분산된 기업에 대한 장기적인 보안

원격 근무 인력 보안을 위한 단기 수정 사항 극복

팬데믹은 조직에서 분산된 인력의 보안을 개선하도록 강요하는 역할을 했습니다.보안 향상의 예로는 2단계 인증VPN과 같은 원격 액세스 도구의 채택 증가가 있습니다.

이러한 개선으로 조직의 보안 상태가 강화될 수 있지만, 이러한 개선만으로는 원격 인력 전략으로 귀결되지 않습니다. 팬데믹의 압박과 리소스 속에서 IT 및 보안 팀은 하이브리드 클라우드 환경, SaaS 애플리케이션, 인터넷에서 원격 근무자를 자체 호스팅 애플리케이션에 연결하기 위한 장기 전략을 구축하는 데 필요한 시간이나 예산이 부족한 경우가 많았습니다. 따라서 조직에서는 가능한 투자와 변화를 실행했습니다.

안타깝게도 단기적인 수정으로 인해 가시성과 보안 격차가 발생하여 원격 근무자의 컴퓨터와 클라우드 솔루션이 사이버 공격자에게 매력적이면서 취약한 대상이 될 수 있습니다.

다음은 팬데믹 기간 동안 구현된 가장 일반적인 5가지 임시방편 솔루션 조직과 이와 관련된 장기적인 문제입니다. 이러한 솔루션을 극복하고 장기적으로 더 효과적인 인력 보안 전략을 채택하는 방법에 대해서는 나중에 논의하겠습니다.

원격 작업을 위한 일반적인 '일회적' 솔루션:

1. VPN 사용 확대

팬데믹이 시작되었을 때 많은 조직에서 가상 사설망(VPN) 연결을 사용하여 원격 직원이 회사 네트워크에 안전하게 액세스할 수 있도록 했습니다.

VPN은 효과적인 원격 액세스 솔루션이 될 수 있지만, 소수의 시스템에 의한 주기적이고 단기적인 연결과 같은 특정 사용 사례를 위해 설계되었습니다. 다음을 포함하여 완전히 원격으로 근무하는 인력이 지속해서 사용하기에 적합하지 않은 몇 가지 제한 사항이 있습니다.

  • 성능 저하 : VPN 인프라는 일반적으로 조직 인력의 일부를 위해 설계되었으며 오버헤드는 VPN 사용자 수에 따라 연속적으로 증가합니다.이는 원격 근무자의 액세스 요구 사항이 조직의 VPN 및 보안 인프라를 압도하여 성능이 저하되거나 충돌이 발생할 수 있음을 의미합니다.

  • 세션 제한 시간 초과: VPN 세션 제한 시간 초과는 필수 보안 기능입니다.그러나 VPN을 엔터프라이즈 네트워크 액세스의 기본 소스로 사용하는 원격 근무자에게는 불편합니다.

  • 액세스 제어: VPN에는 기본 제공 액세스 제어가 없으므로 사용자에게 역할과 관계없이 엔터프라이즈 네트워크에 대한 전체 액세스 권한을 부여합니다.방화벽이 도움이 될 수 있습니다. 하지만 많은 사람이 IP 기반 규칙을 사용하는데, 이는 높은 수준의 장치 이동성이나 IP를 지속해서 변경하는 클라우드 앱에서는 잘 작동하지 않습니다.차세대 방화벽은 사용자 기반 액세스 제어를 제공할 수 있지만, 일반적으로 여러 ID 공급자와 동시에 작업할 수 있는 유연성이 부족하고 클라우드 기반 ID 공급자와 통합하기 어려울 수 있습니다.

  • ID 제어 부족: VPN은 두 지점 간에 암호화된 연결을 제공하기 위한 용도로만 사용됩니다.VPN 연결이 승인된 장치에서 이루어지도록 하려면 공개 키 인프라와 같은 추가 솔루션이 필요합니다.

  • 가시성 부족 : 많은 조직의 VPN은 계층 7 프록시에서 종료되지 않습니다.이는 조직이 이러한 연결 내에서 특정 사용자 간의 상호 작용에 대한 가시성이 부족하다는 것을 의미하며, 이는 상당한 격차입니다.

