[데이터넷] 코로나19는 ‘어디서나 일하는(WFA)’ 시대를 앞당겼다. 2020년 많은 기업들이 재택·원격근무를 경험해 그 효과를 알게 됐으며, 시스코 조사에서는 국내 기업 28%가 코로나 이후에도 원격근무를 지속할 것이라고 답했다. 체크포인트는 2024년 원격근무자가 전체 직원의 30%를 차지할 것으로 내다봤다. 나아가 가트너는 2021년 전략기술로 ‘어디서나 운영하는 환경’을 지목하면서 분산된 고객·직원·인프라에서 비즈니스 서비스를 배포하고 관리하는 것이 필요하다고 지적한 바 있다. 

WFA 전제조건 ‘보안’
WFA의 전제조건은 ‘보안’이다. 시스코 조사에서는 사무실 근무와 원격·재택근무를 병행하는 하이브리드 업무 환경을 유지하겠다는 기업 중 국내 기업 76%가 사이버 보안이 더욱 중요해졌다고 답했다. 

그러나 WFA 준비는 미흡한 편으로, 원격근무 지원을 위해 사이버 보안 정책을 변경해야 하지만 변화를 수용할 수 있도록 기업 문화가 바뀌지 않았다. 국내 기업 58%는 직원 교육과 인식 부족, 50%는 너무 많은 원격근무 지원 툴 도입과 관리가 어렵다고 답했다. 

WFA 도입 시 가장 우려되는 것은 중요정보·개인정보 유출과 근태관리다. 재택·원격근무는 기업에서 관리하는 보안 네트워크 경계 안에서 업무를 하는 것이 아니라 보호되지 못하는 외부 네트워크를 통해 업무에 접근하기 때문에 다양한 위협에 직면할 수 있다. 또한 VPN 연결 후 실제 업무를 하는지, 다른 개인적인 일을 하는지 확인하지 못한다. 근무시간 중 업무에 로그인 한 후 외출하거나 휴식을 취하는 등의 문제가 실제로 발생했다. 더불어 화상회의·협업 솔루션 등 원격·재택근무를 지원하는 솔루션의 보안 취약점으로 인한 피해도 우려할만한 일이다. 

WFA를 도입하기 위해서는 기업에서 관리하는 업무용 기기로만 접근하도록 하고, 안전한 네트워크 혹은 VPN과 같은 암호화 터널링 통신을 이용하며, 강력한 사용자 인증과 단말 보안, 그리고 엔드포인트와 네트워크 상에서의 사용자 행위 분석, 통합 위협 탐지와 대응 시스템 등이 필요하다. 

이 모든 요건을 갖추는데 상당한 시간과 비용이 소요되며, 기존 인프라를 교체하거나 변경하고 보안 정책에 대한 대대적인 수정이 필요하다. 그래서 가장 시급하고 빠르게 해결할 수 있는 문제부터 단계별로 해결해나가는 것이 좋다. 

VPN 대체 원격접속 솔루션 ‘봇물’
WFA 환경에서는 기존의 네트워크 경계 기반 보안 정책에서 벗어나 집·공공장소로 확장된 보안 경계를 위한 보안 정책이 필요하다. 특히 원격지에서 어떤 방식으로 업무 시스템에 접속하는 것이 안전한지 검토해야 한다.

보통 원격지 접속은 VPN을 사용한다. 공공·금융기관에서는 원격지에서 업무망으로 접속할 때 반드시 VPN을 사용하도록 했다. VPN은 원격접속을 위해 오랫동안 사용해 온 기술로, 안전한 암호화 터널링을 제공한다. 그러나 VPN 접속을 원하는 사용자에 대한 인증 절차가 없고 이중인증·다중인증을 지원하지 않는 경우도 있어 정상 사용자의 접근 시도인지 확인하지 못할 수 있다. VPN 연결 후 작업내용을 모니터링·추적하지 못하며, 사용자가 급격히 늘어나거나 줄어들 때 VPN 서버와 방화벽 설정 변경이 복잡하다는 등의 문제가 있다. 

이에 VPN을 대체하는 원격접속 솔루션이 등장하고 있다. 소프트캠프 등 국내 보안 기업들은 웹브라우저가 지원하는 원격접속 기능으로 중계서버에 접근한 후 RDP 통신으로 사내 PC나 시스템에 접속을 제안한다. 중계서버는 DMZ 혹은 클라우드에 구축할 수 있어 긴급하게 재택근무를 실시하거나 외부 파트너와의 협업 환경에서도 기존 인프라 변경 없이 쉽게 원격접속이 가능하다. 

