접근제어 시간은 없고, IT투자 비용이 정해져 있다면, 조금 더 스마트하게 제어하는 방법을 모색해야 한다. 그 중 하나 로 상황별 맞춤 보안 정책(Contextual security) 을 제 안한다. 상황별 맞춤 보안은 민감한 데이터와 그렇지 않은 것을 구분한 후 민감

상황별 맞춤형 보안 정책 지능형 위협 차단과 서비스 지속성 사용성 보장해야 기업 담당자는 어떻게 효과적으로 보안 정책을 제공할 수 있을까? 시간은 없고, IT투자 비용이 정해져 있다면 보다 스마트하게 제 어하는 방법을 모색해야만 한다. 그 대안으로 상황별 맞춤 보안 정책(Contextual security) 이 제안된다. 상황별 맞춤 보안은 민감 한 데이터와 그렇지 않은 것을 구분한 후 민감한 데이터를 보호하기 위해 데이터에 액세스하는 방법으로, 특정 액세스 요청 프로세 스를 만들어 효율적인 웹 자산 보호가 가능하다. 허재홍 시트릭스코리아 부장 금융, 공공기관, IT에 이르는 모든 규모의 기업에서 보 안사고가 발생하고 있고 이에 따른 피해가 상당하다. 보안 사고가 급증하면서 많은 기업들이 보안 을 전사적인 전 략의 측면에서 바라보고 이에 대한 대책을 마련하고 있다. 보안 공격이 해커들의 영리추구를 위해 행해졌고 그 기 법도 영리추구 목적에 맞춰 단순했던 과거와는 달리 오늘 날의 보안 공격은 영리 추구 이외의 목적을 가지고 행해지 는 경우가 많아 그 기법이 다양해지고 정교화되고 있다. 2015년 정부는 공공기관을 중심으로 클라우드 이용을 촉진하는 클라우드 발전법(클라우드 컴퓨팅 발전 및 이 용자 보호에 관한 법률) 을 발표했는데 이는 BYOD를 확 산의 촉매제가 되는 것으로 모빌리티 강화를 통한 생산성 증대 효과가 커 많은 기대를 받고 있다. 그러나 클라우드 확산에 따른 엔드포인트 수가 증가하 고 클라우드에 보관될 데이터의 중요도를 구분해야 해 기 업의 보안 담당자 입장에서는 수많은 보안 정책과 방법을 마련해야 한다는 난제에 직면하게 된다. 기존 업무 환경에서는 회사의 데이터를 필요로 하는 업 무는 회사의 자기 자리에서만 할 수 있었기 때문에 보안 팀 은 회사 표준 와 상의 디바이스에 대한 보안대책만 마련하면 됐다. 그러나 길거리나 카페에서 자 신의 스마트폰, 태블릿, 랩톱을 이용해 업무를 수행하게 되면서 보안범위가 회사 외부로 확장되고 있다. 다양해지는 업무 환경 위한 스마트한 전략 2015년 7월 웨이크필드리서치와 시트릭스가 공동으로 전 세계 1만 여 명을 대상으로 현재 업무환경과 보안에 대 해 조사한 결과, 88% 이상의 사람들이 회사에서 인증 받 지 않은 디바이스를 통해 업무를 수행하고 있다고 대답했 다. 또한 70%가 자신의 스마트폰이나 태블릿에 보안 솔 루션을 설치하지 않았다고 응답했다. 확장되고 있는 보안 범위에 대응해 기업 담당자는 어 떻게 효과적으로 보안 정책을 제공할 수 있을까? 임직원 을 대상으로 보안교육을 수행하고, 모든 엔드포인트를 방어하는 것이 좋은 방법이지만, 많은 시간과 비용이 투 자돼야 한다. 246 기업 정보보안 가이드 2016 v.11

접근제어 시간은 없고, IT투자 비용이 정해져 있다면, 조금 더 스마트하게 제어하는 방법을 모색해야 한다. 그 중 하나 로 상황별 맞춤 보안 정책(Contextual security) 을 제 안한다. 상황별 맞춤 보안은 민감한 데이터와 그렇지 않은 것을 구분한 후 민감한 데이터를 보호하기 위해 데이터에 액세 스하는 방법별로 특정 액세스 요청 프로세스를 만드는 것 이다. 예를 들어 ADC(Application Delivery Controller)는 디바이스와 접속 상황에 따른 패턴, 특징을 파악한 후 각 각의 특징을 분석하고 이를 저장한다. 