VPN은 기껏해야 원격 근무 인력을 지원하기 위한 임시 솔루션일 뿐입니다. 원격 근무를 확대하기 위하여 추가 VPN 장치 용량 및 이중화에 투자하는 조직에서는 제한 사항과 보안 문제를 완화하기 위한 조치를 취해야 합니다.

2. 분할 터널 VPN

앞서 언급했듯이 VPN 사용량이 급증하면 VPN 서버에 과부하가 걸리고 최종 사용자에게 네트워크 대기 시간이 발생할 수 있습니다. 따라서 일부 조직에서는 분할 터널링 접근 방식을 채택하여 네트워크 바인딩 트래픽은 VPN을 통해 안전하게 라우팅되고 인터넷 바인딩 트래픽은 대상으로 직접 전송되도록 합니다.

분할 터널 VPN은 대기 시간을 줄일 수 있지만, 그렇게 함으로써 보안을 희생합니다. 조직에서는 원격 근무자 컴퓨터의 인터넷 바인딩 트래픽에 대한 가시성을 잃게 되는 것입니다. 따라서 이러한 장치가 감지되지 않은 채로 맬웨어에 감염되거나 원격 사용자 컴퓨터의 중요한 데이터가 도난당할 가능성이 있습니다.

또한 분할 터널링 VPN 트래픽은 원격 장치가 더 이상 경계 기반 방어로 보호되지 않는다는 것을 의미하므로, 피싱 공격 및 패치되지 않은 소프트웨어 악용으로 인한 손상 위험이 커집니다. 원격 장치가 손상되고 VPN 연결이 활성화되는 경우 공격자는 엔터프라이즈 네트워크 내의 시스템을 변경시키고 액세스 권한을 얻을 수 있습니다. 또한 사용자가 SaaS 애플리케이션에 직접 로그인하면 손상된 원격 장치에서 웹 브라우저 내에 캐시된 데이터를 유출하려고 시도할 수 있습니다.

3. 원격 액세스와 보안의 분리

과거에는 조직의 모든 인프라가 온프레미스에 있었으므로 보안도 온프레미스에 배포되었습니다. 클라우드 컴퓨팅, SaaS 애플리케이션, 원격 근무의 성장으로 이 모델이 변경되었습니다.

원격 액세스 및 보안을 개선하기 위해 일부 조직에서는 애플리케이션과 데이터를 클라우드 배포로 전환하기 위해 노력했습니다. 그러나 이러한 이동은 종종 동기화되지 않습니다. 일반적인 실수 두 가지는 다음과 같습니다.

  • 보안 웹 게이트웨이 프록시 제어를 클라우드로 전환. 때로는 클라우드 애플리케이션 보안 브로커(CASB) 솔루션을 통해 승인된 앱에만 집중하지만, 원격 액세스 VPN은 유지

  • 보안 웹 게이트웨이 또는 전체 방화벽을 클라우드로 동시에 이동하지 않고 클라우드로 원격 액세스(VPN과 유사한 클라이언트 유무와 관계없이)를 이동

원격 액세스와 보안 기능을 분리하면 조직의 네트워크 성능이나 보안에 해로울 수 있습니다. 원격 액세스 클라이언트를 통한 트래픽은 보안 검사를 거치지 않을 수 있으므로 원격 근무자는 피싱 및 악의적 웹 사이트에 취약해질 수 있습니다. 또는 트래픽을 조직의 보안 스택 위치로 백홀하여 직원 생산성과 애플리케이션 성능을 희생하면서 보안을 제공할 수 있습니다.

4. 원격 엔드포인트 업데이트

원격 근무 직원이 개인 장치에서 작업할 수 있도록 허용하면(팬데믹 초기의 일반적인 관행) 몇 가지 개인 정보 보호 및 보안 문제가 발생할 수 있습니다. 기업 보안 정책을 적용하고 엔드포인트 보안 솔루션을 사용하는 것은 개인 장치에서는 더 어렵습니다. 이러한 이유로 많은 조직에서는 원격 근무자에게 이미 필요한 보안 소프트웨어가 설치되어 있고 회사 정책을 준수하도록 구성될 수 있는 회사 컴퓨터를 제공하기로 결정했습니다.

