2022년 7월 20일
작성자: 토니 프럼 - 제품 전문가, Skyhigh Security
개인용과 업무용으로 클라우드를 많이 사용하는 오늘날의 현실에서 웹 보안은 가장 중요한 관심사가 되었지만 매우 복잡해졌습니다. 다양한 네트워크 아키텍처, 원격 사용자, 수많은 클라이언트 플랫폼, BYOD(Bring Your Own Device), 기존 네트워크 경계의 약화, 기타 수많은 기술적 고려 사항으로 인해 조직의 웹 트래픽을 보호하려는 보안 전문가들이 어려움을 겪고 있습니다.
DNS 보안은 단순하고 신속한 배포를 약속하는 본격적인 secure web gateway (SWG) 솔루션의 대안으로 떠올랐습니다. 기본적으로 DNS 보안은 도메인 이름 확인에 연결하여 위험한 도메인에 대한 액세스를 방지합니다. 이를 통해 조직은 도메인을 "이웃"으로 취급하여 웹 보안을 간소화할 수 있습니다. 위험한 도메인에 대한 액세스를 차단하고 사용자를 보다 안전한 영역으로 유도합니다. 이 접근 방식은 웹 보안 문제를 크게 간소화하지만 몇 가지 제한 사항이 있습니다. DNS 보안이 매력적인 이유를 자세히 살펴보고 많은 조직이 찾고 있는 만병통치약인지 분석해 보겠습니다.
DNS 보안은 충분한가요?
DNS 보안의 장점은 분명합니다. 가장 매력적인 기능은 네트워크 재설계가 필요 없다는 점입니다. 일반적으로 네트워크 팀의 개입은 최소화됩니다. 또한 DNS 보안을 통해 조직은 네트워크에 대한 보호를 손쉽게 확장하여 계속 증가하는 오프사이트 사용자를 보호할 수 있습니다. 또한 DNS 보안은 모든 포트와 프로토콜에 대한 커버리지를 제공함으로써 SWG의 기능을 뛰어넘습니다. 정책 적용은 간단합니다. 고위험 도메인과 잠재적으로 악의적인 웹 카테고리를 차단할 수 있습니다. 이러한 모든 이점을 고려할 때 DNS 보안은 논리적인 선택입니다.
하지만 이 모든 장점에는 대가가 따릅니다. 한 마디로 가시성입니다. 웹 보안을 DNS 요청을 살펴보는 데만 집중하면 중요한 컨텍스트와 예리함을 잃게 됩니다. DNS 보안 솔루션은 도메인이 클라이언트에 의해 확인되었다는 사실을 알고 있습니다. 하지만 DNS 확인 후 도메인으로 전송된 트래픽에 대한 관련 정보는 알 수 없습니다. DNS 보안 솔루션은 이러한 질문에 답할 수 없습니다: "이 도메인에서 얼마나 많은 트래픽이 전송되거나 수신되었는가? 어떤 프로토콜이 어떤 포트에서 사용되었는가? 어떤 파일이 전송되었으며 악성 파일인가? 민감한 데이터가 개인 클라우드 계정에 업로드되었는가?" 등의 질문에 대한 답을 제공할 수 없습니다. 이러한 질문에 답하지 못하면 가시성과 컨텍스트가 부족하고 DNS 보안에 심각한 보안 공백이 있음을 알 수 있습니다.
최악의 시나리오를 생각해 봅시다. 조직이 웹 기반 위협의 표적이 되었다면 어떻게 될까요? 공격자가 DNS 보안을 완전히 우회하는 것이 얼마나 어려울까요? 한 가지 옵션은 악성 콘텐츠를 '알려진 정상' 도메인으로 전송하는 것입니다. 이는 개인용 Dropbox 또는 OneDrive 계정에 있는 파일에 대한 공유 링크처럼 사소한 것일 수 있습니다. 공격자는 도메인 이름을 아예 사용하지 않을 수도 있습니다. 피싱 이메일에 IP 주소가 포함된 URL을 사용하는 것은 호스트 이름을 사용한 링크만큼이나 사용자를 속일 가능성이 높습니다. 공격자가 동적으로 IP를 사용해야 하는 경우에도 소셜 미디어 계정에 게시하거나 Amazon S3 버킷에 드롭하는 등 피해 컴퓨터로 IP를 가져올 수 있는 다른 방법이 무수히 많습니다. DNS 쿼리가 모든 공격의 일부가 될 것이라고 가정할 수는 없습니다.
