[인터뷰] 빗장 풀린 한국 보안, 아카마이가 제시한 ‘해킹 고리’ 끊어내는 법
[인터뷰] 한준형 아카마이코리아 아시아태평양 지역 기술 영업 상무
막는 것만으론 부족…‘마이크로세그멘테이션’과 ‘API 보안’으로 내부 확산 고리 끊어야”
올해 대한민국을 휩쓴 대형 보안 사고들은 공격의 주체는 달랐으나 침투 방식은 유사한 양상이었다. 공격자는 과거처럼 랜섬웨어를 통해 즉각적으로 암호화를 시도하기보다, 초기 침투 후 내부망을 수개월간 탐색하고 여러 자산으로 이동하면서 인프라를 장악하는 지능화된 전략을 택했다.
한준형 아카마이코리아 아시아태평양 지역 기술 영업 상무는 이러한 공격 양상을 두고 “공격자에게 장기간 체류를 허용하는 평면적인 내부망 구조가 피해를 키웠다”고 진단했다. 그는 기업이 보유한 ‘자산 가시성(Visibility)’과 ‘구조적 격리’의 중요성을 강조하며, 단순한 솔루션 도입이 아닌 마이크로세그멘테이션을 기반으로 한 보안 패러다임의 변화가 필요하다고 강조했다.
타이타닉은 왜 침몰했나?…“접근 권한 관리와 마이크로세그멘테이션 실패”
한준형 상무는 제로 트러스트와 마이크로세그멘테이션의 필요성을 설명하며 영화 ‘타이타닉’의 한 장면을 예시로 들었다.
“타이타닉 속 주인공 잭은 도박으로 딴 3등석 티켓을 가지고 배에 오릅니다. 하지만 그는 배 안에서 자유롭게 이동하며 1등석 구역에 있는 로즈를 만나고 식사까지 합니다. 보안 관점에서 보면 이는 ‘접근 제어’의 총체적 실패입니다. 낮은 권한(3등석 표)을 가진 사용자가 최고 등급의 중요 자산(1등석 구역)에 아무런 제재 없이 접근해 횡적 이동(Lateral Movement)을 한 셈이니까요.”
횡적 이동은 사이버 보안 용어로, 공격자가 네트워크 내부의 한 지점에 침투한 뒤(초기 침투), 최종 목표인 중요 데이터나 관리자 권한을 탈취하기 위해 네트워크 내부의 다른 시스템, 서버, 계정 등으로 ‘옆으로’ 이동하는 행위를 말한다. 해커가 최초로 침투한 지점(말단 직원의 PC)에는 보통 그들이 노리는 ‘돈이 되는 데이터’가 없다. 그래서 공격자는 내부망에 진입한 후, 마치 잭이 배 안을 활보하듯 핵심 정보가 담긴 데이터베이스나 관리자 권한을 찾아 옆 서버로, 또 다른 네트워크로 끊임없이 이동하며 확산한다.
한 상무는 “대부분의 네트워크가 평면적으로 연결되어 있어 해커가 이쪽에서 저쪽으로 넘어가는 것을 막을 장치가 없다”며 “결국 이 자유로운 이동을 허용했기 때문에 단순한 침투가 대규모 인프라 장악 사고로 번지는 것”이라고 지적했다.
또한, 그는 타이타닉호가 침몰한 구조적 원인 역시 마이크로세그멘테이션의 부재와 맞닿아 있다고 설명했다. 배 하부에 구간을 나누는 격벽이 있었지만, 물이 차오를 때 이를 완전히 차단하지 못해 물이 옆 칸으로 계속 넘어가며 배 전체가 가라앉았다는 것이다.
“기업 보안도 마찬가지입니다. 해커가 말단 직원의 PC(3등석)를 감염시켰더라도, 그 피해가 대표이사의 노트북이나 핵심 데이터베이스(1등석)로 번지지 않도록 중간에 ‘디지털 격벽’을 쳐야 합니다. 만약 타이타닉호가 구역별로 완벽하게 차단돼 있었다면, 물이 들어온 그 칸만 폐쇄하고 배 자체는 계속 항해할 수 있었을 것입니다. 아카마이는 몇 년째 이 마이크로세그멘테이션을 강조하고 있습니다.”
마이크로세그멘테이션은 데이터센터나 클라우드 환경을 개별 워크로드 단위까지 잘게 쪼개 보안 구역을 만드는 기술이다. 핵심은 ‘신뢰할 수 있는 구간’을 최소화하는 데 있다. “절대 믿지 말고 계속 검증하라”는 제로 트러스트 보안 철학을 시스템에서 구현하는 기술이기도 하다.
한 상무는 “과거에는 내부망에 들어오면 ‘아군’으로 간주하고 모든 권한을 주는 암묵적인 신뢰가 있었다”며 “하지만 제로 트러스트 환경에서는 내부 직원이라도, 심지어 최고경영자(CEO)라도 업무상 불필요한 서버에는 접근할 수 없어야 한다”고 설명했다. 즉, 마이크로세그멘테이션은 사용자나 기기의 ‘역할’에 따라 꼭 필요한 접근 권한만 부여하고, 나머지 경로는 모두 차단함으로써 해커가 침투하더라도 움직일 수 있는 공간 자체, 횡적 이동을 막는 ‘킬 체인(Kill Chain) 차단’의 핵심 역할을 수행한다.