그러나 원격 근무자에게 노트북을 제공하는 것으로는 원격 근무의 보안 문제의 일부만 해결됩니다. 조직에서는 이러한 원격 장치에 정책 및 소프트웨어 업데이트를 배포하기 위한 인프라와 정책도 필요합니다. 회사에서는 일반적으로 소프트웨어 업데이트를 적용하는 속도가 느리고 역사적으로 원격 장치는 현장에 있는 장치보다 더 느리게 패치됩니다. 원격 근무자에게 소프트웨어 업데이트를 푸시하는 인프라가 없으면 원격 근무자에 대한 잠재적인 공격 벡터가 생성됩니다.

5. 독립형 보안 솔루션

원격 근무로 전환함에 따라 조직에는 새로운 보안 및 모니터링 과제가 생겨납니다. 이에 대응하여 보안 팀에서는 종종 다양한 동급 최고의 공급자로부터 특정 사용 사례를 처리할 수 있는 보안 도구를 구하여 배포했습니다. 예를 들어 원격 액세스를 보호하는 제로 트러스트 네트워크 액세스(ZTNA), SaaS 액세스를 보호하는 CASB, 인터넷 액세스를 보호하는 클라우드 보안 웹 게이트웨이(DNS 및 방화벽 기능 포함)가 있습니다.

결과적으로 이러한 보안 팀은 독립형, 개별 및 중복 보안 도구의 배열을 남깁니다.이는 대부분의 보안 팀이 경험 하는 경고 과부하에만 기여하며 다양한 도구의 기능이 끝나는 보안 및 가시성 격차를 초래합니다.이러한 가시성 격차를 통해 공격자는 엔터프라이즈 시스템에 침입하여 액세스할 수 있습니다.

장기적으로 안전한 원격 근무 인프라 구축

조직에서 앞서 설명한 단기 솔루션 중 하나 이상에 여전히 의존하는 경우 그로 인한 보안 및 가시성 격차를 메우면 전략이 장기적으로 보다 지속 가능하고 효과적일 수 있습니다.

우선, 다음 다섯 가지 권장 사항을 고려하세요.

원격 액세스 보안 서비스를 클라우드로 이동

보안 원격 액세스 서비스 덕분에 모든 비즈니스 트래픽이 전송 중에 암호화되고 계속 표시되며 기업에서 보안 검사 및 정책 적용을 수행할 수 있습니다.그러나 애플리케이션이 클라우드로 이동함에 따라 하드웨어 VPN 및 방화벽과 같은 온프레미스 원격 액세스 솔루션 때문에 애플리케이션 성능이 저하될 수 있습니다.

원격 액세스 솔루션이 애플리케이션과 함께 클라우드에서 작동하면 검사를 위해 트래픽을 엔터프라이즈 LAN으로 백홀할 필요가 없습니다. 이에 따라 원격 사용자 트래픽의 성능과 대기 시간이 개선되고, 솔루션이 클라우드 기반이므로 기존의 장비 기반 솔루션보다 더 큰 유연성과 확장성이 제공됩니다.

VPN 버리기

VPN은 오래된 경계 기반 보안 모델용으로 설계된 원격 액세스 기술입니다.VPN은 인증된 사용자에게 회사 리소스에 대한 완전한 액세스 권한을 제공하며, 이는 최소 권한 및 Zero Trust 보안 원칙에 위배됩니다.제로 트러스트 정책에 따라 사용자에게는 사례별로 특정 리소스에 대한 액세스 권한이 부여됩니다.

VPN을 클라우드로 이동하여 VPN을 최신화하려는 시도가 있었으며, 이는 회사 LAN에서 VPN 인프라의 중앙 집중화 문제를 해결합니다.그러나 이 접근 방식으로는 VPN이 분산된 최신 엔터프라이즈용으로 설계되지 않았으며 기본적으로 제로 트러스트 보안 모델을 지원하는 솔루션으로 대체되어야 한다는 더 큰 문제가 해결되지 않습니다.

내부 및 SaaS 애플리케이션 액세스를 위한 제로 트러스트 보안 채택

클라우드를 이용하여 내부 애플리케이션을 호스팅하는 작업이 널리 보급됨에 따라 공격 표면도 함께 확장되었습니다. 원격 근무자에게 노출되는 각 애플리케이션과 인터넷 전체는 또 다른 잠재적인 공격 벡터입니다.