단순성과 빠른 배포라는 명목으로 가시성뿐만 아니라 제어 기능도 희생됩니다. 제어 지점이 DNS 요청으로 제한되면 응답 옵션도 제한됩니다. 종종 허용 또는 차단 옵션만 남게 되는데, 이 결정은 도메인 이름 이상의 컨텍스트 없이 내려져야 합니다. 이로 인해 지나치게 관대하고 위험한 정책을 적용하거나 사용자가 보안팀을 부정적으로 인식하게 만드는 더 엄격한 대안을 선택할 수 있습니다. "Facebook은 허용되지만 채팅은 불가능" 또는 "개인용 Dropbox 계정은 허용되지만 민감한 데이터의 업로드는 검색됩니다"와 같은 보다 실용적인 정책을 구현할 수 있는 옵션이 없습니다.
SWG가 더 나은 포괄적인 대안인 이유
이를 염두에 두면 SWG가 여러 가지 이점을 제공한다는 것은 분명합니다. 이는 엔드포인트에서 생성되는 트래픽의 90% 이상을 차지하는 하나의 프로토콜을 해독하고 면밀히 조사하기 위해 고안된 고도로 성숙한 기술입니다: HTTP/S입니다. SWG는 DNS 보안에서는 제공되지 않는 가시성과 컨텍스트를 제공합니다. 도메인 이름은 전체 URL로 표시됩니다. 엔드포인트에서 주고받는 트래픽을 포함하여 모든 단일 요청의 콘텐츠를 면밀히 조사할 수 있습니다.
이러한 가시성 향상은 곧 보안 강화로 이어집니다. SWG 솔루션은 사용자가 적절하고 신뢰할 수 있는 도메인을 방문하고 있는지 확인할 뿐만 아니라, 개인 Dropbox 계정의 파일 링크를 포함해 다운로드한 모든 콘텐츠에 대해 멀웨어 분석도 수행합니다. 콘텐츠가 업로드되면 민감한 데이터가 있는지 스캔해 규정을 위반하거나 지적 재산이 손실되지 않도록 합니다.
SWG 툴킷에 최근 추가된 기능에는 테넌트 제한을 적용하는 기능이 포함되어 있습니다. 테넌트 제한은 사용자가 제재된 서비스 내에서 제재된 테넌트(또는 인스턴스)로만 제재된 서비스에 액세스하도록 허용함으로써 데이터를 보호할 수 있는 중요한 방법입니다. cloud access security broker (CASB) 제어와 함께 테넌트 제한을 적용하면 데이터가 웹 보안 솔루션을 통해 '외부'로 안전하게 마이그레이션되는 동시에 조직의 통제 범위 내에 남아있도록 할 수 있습니다. API 기반 CASB 제어는 조직이 소유한 테넌트에만 적용할 수 있으므로 사용자가 '섀도' 테넌트를 사용하지 못하도록 금지하는 것이 중요합니다.
또한 모든 웹 트래픽에 대한 심층 검사를 통해 조직은 특정 사용자 행동에 대해 보다 전술적인 대응을 적용할 수 있습니다. 이는 DNS 보안에서는 불가능합니다. 예를 들어, 활동 제어는 보안팀이 일부 클라우드 애플리케이션과 관련된 도메인은 허용하되 해당 애플리케이션 내의 특정 활동은 차단할 수 있는 일반적인 기능입니다. 사용자는 개인 Dropbox 또는 Evernote 계정에 액세스하고 싶어 하지만 보안팀은 데이터 보안을 우려합니다. 활동 제어를 사용하면 이러한 애플리케이션은 허용하되 업로드는 차단할 수 있습니다.
또 다른 예는 사용자 코칭입니다. 허용된 도메인이 손상되었다고 가정해 보겠습니다. 조직은 도메인을 차단하여 대응하는 대신 사용자에게 알리고 즉시 자격 증명을 변경하도록 요구할 수 있습니다.
최근의 또 다른 발전으로 위험성이 알려지지 않았거나 약간 의심스러운 콘텐츠는 격리된 브라우저를 통해 볼 수 있습니다. Remote browser isolation (RBI)를 사용하면 엔드포인트를 위험으로부터 보호하면서 안전하지 않은 것으로 알려진 콘텐츠에 액세스할 수 있습니다. 요청된 콘텐츠는 웹 보안 공급업체의 데이터 센터에 격리된 임시 브라우저에 로드됩니다. 사용자는 사이트의 콘텐츠를 로컬로 로드하지 않고도 해당 원격 브라우저에서 콘텐츠를 보고 상호 작용할 수 있습니다. 이렇게 하면 엔드포인트의 멀웨어 위험을 방지하면서 콘텐츠에 액세스할 수 있습니다.
SWG 배포는 얼마나 쉬운가요?
