[솔루션 가이드] 늘어가는 외부 접속에서 기업 네트워크를 지키는 최선의 선택 EAA

기업 네트워크에 대한 보안은 크게 기업 내부 접속과 기업 외부 환경에서의 접속 두 영역으로 나눌 수 있다. 이 중에서 최근 변화가 많은 외부에서의 원격 접속은 기업들이 20년 전과 거의 동일한 방식(VPN, 프록시, 원격 데스크톱 등)을 사용하고 있다.

이 방식은 먼저 사용자와 디바이스를 신뢰할 수 있는지 확인한 다음에 네트워크 보안 경계를 통해 사용자가 요청하는 리소스에 접속하게 한다. 기존에는 기업이 보호해야 하는 자산이 보안영역(Trusted Zone)에 위치했고 자산에 대한 접속은 신뢰할 수 없는 외부 인터넷(Untrusted Zone)에서 발생했다.

이렇게 외부에서 내부로 들어오는 접속은 방화벽을 통과해야 한다. 그런데 많은 기업들은 이 방화벽 경계가 공격에 특히 취약하다는 점을 잘 인식하고 있음에도 불구하고 투자에 대한 부담감으로 기존의 방식을 그대로 유지하고 있는 것이 현실이다.

기업 네트워크의 외부 원격 접속 현황
기업 네트워크의 외부 원격 접속 현황

기업들이 새로운 외부 접속 솔루션이 필요한 이유

하지만 최근에는 사이버 공격의 양상도 시시각각 변하고 있으므로 새 트렌드에 맞는 다른 방법을 찾아야 한다. 기업들이 왜 새로운 접속 솔루션이 찾아야하는 이유는 사실 쉽게 알 수 있다.

우선 파트너 에코시스템의 성장을 꼽을 수 있다. 기업들은 비즈니스를 성장시키기 위해 파트너, 협력업체, 공급업체, 프랜차이즈 가맹점, 기타 써드파티와 협력 등 다양한 파트너 에코시스템을 만들어 가고 있다. 이에 따라 써드파티 협력업체 사용자들에게 필요에 따라 네트워크 접속을 허용하는 기업들도 있고 서비스를 전적으로 아웃 소싱한 경우 지속적으로 접속을 허용하기도 한다. 이 경우 파트너사들은 기업 네트워크 외부에서 인터넷으로 기업 애플리케이션에 접속한다.

기업 에코시스템에 새로운 파트너가 추가되고 외부에서 내부 애플리케이션으로 접속해 필요한 리소스를 사용하는 파트너가 증가하면서 접속에 대한 룰을 방화벽에 적용해야 한다. 애플리케이션과 리소스가 여러 곳에 걸쳐 분산되어 있는 경우 각각의 지역에 동일한 룰을 구현해야 한다.

기업들은 IDS/IPS, DLP, WAF등을 통과하는 공격자를 파악하고 보안 경계가 침투되는 것에 대응하기 위해 보안 레이어를 지속적으로 추가해 왔다. 하지만 레이어가 추가될 때마다 복잡성이 증가되고 관리해야 하는 정책 역시 늘어났지만 보안 경계는 여전히 공격에 취약한 상태로 남아 있다.

기존 원격접속 방식의 어려움

써드파티 사용자 접속으로 인한 대규모 보안 사고가 빈번하게 발생하고 있어 새로운 써드파티 접속 솔루션의 필요성이 절실하다. 앞서 언급한 파트너 에코시스템의 급격한 성장과 이 급속도로 성장하고 있고, 업무 환경에서는 모바일 디바이스의 사용이 확대되고 있다.

또한 기업들이 클라우드로 전환하면서 여러가지 기술적 어려움들을 겪고 있다. IT 애플리케이션의 SaaS로의 이동은 기존 네트워크 경계 중심의 설계 및 운영방식을 통한 일관적인 접속관리를 어렵게 만들고 있다.

모든 요구사항들은 제로 트러스터(Zero-Trust)라는 새로운 개념의 보안 프레임워크의 필요성을 대두시켰고 이에 따른 새로운 솔루션들이 필요해졌다.

기업 네트워크 외부접속 철통방어 솔루션 아카마이 EAA

EAA(Enterprise Application Access)는 권한이 부여된 사용자 및 디바이스만 전체 네트워크 대신 필요한 내부 애플리케이션에 접속하도록 보장하는 동시에 모든 인바운드 방화벽 포트를 닫는 방식으로 작동하는 독특한 클라우드 아키텍처이다.