최종 사용자들로부 터 액세스 요청이 있을 때 일련의 보안 액세스 프로세스를 자동적으로 제시한다. 더불어 스마트 컨트롤을 통해 보안 관리 기능도 제공 한다. 스마트 컨트롤은 자동화된 보안 관리를 통해 보안 은 강화하면서도 생산성은 해치지 않도록 지원하는 ADC 의 지능적인 기능이다. 이 기능은 디바이스에 대한 엔드포인트 분석을 수행해 최종 사용자가 기업 리소스에 접근하도록 허용하기 전에 디바이스 특성을 평가해 IT부서가 상황에 맞춘 관리를 할 수 있도록 지원한다. 또한 IT에서 필요로 하는 OS 및 패 치레벨, 안티 바이러스 및 보안 스위트, 업데이트된 DAT 파일, 워터마크 및 장치 인증서 등 요구되는 디바이스 보 안 방법을 보장한다. <그림 1> 복잡하고 방대한 웹 자산 브라우저 마이크로 앱 <그림 2> 비즈니스 환경과 위협방법 지능형 멀웨어 DoS 공격 모바일 엔터프라이즈 웹 앱 클라우드 SaaS 웹 앱 브라우저 앱 계층 공격 사용성 문제 상황별 맞춤 보안 정책, 웹 자산에 집중 웹 자산은 웹과 관련된 리소스를 통칭하는 것으로, 단 순히 브라우저에 관련된 리소스에 머무르지 않는다. 비 즈니스를 위해 필요한 애플리케이션, 클라우드 제공 옵 션 등으로 다양하다. 웹 자산을 분류하면 다음과 같다. 수많은 웹 앱 요소 및 사이트와 상호작용하는 다양한 종류의 브라우저 클라우드 호스팅 웹 앱/사이트 및 콘텐츠 딜리버리 기업이 소유 및 통제하는 SaaS 및 서비스형 플랫폼 (PaaS), 서비스형 인프라(IaaS) 등의 기타 클라우드 제공 옵션 여러 외부 사이트에서 콘텐츠를 동적으로 수집해 취합 하는 매쉬업 공급망 통합과 자동화 확대를 지원하는 강력한 API 디바이스 측 마이크로 앱이 정교한 웹 기반 백 엔드와 통신하는 모바일 솔루션 상황별 맞춤형 보안 정책 247

<그림 3> 넷스케일러 엔터프라이즈 보안 기능 앱 DDoS 앱 방화벽 SSL 애브리웨어 안전한 안전한 앱 DDoS APT 차세대 방화벽 <그림 1>에서 보는 것처럼 웹 자산은 브라우저, 네트 워크, 웹 애플리케이션 제공 옵션, 모바일까지 범위가 매 우 넓다. 따라서 웹 자산 방어의 범위는 브라우저용 방 어, 엔터프라이즈 웹 애플리케이션 보호 이상의 범위로 확대된다. 웹 자산을 위협하는 가장 대표적인 공격으로 지능형 멀 웨어를 꼽을 수 있다. 멀웨어는 해악을 끼칠 목적으로 개 발된 프로그램이나 파일을 통칭하는 것으로 웜, 트로이 목마, 컴퓨터 바이러스 등이 이에 해당한다. 전통적인 멀웨어는 배포되는 서명 기반의 방어를 통해 보안할 수 있었지만, 지능형 멀웨어는 예전에 드러나지 않 았던 취약성을 표적으로 삼아 노출된 자격증명을 이용하 거나 다형성 및 기타 기법을 활용해 악성코드의 점유 공간 이나 기능을 급속히 변경하는 등의 방법으로 공격을 가하 기 때문에 매우 위협적이다. 오늘날 기업이 지능형 멀웨어 방어에 투자해야 하는 이유도 여기에 있다. DoS 공격도 웹 자산에 대한 심각한 위협이다. DoS 위 협은 인터넷 자산을 공격해 피해를 입게 되는 것에 그치지 않고, DoS를 만들 수 있는 툴킷과 실행할 수 있는 봇넷을 저렴한 가격으로 쉽게 구할 수 있게 되면서 규모나 업종에 무관하게 모든 사업체가 위험에 처하게 됐다. 라우터, 방화벽, ADC 같은 전면의 기기를 무력화하거나 인터넷 경로를 독점하려는 익숙한 대규모 공격에 백엔드 리소스 소진 전략을 내세워 애플리케이션 계층을 몰래 노리는 변형된 형태의 저대역폭 공격까지 가 세하면서 이런 공격을 찾아내기가 예전보다 훨씬 더 어려 워졌다. 웹 애플리케이션 계층에 대한 집중적인 공격도 심각한 위협이다. 웹 애플리케이션 공격이 새로운 것은 아니지만 계속해서 영향력을 넓히고 있다. 해커들은 계층 에 과도하게 적용된 일반적인 방어 전략에 맞서기 위해 상 위 계층의 컴퓨팅 스택에 공격을 집중하기 시작했다. 