엔터프라이즈 브라우저와 RBI: 장단점 및 엔터프라이즈에 가장 적합한 브라우저

토니 프럼 - 수석 엔지니어

2025년 9월 11일 8 분 읽기

TL;DR

I once believed Enterprise Browsers (EB) would revolutionize web security—quickly replacing Remote Browser Isolation (RBI), and possibly even Secure Web Gateways (SWG). After working with large enterprise customers and talking to analysts, I’ve changed my perspective. I still believe that EB may fill that role for small and medium businesses, but it may not fit as well in large enterprises.

엔터프라이즈 브라우저의 약속

I’ve had my eye on the Enterprise Browser (EB) market for a long time. Having worked with Secure Web Gateways (SWG) for the majority of my two decades in the security market, it’s impossible to ignore the novelty of the technology. If you’re not familiar, Enterprise Browsers generally come in two flavors – either browser extensions or entirely new browsers which are forks of the Chromium project. Both options aim to bring new security controls to the browsers in which users spend most of their workday. These controls can include secure remote access to internal applications, specialized anti-malware detection in the browser itself, encryption of locally stored browser data, and more. What intrigued me the most was the data security controls such as clipboard controls, data masking, watermarking pages, screenshot protection, and upload/download controls. In general, pushing controls down to the endpoint instead of trying to implement everything at the network level opens a lot of doors, so this is a powerful new tool in the web security world. If I’m being honest, I originally saw this as a direct threat to the SWG market as a whole.

Remote Browser Isolation

오늘날 대부분의 SWG 공급업체는 Remote Browser Isolation (RBI) 를 사용하여 브라우저 자체에서 제어 기능을 구현합니다. 이름에서 알 수 있듯이 RBI는 격리된 원격 환경에서 브라우저 인스턴스를 스핀업하고 사용자가 요청한 페이지를 로드합니다. 그러면 사용자는 원격으로 브라우저를 보고 상호 작용할 수 있지만 페이지 콘텐츠는 사용자의 로컬 컴퓨터에는 로드되지 않습니다. RBI 솔루션에는 자체 브라우저 구현이 포함되어 있기 때문에 현재 EB 솔루션이 수행하는 작업을 대부분 반영하는 컨트롤을 RBI 세션에 베이크할 수 있습니다. 따라서 인증서 고정 앱, 웹소켓, 읽을 수 없는 인코딩, 이중 암호화, 로컬 클립보드를 사용한 복사 및 붙여넣기와 같이 로컬에서만 발생하는 이벤트 등 네트워크 기반 제어의 많은 공백을 메울 수 있습니다.

 

애널리스트의 예상치 못한 관점

EB에 대한 관심으로 인해 저희와 파트너 관계를 맺고 있는 애널리스트 회사의 누군가와 이 새로운 기술과 시장의 몇몇 공급업체에 대해 이야기를 나누게 되었습니다. 이 대화 과정에서 그는 저에게 정말 놀라운 두 가지 말을 했습니다. 첫째, 그는 EB가 대기업보다는 중소기업에 더 적합한 "중소기업용 플레이"라고 말했습니다. 저는 대기업과 거의 독점적으로 일하고 있었고, 그 맥락에서 가능한 것에 대해 매우 낙관적으로 생각하고 있었기 때문에 이 말은 저에게 다소 충격적이었습니다. 이 점을 설명하기 시작하면서 그는 저를 놀라게 한 또 다른 사항을 언급했는데, 바로 가격 문제였습니다. 분명히 평균 EB 구매 비용은 좌석당 기준으로 RBI 솔루션보다 훨씬 더 비쌉니다. 클라우드 기반 RBI 솔루션을 제공하려면 모든 브라우저 인스턴스를 실행하기 위한 상당한 인프라 비용과 클라우드 데이터 센터를 통해 트래픽을 전송하는 전송 비용이 발생하기 때문에 불가능한 일처럼 보였습니다. 반면에 EB는 모든 것을 사용자 엔드포인트에서 로컬로 처리하기 때문에 공급업체의 운영 비용이 거의 들지 않습니다. 분석가는 아무리 노력해도 이 둘 중 어느 것도 제게 납득시킬 수 없었습니다. 저는 그가 틀린 것 같다고 생각하고 대화를 끝냈습니다.

