Cloudflare One으로 Cloudflare 보호

늘어나는 하이브리드 근무 인력 보호

Cloudflare에서는 2010년 설립 이래 내부 IT 및 보안 문제를 해결하기 위해 자체 서비스를 우선적으로 사용합니다. 이러한 접근 방식은 고객에게 기능을 제공하기 전에 테스트하고 개선하는 데 도움이 되며, Cloudflare에서 자체 직원을 보호하는 방법의 기반이 됩니다.

직원, 고객, 기술이 더 추가되면서 Cloudflare의 공격면도 증가함에 따라, Cloudflare에서는 보안 상태를 더 강화하고 IT 및 보안 팀에 강력한 가시성과 제어 능력을 제공해야 할 의무가 있습니다. 이에 따라 Cloudflare에서는 애플리케이션에 대한 액세스를 보호하고, 사이버 위협에 대비하며, 중요한 데이터를 보호하기 위해 Cloudflare One, SASE, SSE 플랫폼의 서비스를 구축하고 채택했습니다.

Cloudflare에는 수십 개의 사무실과 원격 근무 위치에 3,500여 명의 직원이 있습니다. 이 사례 연구에서는 Cloudflare에서 자체 Cloudflare One 서비스를 이용하여 조직 전체에 걸쳐 사용자의 안전과 생산성을 유지하는 방법을 살펴봅니다.

“자체 서비스를 이용하여 Cloudflare를 보호하는 것은 당사 비즈니스를 보호하기 위해서 뿐만 아니라, 고객을 위한 혁신을 위해서도 가장 효과적인 방법입니다”라고 최고 보안 책임자 Grant Bourzikas는 이야기합니다. “Cloudflare로 Cloudflare를 보호하려는 노력은 조직의 포부와 복잡성이 계속 확대되는 상황에서 보안 팀과 서비스가 앞서 나가는 데 도움이 됩니다.”

애플리케이션에 대한 액세스 보호

Cloudflare에서는 Zero Trust 모범 사례를 따르고 원격지 또는 사무실에서 모든 사용자의 자체 호스팅 애플리케이션 모두에 대한 액세스를 보호합니다. 특히, 자사 Zero Trust 네트워크 액세스(ZTNA) 서비스(Cloudflare Access)를 이용하여 신원을 확인하고, 하드웨어 키를 이용한 다단계 인증(MFA)을 적용하며, 모든 요청에 대해서 장치 상태를 평가합니다. 이러한 태세는 여러 해에 걸쳐 발전해 왔으며, 그에 따라 Cloudflare에서는 늘어나는 근무 인력을 더 효과적으로 보호하고 당사 경험을 기반으로 고객에게 조언을 제공할 수 있게 되었습니다.

Cloudflare ZTNA의 기원: VPN 대체

Cloudflare의 Zero Trust에 대한 관심은 당사 엔지니어가 직접 해결했던 현실적인 문제 때문에 시작되었습니다. 가상 사설망(VPN)을 이용해야 하는 번거로움 없이도 개발자 환경에 간단하게 액세스해야 할 필요가 있었던 것입니다.

2015년에는, 드물지만 직원이 원격 근무를 하는 경우, 내부 호스팅 애플리케이션에 접속하려면 온프레미스 VPN 장비를 통해 트래픽을 백홀링해야 했습니다. 특히 시간에 민감한 문제를 분류하기 위해 짬을 내어 로그인해야 했던 대기 중인 엔지니어들은 VPN의 대기 시간과 느린 응답 때문에 불만이 많았습니다.

이들 엔지니어는 이러한 고충 사항을 해결하기 위해, VPN 하드웨어를 통해 백홀링하는 대신 가장 가까운 Cloudflare 데이터 센터를 통해 액세스 요청을 라우팅하는 리버스 프록시 서비스로 시작하는 Cloudflare Access를 구축했습니다. Access에서는 각 요청에 대해 브라우저 창에서 Cloudflare의 ID 공급자를 기반으로 사용자를 확인하므로 VPN 클라이언트 로그인 자격 증명을 기억해야 하는 불편함과 위험 요소가 없습니다.