글로벌 기업들은 윈도우, 맥, 리눅스·유닉스까지 다양한 환경을 지원해 더 원활한 WFA 전환이 가능하도록 한다. 비욘드트러스트의 경우 모든 OS·클라우드를 지원하는 원격접속 솔루션 ‘PRA’와 엔드포인트 특권관리 솔루션 ‘EPM’을 연결해 WFA의 엔드포인트·네트워크 보안 문제를 해결할 수 있다고 설명한다. 

체크포인트는 오도시큐리티를 인수하고 브라우저를 이용해 쉽게 원격근무를 할 수 있는 방법을 제안한다. 체크포인트는 다양한 원격접속 환경을 위한 여러 제품을 소개하는데, 가장 쉽고 편리하게 원격근무가 가능한 오도시큐리티, VPN을 이용해 안전한 접속이 가능한 ‘클라우드가드 커넥트’, 글로벌 분산환경에서 네트워크와 보안 이슈를 통합한 SASE 플랫폼을 제공해 모든 WFA 요구를 만족시킨다. 

다양한 원격접속 방식 제안
원격접속은 직접 접속 방식과 간접 접속 방식으로 나뉜다. 직접 접속은 외부에서 사내 업무 시스템으로 직접 연결하는 것을 말하며, 간접 접속은 VDI·DaaS, 원격중계 서버 등을 이용하는 방법이 있다. 세 방식 모두 장단점이 있으므로 기업 환경에 맞는 방법을 선택하는 것이 좋다.

직접 접속은 구성이 쉽고 간편하지만 외부에서 내부 서버로 바로 연결되기 때문에 데이터 유출 우려가 매우 높다. 따라서 직접접속 방식을 선택할 때에는 강력한 데이터 암호화와 접근통제, 정보유출 방지 등의 대책이 반드시 마련돼야 한다. 

간접접속 방식 중 VDI는 망분리 구축 시 가장 많이 선택한 인프라를 이용하기 때문에 용이하게 재택근무가 가능하다. 그러나 외부 기기를 스크린으로 이용해 내부 서버의 가상 PC 데이터를 호출하는 방식으로 네트워크 트래픽이 과다하게 발생하며, 고성능 서버가 필요하다는 부담이 있다. DaaS는 업무 PC를 클라우드에 두고 외부에서 호출해 사용하는 방식으로 VDI보다 도입 부담이 낮은 편이지만 클라우드 운영에 대한 부담이 있다. 원격중계서버 방식은 다양한 OS 지원과 네트워크 트래픽 발생량이 많아 진다는 한계가 있다. 

금융보안원의 ‘금융회사 재택근무 보안 안내서’에서는 어떤 방식의 원격접속을 사용하든 엔드포인트·데이터 보안 대책을 마련하며, 로그인 비밀번호와 화면보호기를 설정해야 한다고 설명했다. 내부망에 접속할 때에는 최소한의 IP·포트로만 연결을 허용하고 접속기록을 저장하며 NAC 등을 설치해 보안조치를 사전에 검토하도록 했다. 

차세대 VPN으로 진화
VPN의 보안 문제를 해결하는 대안이 다양하게 등장하고 있지만, VPN 진영에서는 전용망과 같은 수준의 보안을 유지할 수 있는 원격접속 방식은 VPN 뿐이라고 강조한다. 그래서 공공·금융기관의 재택근무 역시 반드시 VPN을 통해 접속하도록 한다고 주장한다. 

최근에는 스플릿 VPN 기술을 적용해 업무망 연결과 인터넷 연결을 구분해 업무망·인터넷망 연결 시 발생하는 속도와 보안 문제를 해결한다. 또한 에이전트·에이전트리스 방식을 모두 제공해 에이전트 관리 복잡성을 낮추며, 2FA·MFA 지원으로 사용자 인증 기능을 강화하고 UEBA 기능을 적용해 VPN을 통해 연결된 사용자의 이상행위를 탐지한다. VPN 벤더들은 이 기술을 모두 갖춘 차세대 VPN이 진정한 WFA 솔루션이라고 강조하면서 시장 공략을 이어가고 있다. 

포티넷은 VPN과 함께 포티토큰, 포티클라이언트, 포티메일, 포티웹, 포티SIEM, 포티SOAR 등 자사 솔루션을 보안 패브릭에 긴밀하게 연계해 WFA 요구를 모두 만족시킨다고 주장한다. 포티넷 WFA 제품군은 엔드포인트 보안부터 사용자 인증, 안전한 암호화 터널링, 웹·이메일 기반 위협 탐지와 대응, 보안 분석과 위협 탐지·자동화까지 지원할 수 있으며, 포티AI를 이용해 지능적이고 은밀하게 진행되는 위협까지 찾아낼 수 있어 WFA 환경의 보안을 강화한다. 