실제 고객의 딜레마

그로부터 1년 정도 지난 후, 저는 수년 동안 저희 SWG 솔루션을 사용해 온 대규모 고객을 만나달라는 요청을 받았습니다. 이 고객은 SWG 배포에 RBI를 추가하거나 EB 솔루션을 구매하는 것에 대한 투자를 고려하고 있었습니다. 분석가가 몇 달 전에 저에게 말했던 것과는 달리, 저는 RBI 솔루션이 더 나은 선택이 될 것이라고 낙관하지 않았습니다. 고객과 사용 사례와 요구 사항을 명확히 하기 위해 초기 논의를 진행했는데, 특별히 독특하거나 놀라운 점은 없었습니다. 고객은 업로드/다운로드 제어, 클립보드 제어, 페이지 읽기 전용 설정 및 기타 몇 가지 미묘한 제어 기능을 구현하여 데이터에 대한 제어를 유지하면서 '섀도 IT' 애플리케이션에 대한 액세스 권한을 부여할 수 있기를 원했습니다.

이 고객의 또 다른 주요 사용 사례는 매우 일반적인데, 분류되지 않은 사이트를 처리하는 것이었습니다. 모든 기업은 분류되지 않은 사이트를 어떻게 처리할지 결정해야 하는 고전적인 문제에 직면하게 됩니다. 분류되지 않은 사이트를 차단하면 어떤 벤더의 분류도 완벽하지 않기 때문에 헬프 데스크 티켓이 증가하게 되고, 결국 일부 합법적인 사이트가 차단될 수밖에 없습니다. 반면에 이러한 사이트를 허용하면 대부분의 위협이 분류되지 않은 사이트에서 발생하므로 엄청난 위험에 노출될 수 있습니다. 기업에는 보안을 유지하면서 분류되지 않은 사이트를 허용할 수 있는 방법이 거의 항상 필요하며, 이 고객에게 필요한 것이 바로 이 기능이었습니다.

이 대기업 고객과 함께 일하는 동안 저는 그들의 관점에서 이 두 기술의 장단점을 비교해야 했습니다. 반대로 분석가의 의견에 따라 저는 계속해서 중소기업의 관점에서 사물을 고려해야 했습니다. 결국 저는 제가 틀렸고 애널리스트가 절대적으로 옳았다는 것을 깨닫게 되었습니다!

소규모 비즈니스의 관점

Put yourself in the shoes of a small business of 50-100 employees and consider the challenge of deploying a SWG solution. Such an organization is most likely looking for some very basic controls and a basic level of security. They may have an “IT guy” with some basic knowledge but no serious networking or security expertise. Their infrastructure may lack some key components that are necessary for a successful SWG deployment as well. Now, contrast that with EB. It would be pretty straightforward to push out a new browser app to 100 endpoints, and it could not only eliminate your need to deploy SWG and RBI but also a Zero-Trust Network Access (ZTNA), or “Private Access”, solution. This represents a simple, effective alternative to SWG and, possibly, RBI and ZTNA which might justify such a high price point for a relatively small user base.

대기업의 현실

Now consider this from the perspective of an enterprise with hundreds of thousands of endpoints, a team of networking experts, a team of security experts, and all the infrastructure that goes along with being a huge enterprise. This changes things entirely. First, let’s assume that such an organization did deploy an EB solution. Deploying to, potentially, hundreds of thousands of endpoints is no small task and hundreds of thousands of users would have to be educated to use this new browser. Additional controls may also have to be in place to prevent them from using non-enterprise browsers for sites where EB controls need to be applied.

Another thing you might not consider is that large enterprises tend to standardize on a single browser such as Google Chrome, and part of their procurement process is to ensure that all the tools they acquire support their chosen browser. How are they to do this with an obscure EB solution? Does Jira officially support my EB of choice? What about the hundreds of other tools our organization uses? This quickly becomes untenable. What’s worse,a large enterprise can’t simply ignore non-browser based HTTP traffic such as requests from a thick client like Microsoft Teams, Google Drive, Slack, and others. This means that even if the EB solution did solve a lot of their use cases, they cannot use it as a SWG replacement.