인증 환경이 원활하여 더 많은 앱에서 Access를 유기적으로 도입했으며 VPN에 대한 의존도가 더 감소했습니다. 이들 엔지니어는 이 새로운 인증 워크플로우로 Grafana를 보호하는 것을 시작으로 Atlassian 제품군과 같은 웹 앱과 비 HTTP 리소스까지 보호했습니다.

팬데믹 기간 중 갑작스러운 원격 근무로의 전환으로 인해 액세스의 기반이 되는 앱의 마이그레이션이 가속화되었습니다. 2020년 여름까지 Cloudflare의 IT 팀에서는 전년 대비 VPN 관련 티켓을 서비스하는 데 소요되는 시간을 최대 80% 줄였고, 티켓 양을 최대 70% 줄였으며, 그 결과 연간 10만 달러에 달하는 시간을 절약했습니다.

2021년 초 Cloudflare의 보안 팀에서는 내부에서 호스팅하는 모든 애플리케이션을 Access 뒤에 배치하도록 의무화함으로써 최소 권한, 기본 거부, ID 기반 제어를 통해 공격면을 줄였습니다. 2021년 말 Cloudflare에서는 VPN을 완전히 사용 중단했고, 이 경험을 다른 조직을 위한 지침 가이드로 만들었습니다.

직원의 온보딩과 오프보딩도 더 간편해졌습니다. 신입 직원은 더 이상 VPN 설정 방법을 배울 필요가 없게 되어, 2020년에 입사한 수백 명의 신입 직원은 연간 300시간 이상을 절약했습니다. 대신, 애플리케이션 액세스 구성 작업은 Cloudflare와 코드형 인프라 도구 Terraform의 통합으로 대부분 자동화됩니다.

“내부적으로 VPN을 대체하고 Zero Trust를 도입함으로써 직원들은 이제 더 빠르고 안전하며 간단한 방식으로 앱에 연결하고 생산성을 유지할 수 있습니다"라고 보안 담당 이사 Derek Pitts는 이야기합니다. “Cloudflare에는 ZTNA 서비스가 있어 보안을 강화하면서도 탁월한 사용자 경험을 제공하는 데 아무런 문제가 없습니다."

하드 키 MFA 및 대상을 겨냥한 피싱 공격 차단

Cloudflare에서는 내부적으로 ZTNA를 도입한 이후 MFA를 채택했습니다. 이 여정은 문자, 이메일, 앱을 통해 전달되는 시간 기반 일회용 비밀번호(TOTP)와 같은 소프트 키를 사용하는 MFA를 허용하면서 시작되었습니다. 2018년부터 Cloudflare의 보안 팀에서는 하드 키를 배포하고, 특정 애플리케이션에서 하드 키를 인증 옵션 형태로 선택하여 사용할 수 있도록 허용하기 시작했습니다.

2021년 2월에 이 MFA 접근 방식에 가장 큰 변화가 시작되었고, 이 시기에는 Cloudflare IT 직원을 사칭하는 전화 등 직원을 대상으로 한 소셜 엔지니어링 공격이 더욱 자주 발생했습니다. 이에 대응하여 Cloudflare에서는 앱과 사용자 모두를 대상으로 피싱 방지 기능이 더 우수한 접근 방식인 FIDO2 호환 하드 키 인증을 요구하기 시작했습니다. 모든 직원은 이제 회사 노트북에서든 개인 모바일 기기에서든 애플리케이션에 접속하려면 YubiKey에서 FIPS 검증 보안 키를 이용해야 하며, 다른 모든 형태의 MFA는 사용할 수 없습니다. 또한 이 방법은 WebAuthn 표준 프로토콜을 통해 더 강력한 암호화를 활용합니다.