공공·금융기관 망분리는 VPN을 이용하게 되어 있어 VPN 활용 환경에서도 안전하고 편리하게 원격접속이 가능한 환경이 요구된다. 

휴네시온은 시스템 접근제어 및 계정관리 솔루션 ‘NGS’와 망연계 솔루션 ‘아이원넷’을 통해 망분리 규제를 유지하면서 재택근무를 할 수 있게 돕는다. 재택근무자가 개인PC에서 NGS 클라이언트를 통해 DMZ의 NGS 서버에 접속한 후 망연계 시스템을 거쳐 업무망 PC를 사용할 수 있게 했다. 사용자 인증과 접근권한 통제를 강화해 업무망에 대한 안전한 접속을 가능하게 한 것이다. 아이원넷을 사용한 사례는 재택근무존에 인터넷망 VDI와 업무망 VDI로 구성하고, 업무망 VDI로 접근할 때 망연계를 통해 접근하도록 했다. 

엔드포인트 보안 문제 해결해야
WFA 환경 구축에 있어 가장 까다로운 문제가 엔드포인트 보안이다. 엔드포인트가 악성코드에 감염돼 있으면 저장된 데이터와 계정정보가 유출되고 VPN 연결 시 방화벽을 거치지 않고 악성코드가 내부 시스템으로 유입된다는 문제가 있다. 

또 집이나 공공장소에서 사용하는 무선 네트워크 취약점을 이용한 정보유출과 악성코드 감염, 불법 침입도 문제가 된다. 공격자들은 보안에 취약한 가정용 공유기, 스마트 홈 디바이스 등을 통해 연결된 기기를 감염시키고 계정정보를 탈취하는데 개인 계정과 업무 계정을 동일하거나 유사하게 사용할 경우 업무 계정 탈취까지 이어질 수 있다. 

가족이 공동으로 사용하는 기기로 업무를 할 경우 위험성이 더 높아진다. 공용 PC에는 의심스러운 애플리케이션이나 위험한 프로그램, 불법복제 소프트웨어도 설치돼 있을 수 있다. 무심코 클릭한 악성웹이나 이메일로 인해 랜섬웨어에 걸릴 수 있으며, VPN을 타고 랜섬웨어 악성코드가 유입돼 내부 네트워크까지 감염시킬 수 있다. 

엔드포인트 보호를 위해서는 사내 보안 정책이 적용된 업무용 기기를 사용하는 것이 강력하게 권고된다. 악성코드 탐지, 엔드포인트 행위분석과 침해 탐지 및 대응, 위험한 웹사이트 접근 차단, 중요정보 암호화와 유출방지 등의 기능이 적용된 보안 제품이 설치돼 있어야 하며, 실시간 감시와 대응, 최신 DB 업데이트 등을 상시 실행해야 한다. 더불어 지원 종료된 OS와 애플리케이션을 사용하지 말아야 한다. 

보다 강력한 보안 대책을 마련하기 위해서는 엔드포인트의 특권을 제거하는 대책도 필요하다. 윈도우 기기는 기본적으로 관리자 권한으로 로그인하게 되며, 사용자가 임의로 애플리케이션을 설치하거나 삭제할 수 있다. 이 같은 권한을 제거하기 위해 관리자 권한이 아닌 사용자 권한으로 로그인하도록 해야 하며, 엔드포인트 특권 권한 관리 솔루션이 필요하다.

다양한 OS와 엔드포인트 기기 지원도 문제다. 사내에서는 맥을 사용하는데 외부에서는 윈도우 PC로 접속해야 하거나 그 반대의 경우, 모바일 기기를 사용하는 경우, 외부 파트너사와 협력을 해야 하는데 양사 PC 환경이 다를 경우, 엔드포인트 보안 정책과 환경이 달라 협업이 어려운 경우도 발생할 수 있다. 이 같은 다양한 제약사항을 고려해 엔드포인트 보안과 관리 정책을 정해야 WFA 운영을 원활하게 할 수 있다. 

무해화·격리로 WFA 보호
WFA는 사내 업무와 같은 수준의 보안 대책을 적용하기 어렵기 때문에 사용자의 보안 습관을 제고하기 위한 교육·캠페인과 함께 보안 준수를 위한 솔루션을 도입하는 것이 필요하다. 특히 사이버 공격에 사용되는 피싱 메일로 인한 위협에 대응하기 위한 방안 마련이 필수다. 