“내부 자산 제대로 알아야”…350만개 연결 중 필수 연결 지점은 120개뿐
이처럼 내부망을 쪼개고 접근 권한을 촘촘하게 나누려면 먼저 내부가 어떻게 연결돼 있는지 알아야 한다. 하지만 많은 기업이 자산 현황을 잘 모른다는 점도 문제다.
한 상무는 “대부분의 기업이 자신이 가진 자산이 서로 어떻게 통신하는지 모르고 있다”고 짚었다. 그는 최근 아카마이가 인수한 마이크로세그멘테이션 전문기업 ‘가디코어(Guardicore)’의 솔루션을 도입하기 전, 아카마이 내부망을 분석했던 사례를 설명했다.
“아카마이 내부에 가시성 도구를 적용했을 때 내부에서 약 350만개의 연결 고리가 탐지됐습니다. 어마어마한 숫자였죠. 서버 간 통신, 관리자 접속, 애플리케이션 프로그래밍 인터페이스(API) 호출 등 모든 게 엉켜 있었습니다. 하지만 자산을 식별하고 실제 비즈니스에 꼭 필요한 연결만 남겨두고 태깅(분류를 위해 라벨을 붙이는 작업)해 보니, 필수적으로 연결이 필요한 지점은 단 120개 수준이었습니다.”
나머지 99%는 불필요하거나, 개발자가 테스트 후 지우지 않은 ‘좀비 연결’이거나, 보안팀이 인지하지 못한 위험한 통로였던 것이다.
한 상무는 “이 350만개의 불투명한 연결들이 바로 해커가 숨어들고 이동하는 통로”라며 “프로세스 단위까지 들여다보는 ‘딥 비저빌리티(Deep Visibility)’ 없이는 정책 수립 자체가 불가능하다”고 강조했다.

아카마이 가디코어, 하드웨어를 넘어선 ‘소프트웨어 정의 격벽’
아카마이는 이러한 내부 확산을 막기 위해 ‘아카마이 가디코어 세그멘테이션(Akamai Guardicore Segmentation)’을 제시한다. 기존의 하드웨어 방화벽이나 가상랜(VLAN) 방식은 물리적 네트워크 구조에 종속되어 클라우드와 온프레미스가 섞인 하이브리드 환경에 적응하기 어려웠다.
“가디코어는 운영체제(OS)단에 설치되는 소프트웨어 에이전트 방식입니다. 온프레미스 서버든, 클라우드 컨테이너든, 심지어 노후화된 운영기술(OT) 장비든 상관없이 동일한 보안 정책을 적용할 수 있습니다. 특히 ‘인공지능(AI) 오토 레이블링’ 기능은 복잡한 트래픽 흐름을 분석해, 관리자가 어떤 정책을 세워야 할지 자동으로 제안해줍니다. 사람이 일일이 IP를 확인하던 방식에서 벗어나, 프로세스와 애플리케이션 단위로 정교한 제어가 가능해진 것입니다.”
실제로 아카마이 고객인 국내 한 반도체 제조사는 20만 대 이상의 서버가 얽힌 복잡한 환경에서 가디코어를 통해 중요 자산을 격리하고 랜섬웨어 확산 경로를 차단하는 데 성공했다.
“VPN은 뚫린 터널” IP가 사라진 시대의 보안
올해 터진 많은 사고들에서 가상사설망(VPN)은 주요 침투 경로로 악용됐다. 한 상무는 VPN의 한계를 ‘터널’에 비유했다.
“VPN은 말 그대로 터널입니다. 입구에서 신분증 검사(인증)만 통과하면, 터널을 지나 내부 네트워크 전체를 훤히 들여다볼 수 있습니다. 공격자가 VPN 계정 하나만 탈취하면 내부의 모든 애플리케이션 포트를 스캔하고 공격할 수 있는 권한을 얻게 되는 구조입니다.”
더 큰 문제는 클라우드와 컨테이너 환경의 확산으로 방어의 기준점이 사라졌다는 점이다. 과거에는 IP 주소로 아군과 적군을 구분했지만, 이제는 오토스케일링으로 서버 IP가 수시로 바뀌고 사라진다. 오토스케일링은 클라우드 컴퓨팅의 핵심 기술 중 하나로, 서버나 컴퓨팅 자원의 수를 사용량(트래픽)에 따라 자동으로 늘리거나 줄이는 기능을 말한다.
한 상무는 “서버가 늘어나고 줄어들 때마다 IP도 바뀌기 때문에, 이제 IP는 자산을 식별하는 고유값이 될 수 없다”며 “IP가 바뀌어도 변하지 않는 ‘역할’과 ‘프로세스’를 기준으로 태그를 달고 보안 정책을 짜야 한다”고 말했다. 예를 들어, ‘결제 서버’라는 태그가 붙은 워크로드는 IP가 무엇으로 바뀌든 오직 ‘데이터서비스(DB) 서버’와만 통신할 수 있게 하고, 그 외의 연결은 차단하는 식이다.