이 하드 키 접근 방식은 2022년 8월 시험대에 올랐으며, 이때 Cloudflare에서는 다른 대기업을 침해하는 데 성공했던 대상을 겨냥한 피싱 공격을 차단했습니다. Cloudflare 직원 76명은 정상적인 것처럼 보이지만 가짜인 Okta 로그인 페이지로 연결되는 문자를 받았습니다. 위협 행위자는 수집한 모든 자격 증명을 ID 공급자의 실제 로그인 사이트에 실시간으로 입력하여 사용자에게 TOTP 코드를 다시 입력하도록 유도했습니다. TOTP 코드에 의존하는 기관의 경우, 직원이 가짜 로그인 페이지에 TOTP를 입력하면 위협 행위자가 피싱 페이로드를 실행하여 직원의 컴퓨터를 원격으로 제어합니다.

Cloudflare 직원 중 자신의 자격 증명을 입력한 직원도 몇 명 있었지만, Cloudflare의 접근 방식 덕분에 공격자는 어떤 시스템도 장악하지 못했습니다. Cloudflare에서는 공격을 식별한 후 위험을 무력화하기 위해 다음과 같은 몇 가지 추가 조치를 취했습니다.

• 자체 보안 웹 게이트웨이(SWG)로 피싱 도메인 차단
• 새로 등록된 모든 도메인에 대한 액세스를 원격 브라우저 격리(RBI) 서비스로 격리
• 업계 파트너와 협업하여 공격자의 인프라 차단
• ZTNA를 통한 활성 세션 종료 및 손상된 자격 증명 재설정
• 활동 로그에 따라 확인되지 않은 2단계 인증을 사용한 ID 및 장치 스캔
• 위협 행위자가 사용한 IP로 모든 Cloudflare 서비스에 액세스하지 못하도록 차단

Cloudflare의 여러 계층 보안에서 첫 번째 방어선인 강력한 MFA를 통해 이 정교한 공격을 완전히 차단했습니다.

이 스토리에서 이 장에 대해 자세히 알아보려면, 해당 사고에 대한 블로그 게시물과 솔루션 요약을 읽어보세요.

장치 상태 검사 확대

Cloudflare에서는 자사 및 타사 소프트웨어의 컨텍스트를 사용하여 사용자와 앱 전반에 걸쳐 장치 상태 검사를 확대하는 데 중점을 두고 있습니다.

현재 Cloudflare의 장치 클라이언트는 암호화된 아웃바운드 연결을 통해 프록시 트래픽을 전달하고, 모바일 장치 관리자를 통해 회사에서 지급한 모든 노트북으로 배포됩니다. 또한 직원은 엔드포인트 관리에의 등록 등 특정 보안 기준을 충족하는 개인 모바일 장치를 사용할 수 있습니다. 이제 장치 클라이언트는 회사 노트북의 중요한 내부 리소스 일부에 액세스하려면 필요하며, 곧 개인 모바일 장치에서 액세스할 때도 필요하게 됩니다.

Cloudflare에서는 모든 기업 장치 전반에서 엔드포인트 보호를 위해 Crowdstrike의 Falcon 소프트웨어를 실행하고, Crowdstrike 원격 측정을 통합하는 조건부 액세스 정책을 구축합니다. 특히, 장치의 실시간 상태를 나타내는 Crowdstrike의 Zero Trust Assessment(ZTA) 점수가 최소 임계값을 초과하는 경우에만 리소스에 대한 액세스 권한이 부여됩니다. 이 ZTNA 통합은 Cloudflare와 Crowdstrike 간 진행 중인 협업 작업의 여러 측면 중 하나에 불과합니다.

Cloudflare의 보안에서는 모든 리소스에 대한 액세스 요청 모두를 상세하게 기록합니다(SSH 명령 로깅도 포함). 이에 따라 ID와 장치 전반에 걸친 광범위한 가시성을 이용하여 더 민첩하게 사고를 조사할 수 있습니다.