그 결과 HTTP 프로토콜 자체, 자바 또는 유명 웹 서 버 및 앱, 조직의 전용 웹 앱 등 폭넓게 분산된 웹 기술과 구성 요소 모두에서 취약점을 노린 공격이 상당수 발견됐 다. 이 범주에 속하는 위협은 교차 사이트 스크립팅, 교 차 사이트 요청 위조, SQL 삽입 공격, 버퍼 오버플로 공 격 등 무수히 많다. 마지막으로 사용성 위협도 무시할 수 없다. 사용성 저 하는 실질적인 보안 위협보다는 성능 문제라는 오해 속에 간과되거나 경시된다. 분류가 어떻든 보안 솔루션으로 인한 사용성 문제 역시 비즈니스 측면에서 본다면 실질적인 위협이다. 연산 집약 적인 정기 점검, SSL 과부하, 까다로운 로그인 절차, 일 관성 없는 액세스 기능으로 인한 성능 저하는 사용자로 하 여금 안전하지 않은 대안을 찾거나 불만을 갖게 만들고, 결국에는 고객 이탈로 이어질 수 있다. 뿐만 아니라 이런 상황에 대한 대안으로 원래 계획했 던 것보다 훨씬 큰 용량의 하드웨어를 구입해야 할 수도 있다. 따라서 IT 보안 팀은 보안 솔루션이 이런 종류의 사 용성 문제를 차단하거나 문제 발생 시 보상을 제공하도록 구성되지 않을 경우 솔루션 자체가 위협이 될 수 있다는 사 실을 주지해야 한다. 정교화되고 있는 공격과 현명한 웹 자산 보호 전략 모빌리티를 통한 생산성 강화가 많은 기업들의 화두가 248 기업 정보보안 가이드 2016 v.11

접근제어 되면서 기업 웹 자산의 크기는 점점 커지고 있고 이를 대상 으로 한 공격도 점차 지능화, 다양화되고 있다. 시트릭스 넷스케일러는 지능형 멀웨어, DoS 공격, 애플리케이션 계 층 공격 등 웹 자산에 대한 심각한 위협을 완화해 웹 자산 사용성과 성능을 강화해 사용자 유입과 보유율을 높여 비 즈니스 위험을 최소화시킬 수 있다. 더불어 인프라 통합과 리소스 활용 최적화에 필요한 광 범위한 기회를 제공함으로써 총소유비용을 절감하고, 기 업이 사용자 모빌리티, IT 소비재화, 엔터프라이즈 클라 우드 관련 프로젝트를 안심하고 추진하는데 필 요한 보안 및 기타 핵심 기능 제공을 통해 비즈니스 및 IT 민첩성을 증가시킨다. 지능형 위협 차단: 통합 ADC 솔루션은 애플리케이션 계층 집중 공격을 직접 차단할 수 있으며, APT 방어 솔루 션과 연동하면 정교한 멀웨어를 차단할 수 있다. 넷스케 일러는 광범위한 애플리케이션 보호를 위한 계층 프로토 콜 방어 기능을 제공한다. 애플리케이션 계층 집중 위협 에 대처하는 앱파이어월(AppFirewall)을 함께 사용하면 보안을 한층 강화할 수 있다. 서비스 지속성 보장: 서비스 중단으로 인해 액세스할 수 없는 웹 자산은 무용지물이다. 심한 경우 기업 이미지 에 해가 될 수 있다. 따라서 ADC는 웹 자산을 운영 중단이 나 핵심 서비스를 무력화할 수 있는 위협으로부터 보호하 기 위해 핵심 구성요소의 고가용성(HA) 보장, 예방적 장 애 관리를 위한 상태 모니터링, 재해복구를 위한 GSLB, DoS 공격에 대한 다중 계층 보호 등의 다양한 기능을 제 공한다. 사용성 보장: 사용성 보장도 중요한 요소다. 성능 저 하, 복잡하거나 일관성 없는 웹 자산 액세스 절차 등 사용 성을 악화시키는 보안 솔루션과 달리 넷스케일러는 지능 적인 설계 결정과 애플리케이션 성능 가속화에 초점을 맞 춘 다양한 기능을 조합해 사용성 문제를 해결한다. 드롭박스, 구글 드라이브 등의 상용 클라우드 서비스 는 무료로 제공되며, 용량도 넉넉해 많은 사람들이 자신 의 데이터를 보관하고 커뮤니케이션을 한다. 빠른 커뮤니 케이션, 간단한 사용법으로 개인이나 기업의 생산성 증 대에 도움이 되며, 비즈니스에도 긍정적인 효과가 있다. 