API 보안, 마이크로세그멘테이션과 결합해 ‘내용’까지 감시
내부 확산을 막는 또 다른 핵심 축은 API 보안이다. 한 상무는 개발자들이 기능 구현에 쫓겨 보안을 놓치는 상황을 ‘피자 주문’에 비유해 설명했다.
“개발자들은 ‘피자 주문’ 기능이 작동하는 것에 집중합니다. 그런데 해커들은 이 API 로직의 허점을 노립니다. 피자 하나 값을 결제한 뒤 API 호출을 조작해 100판을 배달시키거나, 결제 승인 코드를 우회해 공짜로 주문을 넣는 식입니다. 이는 겉보기에 정상적인 통신이라 전통적인 방화벽으로는 막을 수 없는 공격입니다.”
이처럼 정상적인 경로를 타고 들어오는 비정상적인 행위를 잡아내기 위해 아카마이는 ‘글로벌 트래픽 인텔리전스’를 활용한다. 한 상무는 “아카마이는 방대한 트래픽 데이터를 분석해 정상적인 API 흐름과 미세한 일탈 행위를 구분해낸다”고 설명했다.
이를 위해 아카마이는 최근 API 보안 전문 기업 ‘네오섹(Neosec)’과 ‘노네임 시큐리티(Noname Security)’를 잇달아 인수하며 기술력을 대폭 강화했다.
그는 “단순히 알려진 취약점을 막는 것을 넘어, 관리되지 않는 ‘섀도우 API’를 찾아내고, 비즈니스 로직을 악용하는 시도까지 탐지한다”며 “인프라 레벨의 격리(마이크로세그멘테이션)와 애플리케이션 레벨의 감시(API 보안)를 결합해 입체적인 방어망을 구축하는 것이 핵심”이라고 강조했다.
보안 넘어 컴퓨팅 진화로…‘퍼미온’ 인수
아카마이의 진화는 보안에서 멈추지 않는다. 한 상무는 최근 발표된 ‘퍼미온(Fermyon)’ 인수 소식을 언급하며, 아카마이가 그리는 ‘보안이 내재된 클라우드 컴퓨팅’의 청사진도 제시했다. 지난 10일 아카마이가 인수한 퍼미온은 서버리스 웹어셈블리(WebAssembly) 기술을 선도하는 기업이다. 서버리스 웹어셈블리는 쉽게 말해 ‘초경량, 초고속으로 작동하는 일회용 코드 실행 기술’이다.
“보안이 인프라를 지키는 것이라면, 컴퓨팅은 그 위에서 비즈니스를 돌리는 엔진입니다. 최근 AI 추론과 같은 워크로드가 중앙 데이터센터에서 엣지(Edge)로 이동하고 있습니다. 무거운 컨테이너 대신 퍼미온의 경량화된 웹어셈블리 기술을 아카마이의 거대한 엣지 플랫폼에 결합하면, 개발자들은 보안 걱정 없이 0.1초 만에 실행되는 초저지연 애플리케이션을 구축할 수 있게 됩니다.”
즉, 가디코어와 API 보안으로 ‘안전한 환경’을 만들고, 그 위에서 퍼미온 기술을 통해 ‘가장 빠르고 효율적인 컴퓨팅’을 제공하겠다는 전략이다.
완벽한 보안은 없다, 가장 중요한 것부터 지켜라
한 상무는 기업 보안 담당자들에게 현실적인 조언을 건넸다. 타이타닉호가 모든 구역을 1등석처럼 만들 수 없었듯, 기업도 한정된 예산으로 모든 것을 막을 수는 없다.
“모든 자산을 한 번에 완벽하게 보호할 수는 없습니다. 해커는 반드시 들어온다고 가정해야 합니다. 우리 회사의 가장 중요한 자산, 즉 타이타닉의 엔진실이나 1등석이 어디인지 정의하고, 그 주변부터라도 확실하게 나누고 권한을 검증하는 최소한의 노력이 필요합니다.”
아카마이는 어떤 기업?
아카마이는 1998년, MIT 응용수학 교수였던 톰 레이튼 박사와 월드와이드웹(WWW)의 창시자 팀 버너스 리의 수학적인 고민에서 시작됐다. 폭발적으로 늘어나는 인터넷 트래픽의 병목 현상을 해결하기 위해 전 세계에 서버를 분산 배치하는 알고리즘을 개발한 것이 시초다. 현재 아카마이는 전 세계 130여 개국에 분산된 엣지 플랫폼을 통해 글로벌 웹 트래픽의 약 30%를 처리하고 있다. 사용자와 가장 가까운 곳(엣지)에 위치한 거대한 인프라는 콘텐츠 전송 속도를 높이는 콘텐츠 전송 네트워크(CDN) 역할을 넘어, 해커의 공격을 가장 먼저 막아내는 글로벌 보안 방패이자 거대한 분산 클라우드 플랫폼으로 진화하고 있다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

