 된다면 사내 네트워크와 보안 인프라 증설이 필요하게 되고, 그에 따른 관리 포인트도 늘어나게 되는 문제가 생긴다.

이같은 문제를 해결하기 위해 대두되는 기술이 클라우드 기반의 웹 게이트웨이다.

조현철 수석(오른쪽), 최병현 책임(왼쪽)

지난 9월 29일 바이라인플러스 웨비나에서 동훈아이텍은 ‘구축사례로 살펴보는 기업 웹보안·데이터 유출 방지 기술’이라는 주제로 재택근무 환경에서 이용할 수 있는 맥아피의 하이브리드 웹보안 방안에 대해 발표했다. 직원이 회사 내부 네트워크에 있을 때는 ‘맥아피 웹 게이트웨이(MWG)’로 보호하고, 재택근무 등 외부에서 인터넷에 접근할 때는 클라우드 기반의 ‘웹 게이트웨이 클라우드 서비스(WGCS)’로 보호하는 하이브리드 전략이다.

MWG는 어플라이언스로 사내 네트워크에 두는 웹 보안 기술이다. 사용자의 웹 요청에 대해 먼저 조직의 인터넷 사용 정책을 적용해서 웹페이지에 접근을 허용하거나 막을 수 있다.

이날 웨비나에서는 글로벌 전자회사인 A사의 MWG 구축사례가 소개됐다. 이 회사는 PAC(Proxy Auto-Configuration)를 통해 프록시를 구성했다. PAC는 사용자가 어떤 웹사이트를 접속할 때 그 트래픽이 웹 프록시를 경유해서 갈 것인지, 아니면 라우팅 경로를 따라 흘러갈 것인지를 정의해둔 파일이다. 사용자의 PC 에서 브라우저를 실행하면 자동으로 PAC 서버에서 파일을 받아와 이를 참조한다. 보통 인트라넷은 라우팅 경로를 따라가도록 정의하고, 나머지는 모두 웹 프록시를 경유하게 하도록 PAC 파일에 정의한다.

이는 기존 레거시 방화벽으로 인한 보안담당자의 고민을 해결한다. 웹 통신을 통해 보안위협이 몰려들어오는데, 업무상 웹통신을 막아두기만 할 수 없다. MWG는 사용자가 요청한 웹 콘텐츠를 대신 웹 서버에서 받아와 사용자에게 돌려줍니다. 이 과정에서 보안에 위협이 될 만한 웹사이트를 차단할 수 있다. 레거시 방화벽은 IP나 포트를 기반으로 컨트롤 하는 반면, 웹 프록시에서는 주로 HTTP 프로토콜의 정보를 기반으로 컨트롤을 하게 된다. URL 이나 URL 패쓰(Path) 쿼리, HTTP 메소드, 헤더를 기반으로 컨트롤이 가능하다. 또 https 암호화 통신의 경우에도 웹 통신에 대한 대리자 역할을 하게 됨으로써 암호화된 트래픽을 복호화 해서 해킹 위협을 판단할 수 있다.

재택근무 등으로 외부에서 직원이 인터넷에 접속할 때는 ‘웹 게이트웨이 클라우드 서비스(WGCS)’를 통해 MWG와 같은 효과를 누릴 수 있다. WGCS를 활용하면 외부 네트워크에 위치한 사용자가 클라우드를 통해 직접 인터넷 접속을 할 수 있다.


조현철 동훈아이텍 수석은 “VPN을 통해 사내 네트워크를 거칠 필요가 없어 부수적인 비용을 줄일 수 있다”면서 “다이렉트로 클라우드에 접속하는 방식이다 보니 사용자 측면에서 느낄 수 있는 속도 지연을 최소화 할 수 있다”고 전했다. 조 수석은 이어 “본사 네트워크에 있던 사용자가 외부 네트워크로 벗어나더라도, 웹 트래픽이 WGCS로 자동 라우팅되어, 위치와 상관 없이 일관된 보안 정책을 적용 받을 수 있다”고 강조했다.

중요한 것은 온프레미스 기반의 MWG와 클라우드 기반의 WGCS 관리의 일원화다. 이 둘을 별도로 관리해야 한다면 관리 포인트가 늘어나 보안에 오히려 위협이 된다. 이용자 입장에서 회사에서나 외부에서나 같은 경험을 해야 한다. 이용자가 회사 내외부에 따라 설정을 정확히 변경할 것을 기대하는 것은 무리다. 이용자는 회사 내부든 외부든 원래 방식대로 업무를 하고, 시스템이 이를 자동으로 인지해서 이용자 상황에 맞는 정책을 적용해야 한다.

조 수석에 따르면, 맥아피의 경우 이용자의 IP를 자동으로 확인한 후 회사 내부라면 MWG의 정책을 적용하고, 회사 외부라면 WGCS로 리다이렉팅 시켜서 클라우드 보안 정책을 적용하게 된다.

조 수석은 “온프레미스와 클라우드를 경유하는 트래픽에 대한 로그를 각각의 관리하면 사용자 접속 이력 관리나 리포팅에 불편함을 초래할 수 있다”면서 “맥아피의 통합 관리 솔루션인 ePO를 통해 내부 네트워크 사용자와 외부 사용자의 인터넷 접속 이력을 단일 콘솔에서 모니터링할 수 있다”고 설명했다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network