애플리케이션을 퍼블릭 인터넷으로부터 숨기기 때문에 어떤 사용자도 애플리케이션에 직접 접속할 수 없다. 또한, 데이터 경로 보호, SSO(Single Sign-On), ID 접속, 애플리케이션 보안, 관리 가시성, 제어 등 모든 기능을 하나의 서비스로 통합한다.

EAA는 통합 포털을 통해 네트워크 환경에 상관 없이 몇 분 이내로 배치 가능하며 네트워크 환경에서 운영되는 주요 워크로드를 안전하게 전송한다.

아카마이 EAA 솔루션 구조도
아카마이 EAA 솔루션 구조도

EAA는 네트워크에 홀(hole)을 만들지 않고 안전하게 원격 접속을 제공한다. 사용자는 기업 네트워크로 접속하는 대신 클라우드에 있는 아마카이 플랫폼으로 접속하므로 기업 네트워크 내부에 있는 애플리케이션으로 직접 접속할 수 없다.

클라우드를 통해 애플리케이션에 접속하는 사용자의 경우 기업 네트워크로부터 멀리 떨어진 곳에서부터 사용자 접속을 안전하게 보호하고 혹은 접속을 차단한다.

인증이 완료된 사용자에 대해서 기업 네트워크에 설치되어 있는 아카마이 커넥터(Akamai Connector)는 상호 인증된 TLS 커넥션을 EAA 엣지(Edge)와 연결하고 안전하게 생성된 아웃바운드 트래픽을 통해 사용자가 애플리케이션을 사용할 수 있게 한다.

터널 기술을 사용하지 않아 멀웨어가 네트워크로 침투해 중요한 시스템까지 감염되는 경로가 근 본적으로 차단된다. 모든 사용자 연결은 클라우드를 거쳐 들어오고 안전한 프록시에서 종료되며 강력한 보안 관리 및 인증 기능이 적용된다. 중요도가 높은 애플리케이션의 경우 보안을 강화하거나 자체적인 보안 관리를 추가할 수도 있다.

애플리케이션기반의 접속방식으로 보안성과 편의성 제공
애플리케이션기반의 접속방식으로 보안성과 편의성 제공

EAA를 사용하면 사용자가 신속하게 애플리케이션에 접속할 수 있다. 애플리케이션 성능 저하, VPN 접속 문제, 디바이스 비호환성 문제 때문에 지원 요청 전화를 할 필요도 없다.

EAA는 브라우저와 디바이스에 상관없이 모든 사용자에게 애플리케이션을 최적화해 전송한다. 또한 SSO(Single Sign-On)와 고성능 멀티팩터(multi-factor) 인증 기능을 사용하면 보안 관리로 인한 부담을 크게 줄일 수 있다.

EAA는 기업의 네트워크 구조와 상관없이 적용 가능한 솔루션으로 한 번의 클릭으로 액티브 디렉토리(Active Directory), SAML 사업자, CDN, 포워드 프록시, SIEM 툴, 인프라와 통합돼 별도의 스크립팅 과 정합 작업이 필요 없다.

고가용성 기능, 서버 부하 분산, 자동 애플리케이션 라우팅 등의 기능을 통해 기업 인프라(퍼블릭 및 프라이빗)에 애플리케이션을 배치하는 과정뿐만 아니라 수요 증가에 따라 확장할 경우도 간단하다.

EAA 사용환경의 트래픽 흐름도는 다음과 같다. 사용자가 기업의 애플리케이션에 접속을 하려고 하면 이 요청은 아카마이 플랫폼 상의 EAA 엣지 서버로 접속하게 된다. 이 EAA 엣지 서버는 사용자에 대한 인증 및 권한관리를 하며 설정에 의해 등록이 되어 있는 애플리케이션 접속 만을 허용한다.

[솔루션 가이드] 늘어가는 외부 접속에서 기업 네트워크를 지키는 최선의 선택 EAA

기업 네트워크에 미리 설치되어 있는 엔터프라이즈 커넥터(Enterprise Connector)는 인증된 사용자의 접속 시 클라우드 상에 있는 EAA 엣지로 TLS 접속을 맺고 사용자 요청을 받아들인 후, 사용자의 요청을 애플 리케이션으로 전달하게 된다. 따라서 외부에서 특정 애플리케이션으로 접속하는 경우에 대한 방화벽 설정을 할 필요도 없고, 특정 애플리케이션들에 접속을 허용하기 위해 VPN을 통한 네트워크 접속 권한을 허용할 필요도 없다.