최종 목표는 온프레미스 솔루션 대신 클라우드 네이티브 배포를 사용하는 것입니다. 하지만 앞서 언급했듯이 많은 경우 전면 교체 방식으로 전환하는 과정에서 험난한 과정을 거치거나, 중단을 최소화하면서 전환을 지원하도록 최적화된 시너지 솔루션으로 온프레미스 장비를 단계적으로 폐지함으로써 순조롭게 전환할 수 있습니다.
기업에서 SWG 솔루션을 배포할 때는 DNS 보안보다 고려해야 할 사항이 훨씬 많지만, 업계에서는 이 기술의 접근 방식을 간소화하기 위해 많은 노력을 기울여 왔습니다. 전 세계 데이터 센터에 서버를 쌓아놓고 쌓아놓던 시대는 끝났으며, 많은 SWG 공급업체가 이 작업을 대신해주고 있습니다. SWG 솔루션은 클라우드 네이티브 인프라를 통해 제공되며, 대규모 조직도 달성할 수 있는 수준의 성능과 안정성을 갖춘 글로벌 인프라를 제공합니다. 사이트 간 VPN 기능을 통해 SWG 공급업체의 인프라를 직접 사용할 수 있으므로 네트워크 및 보안 팀은 더 이상 필터링을 위해 소규모 사이트에서 중앙 위치로 트래픽을 백홀하는 방법을 찾을 필요가 없습니다. 마찬가지로 원격 사용자도 보호를 위해 VPN에 의존할 필요가 없습니다. 지능형 에이전트가 적절한 경우 온프레미스 또는 클라우드 자산을 사용하여 트래픽을 보호합니다.
SWG 기술은 웹 보안 정책도 획기적으로 간소화했습니다. 허용하거나 차단해야 하는 URL 또는 IP 범위의 목록을 정의하던 시대는 지났습니다. 웹 정책은 도메인이 아닌 클라우드 애플리케이션 수준에서, URL이 아닌 활동 수준에서 시행됩니다. 즉시 사용 가능한 정책을 통해 보안팀은 초보적인 제어에 만족하거나 복잡한 구성에 의존할 필요 없이 원하는 모든 결과를 몇 분 안에 달성할 수 있습니다.
두 세계의 장점
일반적인 인식과 달리 SWG와 DNS 보안 기술은 경쟁 기술이 아니라 상호 보완적인 솔루션입니다. 가시성 관점에서 두 제품을 살펴보면 중복되는 부분이 상당히 적다는 것을 알 수 있습니다.
DNS 보안은 폭은 1마일, 깊이는 1인치라고 표현할 수 있습니다. 모든 포트와 프로토콜을 다루기 때문에 가시성의 폭은 넓지만, DNS 보안은 도메인 이름에서만 작동하기 때문에 깊이는 거의 없습니다.
반면에 SWG는 깊이 1마일, 너비 1인치입니다. 일반적으로 소수의 중요 프로토콜만 지원하지만 웹 트래픽의 가장 깊은 수준까지 검사합니다.
이제 막 보안 문제를 해결하기 시작한 중간 규모의 조직의 CISO는 '빠른 승리'를 위해 DNS 보안으로 시작한 다음, 진정한 종합 웹 보안을 달성하기 위해 SWG 솔루션으로 발전할 수 있습니다.
SWG로 웹 보안 격차 해소
DNS 보안만으로는 진정한 웹 보안을 구축할 수 없습니다. 가시성에 공백이 너무 많아서 보안 및 보고 기능이 불충분합니다. 다운로드된 콘텐츠에 대한 멀웨어 검사나 업로드된 콘텐츠에 대한 데이터 보안이 없습니다. 이 도메인과 엔드포인트 간에 실제로 어떤 일이 일어났는지에 대한 질문에 답할 수 있는 최소한의 컨텍스트도 없습니다.
반면에 SWG 기술은 클라우드 우선 환경의 복잡성에도 불구하고 세계 최대 규모의 조직의 보안 목표를 달성하기 위해 수십 년 동안 발전해 왔습니다. SWG는 강력한 멀웨어 방지 및 데이터 보안 기술과 함께 모든 웹 트래픽에 대한 심층적인 검사를 제공하여 다양한 위협으로부터 정보와 엔드포인트 자산을 보호합니다. 보고 및 가시성은 클라우드 기반 애플리케이션과의 모든 상호 작용에 대한 풍부한 세부 정보와 컨텍스트를 제공합니다. 그리고 무엇보다도 DNS 보안과 SWG가 결합되어 오늘날의 위협으로부터 모든 조직을 보호할 수 있는 최고의 접근 방식을 제공합니다.
Skyhigh Security Secure Web Gateway 에 대해 자세히 알아보세요.
여기에서 라이브 데모에 등록하세요.
블로그로 돌아가기