다가올 BYOC 보안 정책 마련도 필수 그러나 상용 클라우드에 저장된 데이터가 보안팀의 허 가를 받은 것인지, 기업 내부에 상용 클라우드 사용과 관 련된 정책이 있는지 살펴봐야 한다. 최근에는 사용자가 원하는 클라우드 서비스를 사용하 는 BYOC(Bring Your Own Cloud)가 업무 유연성을 위 해 제안되는 상황에서, 모든 데이터와 디바이스를 완벽 하게 통제하는 것은 사실상 불가능하다. 특히 엄청난 비 용과 시간이 필요하기 때문에 보호 대상과 방법의 범위를 좁혀야 한다. 상용 클라우드는 회사의 내부 것이 아니기 때문에 보안 대상에서 벗어난다. BYOC를 통해 커뮤니케이션 되는 회 사의 데이터 또는 BYOC에 접근하게 되는 디바이스를 보 호하는 내용으로 제한해야 한다. 디바이스의 보안을 강 화하기로 결정했다면 MDM이나 MAM 등의 솔루션을 활 용하면 되고, 데이터 보안을 강화한다면 데이터 관련 정 책을 수립한 후 이에 적합한 솔루션을 활용해 시행하면 될 것이다. 사용자 편의성 중복 투자 방지 유념해야 시트릭스는 수많은 글로벌 기업의 BYOD 지원 경험을 기반으로 BYOD 전략을 시행한 기업들이 보안과 모빌리 티 강화라는 두 가지 목적을 위해 공통적으로 선호하고 채 택하고 있는 방법을 소개한다. BYOD 전략을 채택한 기업 들은 대부분 회사 IT팀의 보안 하에서 운영되는 워크스 페이스 를 임직원에게 제공한다. 상황별 맞춤형 보안 정책 249

워크스페이스란 회사에서 담당하는 업무에 맞춰 애플 리케이션을 제공하고 관련 데이터를 저장하는 공간으로, 이는 데이터센터를 활용한 클라우드 서비스를 통해 제공 된다. 데이터센터 활용으로 IT팀은 제어가 쉬워 기밀 데이 터 유출 염려가 적고, 사용자 측면에서는 모빌리티가 보 장돼 편리하다. 퍼블릭 클라우드, 하이브리드 클라우드, 온 프레미스 환경 등 무엇을 통해서도 워크스페이스 제공은 가능하다. 워크스페이스를 제공하는 업체들은 데이터 분류에 특히 신경을 쓰는데 고객정보, 재무정보 등의 기밀 데이터와 일 반 데이터를 분류하는 일에 우선 착수한다. 이것은 보안 의 초석으로 임직원에게 그 취급법에 대해 설명하는 교육 도 놓치지 말아야 한다. 그 다음으로 워크스페이스의 위치에 대해 신경 쓴다. 현재 많은 데이터가 위치한 곳을 선별한다. 그것이 프라 이빗 클라우드라면 프라이빗 클라우드에 워크스페이스를 구축하고, 사용자들에게 데이터 취급법에 대한 교육을 실 행한다. 만일 주요 데이터가 하이브리드 쪽에 위치한다면 그곳에 워크스페이스를 구축하고 교육을 실행한다. 무리해서 하나의 데이터센터에 모든 데이터를 넣으려 고 시도하지 않는다. 시트릭스의 권고 사항이기도 한 이 것은 모든 데이터를 통합시키려고 할 때 소요되는 비용과 시간이 엄청나 효율이 떨어지기 때문이다. 시트릭스는 현재 사용되고 있는 데이터가 가장 많이 있 는 위치에 데이터 운영시스템을 설치하고 이것을 임직원 들에게 제공하는 방법을 추천한다. 이러한 방식은 인프라 구축 시간을 단축시키고 향후 데이터 저장소를 데이터의 성격과 임직원의 편의에 맞춰 선택할 수 있도록 구성할 수 있기 때문에 효율적이다. 보안 정책을 수립할 때 무엇보다도 유념할 점은 사용 자의 편의성, 중복 투자 방지일 것이다. 보안이 중요하다 고는 하지만 사용할 때 불편하다면 생산성 저하로 이어지 는 일은 자명하고 다가올 트렌드를 파악하지 못해 현재에 머물러 보안 정책을 수립한다면 얼마 지나지 않아 시스템 을 걷어 내거나 중복투자를 피할 수 없기 때문이다. 기업의 보안 관계자들에게는 향후 비즈니스 트렌드를 파악하고 유사 기업들의 베스트 프랙티스 의 공통점을 파악해 보안에 대해 체계적이고 전략적으로 접근하는 일 이 무엇보다도 중요하다. 250 기업 정보보안 가이드 2016 v.11