아카마이 EAA의 효과적 활용

EAA 엔터프라이즈 커넥터(Enterprise Connector)는 거의 모든 가상머신의 환경에 설치가 가능하며, 데이터 센터 뿐만 아니라 클라우드 컴퓨팅 환경에도 설치가 가능한다. 가상머신 이미지 형태로 제공되는 이 Connector를 설치 하고 나면, 클라우드 상에 있는 포탈을 통해 사용하고자 하는 애플리케이션들을 등록하고, 연동할 수 있는 인증 방식을 설정한다.

EAA 솔루션은 별도의 클라이언트 프로그램 설치 없이 HTML5를 지원하는 브라우저만으로 기업용 웹 (HTTP/S) 애플리케이션들과 SSH, VNC 그리고 Remote Desktop Access와 같은 애플리케이션들을 지원한다. 이 외 다른 TCP/IP 프로토콜을 사용하는 애플리케이션들의 사용은 전용 클라이언트 프로그램을 설치해야 한다.

이 솔루션의 장점은 어플라이언스(Appliance) 형태가 아니므로 기존의 환경에 있는 서버에 EAA 커넥터만 설치하면 서비스가 적용되므로 서비스 구현 시간을 최소화 할 수 있다. 또 사용자가 별도의 클라이언트 프로그램을 설치하지 않아도 돼 비용 및 관리 노력이 줄어든다. 기존 보안 정책 변경 없이 제로 트러스트에 입각한 꼭 필요한 최소한의 권한만을 허용하는 방식을 통해 보안을 강화할 수 있고, 액티브 디렉토리, LDAP, 클라우드 디렉토리(Cloud Directory) 등 다양한 인증을 활용할 수 있다.

EAA는 인터넷 상에 있는 포탈을 통해 언제 어디서나 접속하여 관제 및 설정 변경을 할 수 있으며, 직관적인 사용자 인터페이스로 기업 애플리케이션 접속통계, 트래픽 사용량, 최근의 활동 등을 한 눈에 볼 수 있고 필요에 따라 자세한 사항을 심층 분석할 수 있다. 클라이언트의 IP 주소, URL, HTTP Method, 응답코드, 디바이스 종류, 브라우저 종류 등의 정보를 시간, 주간, 월간, 연간 단위로 관측할 수 있다.

아카마이 EAA 솔루션의 대시보드
아카마이 EAA 솔루션의 대시보드

EAA 활용사례

EAA는 다양한 산업에서 활용되고 있다. 시스템 하드웨어와 소프트웨어를 연구, 개발, 제작, 판매하고 있는 한 다국적 게임사는 최첨단 기술에 중점을 두고 있다. 이 회사는 직원들의 근무 효율을 높이기 위해 관련 제품에 꾸준히 투자하고 있었는데, 최근에는 IT 인프라 엔지니어들로 구성된 자사 원격팀이 내부 애플리케이션에 안전하고 간편하게 접속할 수 있는 솔루션이 필요했다.

이 팀의 주요 업무는 애플리케이션의 성능을 보장하고 게이머들이 애플리케이션에 안정적으로 접속할 수 있도록 전세계 서버를 안정적으로 유지관리하는 것이다. 이 회사는 우수한 보안 능력을 가장 중요시 여겼다. 이에 EAA의 세 가지 구성 요소(EAA Edge, EAA Management Cloud, Connector)는 MFA 지원, Okta와의 통합, 그리고 클라이언트 인증서에 대한 모든 표준 요건이 잘 맞았다. 또 무료 체험 기간에 자사의 요구에 맞게 EAA를 조정할 수 있었다. 예를 들어, EAA 커넥터는 RDP 및 SSH 세션 모두를 사용자 브라우저에 나타내도록 변환할 수 있지만, 이 회사는 보다 세부적인 사용자 제어가 가능한 RDP를 선택했다.

전자신문 웨비나 전문방송 allshow TV는 오는 7월 12일 오후 2시부터 3시까지 `뚫리기 쉬운 기업 네트워크, 최선의 보안책은?’이라는 주제로 무료 온라인 세미나를 개최한다. 이번 웨비나에서는 기업이 네트워크 보안을 위해 왜 새로운 접속솔루션이 필요한지, 기존의 원격 접속은 어떤 어려움이 있는지 상세히 설명해주며, 원격 접속으로 인해 발생할 수 있는 공격을 대비할 수 있는 아카마이 엔터프라이즈 애플리케이션 액세스 EAA 의 구조와 활용에 대해 상세히 안내한다.

이향선기자 hyangseon.lee@etnews.com