사이버 위협 방어

또한 당사에서는 내부적으로 Cloudflare One 서비스를 배포하여 사이버 위협을 방어합니다. 예를 들어 SWG와 RBI를 이용하여 인터넷 브라우징을 보호하고, 이메일 보안 서비스를 이용하여 피싱 공격으로부터 수신함을 보호합니다.

“Cloudflare One의 서비스는 공격면 감소, 인터넷 기반 위협 완화, 내부망 이동 제한, 데이터 또는 금융 도용 방지를 통해 전체 공격 수명 주기에 걸쳐 당사를 보호합니다”라고 Bourzikas는 이야기합니다. “지난 몇 년 동안 웹 및 이메일 보안을 계층화함으로써, 증가하는 하이브리드 근무 인력 전반에서 일관된 보호 기능과 가시성을 확보하는 데 도움이 되었습니다.”

원격 사용자와 사무실을 위한 인터넷 브라우징 보호

Cloudflare에서는 팬데믹 기간 중 원격 근무로 전환한 후 온라인 위협이 증가하여 근무 인력 보호 등 당사 고객과 유사한 문제에 직면했을 때, 게이트웨이라고도 하는 자체 SWG를 사용하기 시작했습니다.

당사의 최우선 과제는 DNS 필터링을 도입하여 보안과 콘텐츠 카테고리를 기반으로 사용자가 유해하거나 원치 않는 인터넷 도메인에 접속하지 못하도록 차단하는 것이었으며, 원격 근무로 전환한 지 1년 이내에 다음 단계를 통해 이를 달성했습니다.

• 모든 사무실 위치에 대한 DNS 필터링. 설정하는 데 며칠밖에 걸리지 않았고 사무실 라우터의 DNS 트래픽을 당사 네트워크로 향하도록 하면 되었습니다. 이러한 위치 기반 필터링은 여전히 현장에서 비즈니스에 중요한 기능을 수행하는 소수의 사용자를 보호하고, 관리자가 정책 구성을 세밀하게 조정하는 데 도움이 되며, 지금도 여전히 시행되고 있습니다.
• Cloudflare의 장치 클라이언트 배포. 장치 클라이언트를 통해 프록시 트래픽을 전달하여 인터넷에 대한 모든 아웃바운드 연결을 암호화하는 등 사용자 및 장치별 보안 제어와 가시성을 위한 기반을 제공합니다.
• 모든 원격 사용자를 위한 DNS 필터링. 2021년 초까지, Cloudflare에서는 원격 및 사무실 사용자 전반에 걸쳐 일관된 DNS 필터링 정책과 인터넷 경험을 설정했습니다.

Cloudflare에서 하이브리드 근무가 더 일상화되어 정착되면서, 보안 팀에서는 프록시로 전달된 인터넷 트래픽에 대한 추가적인 제어와 가시성을 확보하는 등 다음과 같은 많은 이점을 누리고 있습니다.

• 세밀한 HTTP 제어 - 보안 팀에서는 HTTPS 트래픽을 검사하여 보안 팀에서 악의적이라고 식별한 특정 웹 사이트에 대한 액세스를 차단하고, 바이러스 백신 스캐닝을 수행하며, ID 인식 브라우저 정책을 적용합니다.
• 선택적인 인터넷 브라우징 격리 - 격리된 브라우징 세션에서는 모든 웹 코드가 로컬 장치에서 멀리 떨어진 Cloudflare의 네트워크에서 실행되므로 신뢰할 수 없는 악성 콘텐츠로부터 사용자가 격리됩니다. 현재 소셜 미디어, 언론 매체, 개인 이메일, 기타 잠재적으로 위험한 인터넷 카테고리는 격리됩니다. 예를 들어 새로 보이는 도메인은 마지막 카테고리에 속하며, Cloudflare에서는 대량의 DNS 쿼리(하루 평균 20억 건 이상)를 확인하므로 이러한 도메인을 식별하는 데 탁월합니다.
• 지역 기반 로깅 - 아웃바운드 요청이 발생된 위치를 확인하면 보안 팀에서 고위험 지역에서 일하는 직원을 비롯하여 인력의 지리적 분포를 파악하는 데 도움이 됩니다.

