보통 회사들은 물리적인 기업 네트워크 외부에서 내부로 들어오는 공격들만 보호하면 안전하다고 생각한다. 그러나 이는 오산이다. 기업 내부망을 사용하는 수 많은 네트워크 사용자(정규직, 계약직, 인턴, 협력업체사 직원, 고객 등)와 다양한 애플리케이션이 혼재되어 있기에 보안에 더욱 취약한 상황임에 분명하다.
그렇다면 회사 외부 망은 어떨까? 기업마다 모바일 오피스가 확산되면서, 사무실이 아닌 카페 등 외부 장소에서 회사 VPN에 접속해 업무를 보는 경우가 많다. 그런데 이 경우 보안을 장담할 수 없다. 이미 한번 연결된 VPN상에서는 다양한 애플리케이션 등을 어떠한 추가 인증 없이 접근할 수 있어 기업내의 주요 자산인 고객, 매출데이터 등이 여전히 노출되어있는 상황이다.
또한 최근에는 클라우드 상에서의 애플리케이션 사용도 증가하고 있다. 때문에 민감 정보 및 데이터가 퍼블릭 클라우드 상에 무작위로 노출되어 있어, 봇 혹은 해커 등의 공격을 받으면 무차별적으로 중요 정보 및 기밀이 유출될 위험도 높아지고 있다.
이처럼 기업 업무 환경에서 ‘경계’의 개념이 사라지면서 기업의 내외부 망의 클라우드 보안은 위험 노출도가 높아지고 있다. 안전한 기업 보안을 위해서 보안 솔루션은 더 스마트해져야 한다. 바로 이런 이유로 ‘제로 트러스트 보안’ 모델이 부상하고 있다.
제로 트러스트의 기본 전략은 누구도 근거없이 믿지 말라는 것이다. '신원이 파악되기 전까지는 네트워크에 대한 모든 접속을 차단할 것, 사용자가 누구인지 그리고 권한이 있는 인물인지 확인되기 전까지는 IP 주소나 기기에 대한 그 어떤 접속도 허용하지 않는 것이 기본 원칙이다.
아카마이가 내놓은 제로 트러스트 기반의 보안 솔루션 EAA (Enterprise Application Access)와 ETP(Enterprise Threat Protector가 기업들에게 주목받고 있다.
아카마이 EAA는 클라우드를 통해 기업 애플리케이션 단위의 원격 접속을 제공한다. 기업의 수많은 직원들이 외부에서 기업망으로의 접속할 때 사용하는 VPN은 접속하는 사람에게 허용된 애플리케이션 이외에도 다른 곳들에 접속할 수 있는 큰 보안 위협이 존재한다. 직원들이 업무에 필요한 앱에 대한 접근을 넘어, 기업 네트워크 전체에 접근할 수 있는 필요 이상의 권한은 악용되기 쉽다. 실제로 40%의 데이터 유출 사고는 이미 필요 이상의 권한이 있는 사용자로 인해 발생해 주의해야 한다.
아카마이 EAA는 개인 사용자에게 꼭 필요한 애플리케이션으로의 권한만 간편히 제공해주고 온보딩이나 오프보딩에 사용되는 시간과 노력을 현저히 줄여주는 ‘스마트한 접속 관리’가 가능하다.
아카마이 ETP는 DNS(도메인 네임 시스템)을 활용한 멀웨어, 랜섬웨어, 피싱과 같은 공격 위험을 사전에 차단해서 기업 내부에 잠재해 있는 보안을 강화한다. 사무실에서 접속을 하건, 출장이나 외근 중에 외부에서 접속을 하건 클라우드 상에서 DNS를 통한 보안 위협을 모두 감지해서 차단할 수 있다.
아카마이 EAA와 ETP 솔루션이 강력한 기업 보안으로 부상하는 데는 아카마이가 남다른 인터넷 인사이트를 갖고 실시간으로 악성 도메인을 빠르게 파악하고, 위험 등급을 부여하기 때문이다. 아카마이 플랫폼은 전 세계 트래픽의 30%를 처리하고, 매일 2.2조 건의 DNS 요청을 처리하고 있다. 위험 도메인으로 분류된 사이트로의 접속은 사전 차단해 기업 네트워크를 철저하게 보호하고 있다.
아카마이 ETP와 EAA는 도입 과정이 간편하고 보안관리자의 관리측면이나 사용자의 서비스 이용면에서도 쉽고 비용을 절감시켜 줄 수 있다. 또한 서비스에 대한 데모 요청과 무료 체험도 할 수 있다.
‘경계’의 개념이 사라지면서 보안 위험이 높아진 기업들에게 아카마이 제로 트러스트 보안 모델은 강력한 보안 지킴이가 될 것으로 기대된다.
이향선 전자신문인터넷기자 hyangseon.lee@etnews.com