피싱 메일은 정상 업무, 정상 사이트와 구분하기 어려울 정도로 정교하게 작성되기 때문에 교육과 사용자 주의만으로 피해를 막을 수 없다. 또한 신뢰할 수 있는 웹사이트의 취약점을 이용하거나 이러한 사이트와 유사한 사이트를 만들어 사용자를 유인해 악성코드를 감염시키고 정보를 유출하는 파밍 사이트로 인한 피해도 빈번하게 발생한다. 

WFA는 공급망 공격에도 취약하다. 신규 보안 취약점을 제거하기 위해 최신 보안 패치를 다운받았는데, 이 보안 패치가 사실은 감염된 소프트웨어일 수 있다. 공격자는 코드사인 인증서를 훔쳐 악성코드가 포함된 패치를 업로드하고 사용자 PC에 배포되도록 한다. 

이메일과 웹을 통해 유입되는 공격을 방어하는 솔루션이 이 같은 문제를 해결할 수 있는 최적의 대안이다. 소프트캠프는 외부유입 문서에서 공격에 사용될 수 있는 매크로·자바스크립트 등을 제거해 안전한 새 문서로 재조합하는 콘텐츠 무해화(CDR)와 외부 링크를 안전한 격리된 가상환경에서 열어봐 악성코드 활동을 원천 차단하는 원격 브라우저 격리(RBI) 기술로 이메일·웹 공격을 차단한다. 더불어 소프트캠프는 협업 중 데이터도 암호화 상태를 유지하도록 하는 보안 솔루션을 포함해 클라우드 업무환경을 포괄적으로 보호하는 ‘시큐리티365’ 브랜드를 출시하고 시장 개척에 나섰다.

RBI 기술은 개인 보안 수준이 낮아지는 재택·원격근무 환경에서 더욱 각광받는다. 악성코드를 탐지하는 것이 아니라 활동하지 못하도록 가상의 격리된 환경에서 웹사이트를 연결하는 방식으로 감염을 원천 차단한다. RBI 기술 자체는 오래된 것이지만 실제로 상용화 된 것은 극히 최근의 일이다. 

이 분야의 전문기업인 멘로시큐리티는 감염 100% 차단을 SLA로 보장하면서 시장 공략에 나선다. 멘로시큐리티는 미 국방성도 안전한 웹 활동을 위해 자사 솔루션을 선택했다는 것을 강조하며 WFA의 필수 솔루션이 RBI라고 강조한다. 

사용자·단말·데이터 보호 강화
WFA 보안에서 간과하지 말아야 할 것이 사용자와 단말 인증이다. ID/PW 만으로 사용자를 확인하는 것은 위험하며 2FA·MFA를 이용해 여러 인증 요소를 결합해 사용자와 단말을 인증하는 것이 필요하다. 정교한 상황인지 기술과 HSM을 이용해 인증을 강화하는 것이 필요하다. 

암호화 인증에 가장 많이 사용하는 인프라인 PKI를 쉽게 구축하고 복잡한 인증서 관리 문제를 해결하는 디지서트 솔루션을 이용하면 도움을 받을 수 있다. 디지서트는 다양한 환경을 위한 암호화 인증서와 관리 솔루션을 제공한다. 

WFA에서 지켜야 할 가장 중요한 요소는 ‘데이터’이다. 공격자의 최종 목표가 ‘데이터’인 만큼 데이터 보안에도 각별한 신경을 써야 한다. 모든 데이터는 암호화하며 이동 중, 활동 중에도 암호화 상태를 유지해야 한다. 또한 강력한 접근제어 정책으로 권한 있는 사람만 접근하며, 접속기록 관리를 통해 권한 오남용·권한있는 사람에 의한 유출을 막아야 한다. 

WFA는 업무 생산성을 감안해야 하기 때문에 지나치게 강력한 보안 정책을 적용하지 못한다. 보안으로 인해 업무가 불편해지는 것은 지양해야 할 일이다. 

편의성과 보안성을 높이기 위한 방법으로 보안 모니터링을 철저히 해 공격 정황을 정확하게 찾아내는 것이 제안된다. 차세대 SIEM과 SOAR가 그 대안으로 주목되며, 다양한 보안 솔루션과 연동해 통합분석하며 자동화와 오케스트레이션으로 탐지된 보안위협에 자동으로 대응할 수 있도록 해야 한다. 

포티넷은 쉽게 사용할 수 있는 SOAR와 보안 패브릭을 통한 포괄적인 연계 분석 및 AI를 통한 자동화된 분석과 탐지를 지원하는 SIEM으로 이러한 문제를 해결한다. 또한 단품 솔루션을 제안하는 것이 아니라 컨설팅을 통해 고객사에 가장 최적화된 구성을 통해 비즈니스 연속성을 해치지 않도록 한다고 강조한다.