“현재 Cloudflare에서는 모든 직원 전반에 걸쳐 사용자 및 장치별 가시성을 확보하고 있으므로 더 종합적으로 위험을 평가하는 데 도움이 됩니다”라고 보안 담당 이사 Derek Pitts는 이야기합니다. “위험 프로파일 진화에 맞서 보안 팀에서는 사용자 생산성에 미치는 영향을 최소화하면서 위협을 완화할 수 있도록 인터넷 브라우징 제어를 조정합니다.”

이 스토리에서 이 장에 대해 자세히 알아보려면, 블로그 게시물을 읽어보세요.

클라우드 이메일 보안으로 수신함 보호

2020년 초, Cloudflare에서는 피싱 시도가 급증하는 것을 경험했습니다. 당사 이메일 공급자(Google Workspace)는 네이티브 웹 애플리케이션을 위한 스팸 필터링 기능은 강력했지만, 비즈니스 이메일 손상(BEC) 등 첨단 위협으로 어려움을 겪었습니다. 또한 iOS 모바일 앱과 같은 다른 방법을 통한 이메일 액세스도 어려웠습니다. 아울러, 피싱 규모가 증가함에 따라, IT 팀에서는 공격을 수동으로 조사하는 데 너무 많은 시간을 소비했습니다. 간단한 공격의 경우 약 15분에서 30분, 더 정교화된 공격의 경우 그보다 더 긴 시간을 사용했습니다.

이 문제를 해결하기 위해 Cloudflare에서는 Google Workspace와 함께 당시 타사 벤더였던 Area 1 Email Security를 구현했습니다. Area 1에서는 30일 이내에 총 90,000건의 공격을 차단하였고 피싱 이메일이 지속해서 상당히 감소했습니다. 또한 오탐률이 낮아 조사에 소요되는 시간이 줄어들었고, 보안 팀에서는 가장 자주 표적이 되는 직원을 포함하여 더 광범위한 인사이트를 확보하는 이점을 누렸습니다.

“실제로 Area 1의 기술은 출시 당시 매우 효과가 좋아서 당사 CEO가 최고 보안 책임자에게 이메일 보안이 뚫린 게 아닌지 문의할 정도였습니다”라고 Cloudflare의 최고 기술 책임자 Graham-Cumming은 이야기합니다. “CEO는 몇 주 동안 직원들로부터 아무런 피싱 시도도 보고받지 못했는데, 이런 경우는 드뭅니다. 피싱 메일이 직원의 수신함에 도달하기도 전에 Area 1에서 모든 피싱 시도를 포착하고 있었기 때문에 직원들이 보고할 피싱 시도가 없었던 것으로 밝혀졌습니다.”

이러한 긍정적인 경험을 바탕으로 2022년 초, Cloudflare에서는 Area 1을 인수하고 Cloudflare One과 통합하여 고객과 당사는 여러 채널에 걸쳐서 더 사전 예방적 보안 상태를 갖출 수 있게 되었습니다.

예를 들어, 이메일 링크 격리에서는 RBI와 이메일 보안 기능을 이용하여 격리된 브라우저에서 잠재적으로 의심스러운 링크를 엽니다. 이를 통해 악성 코드를 무력화하고, 키보드 입력과 복사-붙여넣기 제한 등의 전략을 통해 사용자가 웹 페이지에서 위험한 작업을 수행하지 못하도록 방지합니다. Cloudflare에서는 다른 애플리케이션 중에서도 이 기능을 이용하여 일반적인 감지를 회피하는 지연 피싱 공격을 차단하므로 피싱 사고를 조사하는 동안 보안 팀을 안전하게 보호할 수 있습니다.