이 고객이 사용 사례를 달성하기 위해 EB 대신 RBI를 배포한다면 어떻게 될까요? RBI는 기본적으로 이미 보유하고 있는 SWG의 기능에 불과하기 때문에 배포가 더 간단할 것입니다. 제대로 된 SWG 솔루션을 사용 중이라면 라이선스를 구매하고 기능을 활성화하는 간단한 과정으로 RBI를 배포할 수 있습니다. 엔드포인트가 이미 웹 트래픽을 SWG로 전송하고 있으므로 수천 개의 엔드포인트를 건드릴 필요가 없습니다. RBI 솔루션은 일반적으로 사용자에게 매우 투명하게 설계되었기 때문에 사용자에게 많은 교육이 필요하지 않습니다. 사용자가 무슨 일이 일어나고 있는지 알기를 원하더라도 일반적으로 사용자에게 격리된 세션을 사용 중이며 어떤 제어가 적용될 수 있는지 설명하는 사용자 지정 팝업을 표시하는 것이 좋습니다. 많은 SWG 솔루션이 클라우드 기반 RBI를 사용하는 경우 인프라를 변경할 필요가 없습니다. RBI는 일반적으로 선택적인 방식으로 사용되므로 조직에서 사용하는 신뢰할 수 있는 애플리케이션에는 적용하지 않을 가능성이 높으므로 RBI 솔루션에서 이러한 도구를 테스트할 필요가 없을 것입니다.

방탄 멀웨어 보호

One last thing to consider is the catch-22 uncategorized website problem that most large enterprises need to solve. Enterprise Browsers bring improvements to web security by looking for web threats within the browser DOM itself. This allows them to find obfuscated threats after they’ve been delivered and deobfuscated within the DOM. This definitely provides an elevated level of protection for all content loaded in the EB. However, RBI fully isolates the endpoint from the website content. It’s not elevated protection. It’s basically bulletproof protection against malware. Sure, the user can still be tricked by social engineering, but that can be addressed by coaching the user that a page is risky, making the page read-only, preventing uploads or logins, and other similar controls. However, there’s basically no way the endpoint can be compromised by malware via RBI. This empowers customers to allow, but isolate, uncategorized websites without increasing their risk of compromise.

계약자 및 타사 액세스

이쯤 되면 "이 사람은 타사 계약자 시나리오를 무시하고 있구나"라고 생각할 수 있는데, 이는 EB의 일반적인 사용 사례입니다. 타사 계약자 사용 사례는 회사 외부의 사용자에게 회사에서 관리하지 않는 디바이스에서 내부 비공개 애플리케이션에 액세스할 수 있는 권한을 부여하려는 경우입니다. 데이터를 보호하고 필요한 경우에만 액세스를 제한하면서 이러한 액세스 권한을 부여하고 싶을 수 있습니다. 예, 이는 추가적인 고려 사항이지만 이러한 상황에서도 동일한 EB 대 RBI 패러다임이 존재합니다. 저희와 같은 대부분의 완벽한 기능을 갖춘 ZTNA 솔루션은 비공개 애플리케이션에 대한 '클라이언트 없는' 액세스를 제공하며, 이러한 클라이언트 없는 세션에 RBI를 적용하여 데이터 액세스 제어를 관리되지 않는 엔드포인트까지 푸시할 수도 있습니다. 이는 데이터에 액세스하기 위해 타사 개인에게 추가 브라우저 애플리케이션이나 확장 프로그램을 설치하도록 요청하는 것보다 더 간단하고 원활합니다.

데이터 분류 및 인식

마지막으로 고려해야 할 사항은 데이터 분류 및 인식입니다. EB 솔루션은 아직 다소 초기 단계의 기술이며, 공급업체들은 일반적으로 고급 데이터 분류 기능을 갖추고 있지 않습니다. 대부분은 데이터 분류에 비교적 초보적인 정규식 기반 접근 방식을 사용합니다. 그러나 SWG와 RBI를 제공하는 성숙한 SSE 공급업체는 정확한 데이터 일치(EDM) (EDM), 인덱싱된 문서 매칭 (IDM), 광학 문자 인식 (OCR), AI 기반 분류 등

Customers tend to be heavily invested in these classification mechanisms and have already implemented mature processes around data classification and incident management in these solutions.  This data awareness is often available within isolated sessions which is why the native RBI capability of an incumbent SSE solution might be more attractive than a disjoint EB solution.

결론

결국, 항상 그렇듯이 고객의 렌즈를 통해 기술을 바라보게 되면서 다른 방법으로는 알 수 없었던 것들을 알게 되었습니다. 엔터프라이즈 브라우저는 많은 가능성을 지닌 혁신적인 기술이며, 저는 이 기술이 어디로 나아갈지 기대가 됩니다. 하지만 대기업의 경우 적어도 당분간은 RBI가 더 나은 옵션이 될 것이 분명합니다. 

블로그로 돌아가기