위험을 최소화하려면 애플리케이션 액세스에 제로 트러스트 정책을 적용해야 합니다.인증된 사용자에게 조직의 환경 및 애플리케이션에 대한 전체 액세스 권한을 허용하는 대신 액세스 제어 정책에 따라 결정된 사례별로 액세스 권한을 부여해야 합니다.

이를 위해서는 조직의 전체 네트워크에서 액세스 제어를 적용할 수 있는 기능이 필요합니다. 이를 위해서는 대규모 전역 네트워크를 이용하고 자체 호스팅 및 SaaS 클라우드 애플리케이션 모두에 대한 액세스 제어를 적용할 수 있어야 합니다.

애플리케이션과 인터넷 액세스 모두에 대해 제로 트러스트 브라우징 구현

원격 근무자의 장치는 온프레미스 장치보다 덜 안전할 수 있습니다. 지금까지 원격 장치는 패치 적용 속도가 느렸고 개인 장치를 사용하는 원격 근무자는 엔터프라이즈 VPN을 통한 연결에 대해서만 회사 보안 솔루션으로 보호할 수 있습니다. 그 결과 원격 근무자는 브라우저 악용 및 기타 사이버 위협의 위험이 더 높습니다.

제로 트러스트 브라우징은 클라우드 기반 브라우저 격리를 구현하여 사이버 위험을 줄입니다.웹 페이지에 포함된 스크립트가 사용자의 장치에서 실행되도록 허용하는 대신 일회용 브라우저 인스턴스에서 실행됩니다.

클라우드 기반 솔루션은 사용자를 위해 사이트를 탐색하고 페이지 복제본을 사용자에게 제공합니다. 이 복제본은 고성능과 보안을 모두 제공하는 방식으로 구축되어야 합니다(즉, 대기 시간을 추가하거나, 사이트를 중단시키거나, 잠재적인 악성 코드가 통과하도록 허용하지 않음). 제로 트러스트 브라우징은 데이터 유출 시도 및 기타 사이버 공격을 식별하고 차단하는 데 필요한 가시성과 제어 기능을 조직에 제공합니다.

제로 트러스트로 원격 근무 인력 보호

조직의 네트워크 복잡성과 공격 표면이 증가함에 따라 보안 팀에서는 조직을 보호할 수 있는 솔루션이 필요합니다.가장 성능이 뛰어난 제로 트러스트 애플리케이션 액세스 및 인터넷 브라우징 솔루션인 Cloudflare Zero Trust를 사용하여 데이터 손실, 맬웨어, 피싱을 차단하세요. 이 장기적인 원격 근무 인력 보안 솔루션에는 다음이 포함됩니다.

  • Zero Trust 애플리케이션 액세스: Cloudflare Access는 SaaS 및 자체 호스팅 애플리케이션에 대한 Zero Trust 애플리케이션 액세스를 제공하고 보안 검사 및 정책 시행을 위해 Cloudflare의 글로벌 에지 네트워크를 통해 모든 인바운드 트래픽을 라우팅합니다.

  • 안전한 웹 브라우징: Cloudflare Gateway 및 Cloudflare Browser Isolation은 피싱, 맬웨어, 기타 브라우저 기반 공격을 감지 및 차단하고 모든 검색 활동에 대해 제로 트러스트 규칙을 적용하는 기능을 통해 팀에 보안 브라우징 기능을 제공합니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.

핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

  • 글로벌 팬데믹 기간 동안 구현된 가장 일반적인 5가지 단기 솔루션

  • 임시적인 해결로 인해 초래되는 장기적 문제

  • 안전한 원격 근무 인프라 구축을 위한 5가지 권장 사항

관련 자료

이 주제에 관해 자세히 알아보세요.

장소와 무관하게 일하는 7가지 방법 eBook을 통해 장기적으로 원격 근무 인력을 보호하는 방법에 대해 자세히 알아보세요.

Get the ebook

가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!

인기 스토리 구독하기

영업

시작하기

커뮤니티

개발자

지원

회사

© 2023 Cloudflare, Inc.개인정보처리방침사용 약관보안 문제 보고상표