“Cloudflare의 이메일 보안에서는 피싱 이메일이 직원의 수신함에 도달하기 전에 피싱 시도를 포착합니다”라고 보안 담당 이사 Derek Pitts는 이야기합니다. “이메일은 계속해서 가장 많이 사용되는 공격 벡터 중 하나지만, 당사 서비스는 직원들이 관리하기에 아주 효과적이고 간단하므로 안심할 수 있습니다.”

중요한 데이터 보호

Zero Trust 정책으로 누가 어떤 앱에 액세스할 수 있는지 제한하고 피싱과 랜섬웨어 위협을 방어하면 Cloudflare에서 데이터 유출을 방지하는 데 도움이 됩니다. 당사에서는 중요한 데이터를 감지하는 클라우드 액세스 보안 브로커(CASB), 데이터 손실 방지(DLP) 등의 서비스를 통해 데이터 유출의 위험을 더 완화하고 있습니다.

• SaaS 앱에서의 데이터 노출 위험 관리 . 이 관리에는 API를 통해 Google Workspace, GitHub, Salesforce 등 SaaS 제품군을 스캔하여 유출 위험이 있는 중요한 데이터와 잘못된 구성이 있는지 확인하는 것, 그리고 그런 다음 지침 가이드를 따르고 SWG 정책을 통하여 해결하는 것이 포함됩니다
• 중요한 데이터의 이동 감지 및 제어 . 여기에는 자격 증명 및 비밀, 금융 정보, 건강 정보 등 독점적이고 규제 대상인 데이터 클래스가 포함됩니다.

데이터 보호에 대한 Cloudflare One의 접근 방식을 자세히 알아보려면, 블로그 게시물을 읽어보세요.

Cloudflare의 보안 최우선 문화

앞서 언급한 보안 서비스는 이 서비스를 구현할 때 관여한 사람과 프로세스와 같은 정도로만 가치가 있습니다. 특히 지금까지 달성한 성과는 “보안은 모든 사람의 책임”이라는 원칙에 뿌리를 둔 조직 전반의 보안 최우선 문화 덕분입니다.

예를 들어 Cloudflare에서는 내부적으로 보안 사고 대응팀(SIRT)을 24시간 연중무휴 운영하고 모든 직원이 조기에 수시로 의심스러운 활동을 신고하도록 장려합니다. 이러한 투명하게 “목격한 사실을 알리는 접근 방식”을 통해 첫 번째 방어선과 긍정적인 피드백 루프를 만들고, 첫 번째 방어선으로부터의 보고서로 당사의 접근 방식을 개선합니다. 경영진에서는 2022년 대상을 겨냥한 피싱 사고와 같이 실제 사이버 공격이 발생했을 때 적시에 알림을 보내는 게 중요하다는 사실을 인정하고, SIRT로 접수되는 직원 신고의 90% 이상이 무해한 경우일 것이라고 예상합니다. 또한 이러한 “잘못 신고해도 탓하지 않는” 사전 예방적 접근 방식은 자체 서비스를 내부에 배포할 때 발생한 버그 신고에도 적용되어 배포 과정에서 더욱 강력한 서비스를 만드는 데 도움이 됩니다.

“Cloudflare의 보안 최우선 문화 덕분에 제 업무가 더 수월해졌습니다”라고 Bourzikas는 이야기합니다. “직원들이 최고 품질의 보안 경험을 할 수 있도록 투자하고 있으므로 팀에서 고객을 위해 더 나은 서비스를 구축하는 데 도움이 됩니다. 이러한 노력은 Cloudflare One 플랫폼을 이용하여 기능과 서비스를 계속 확장하는 데 있어 매우 중요합니다.”