2022년 9월 2일
구멜루 모하메드 - 클라우드 보안 아키텍트, Skyhigh Security
오늘날 우리는 업무와 개인적인 목적으로 WhatsApp과 같은 많은 합법적인 개인 클라우드 커뮤니케이션 서비스에 액세스합니다. 하지만 때때로 이러한 합법적인 클라우드 서비스가 오용되어 기업 데이터가 위험에 노출될 수 있습니다. 이 블로그에서는 프록시 기술을 우회하여 데이터를 유출하고 멀웨어를 삽입하는 개인 웹 애플리케이션의 문제점과 Skyhigh의 Security Service Edge (SSE ) 포트폴리오와 Remote Browser Isolation (RBI)가 어떻게 공격 표면을 줄이고 데이터 노출을 제한할 수 있는지에 대해 설명합니다.
요즘에는 커뮤니케이션 플랫폼이 필수적입니다. 이러한 플랫폼은 가족 및 동료와 연락을 유지하고 새로운 친구를 사귀는 데 사용됩니다. 이러한 플랫폼의 사용은 코로나19로 인해 더욱 가속화되었으며, 우리는 종종 사무실 공간 밖에서 일하며 팀원 및 친구들과 사교할 수 있는 새로운 현대적 업무환경에서 일하고 있습니다. 재택근무나 기타 원격 근무로 인해 서로 얼굴을 마주하는 시간이 줄어들면서 WhatsApp, Signal, Telegram과 같은 커뮤니케이션 기술이 개인용과 업무용으로 모두 사용되고 있습니다.
현대 업무환경에 도입된 새로운 리스크
WhatsApp은 커뮤니케이션을 위해 널리 사용되는 모바일 애플리케이션입니다. 사용자가 개인 디바이스를 사용하여 서비스에 액세스하기 때문에 애플리케이션 자체는 조직에 보안 위험을 초래하지 않습니다. 하지만 관리되는 디바이스에서 웹 버전의 WhatsApp을 사용하는 것처럼 회사에서 관리하는 디바이스와 개인 디바이스를 연결할 때는 어떻게 될까요? 이러한 사용은 회사 디바이스에서 위험으로 간주될 수 있습니다. WhatsApp 서비스의 작동 방식과 위험 요소에 대해 자세히 살펴보겠습니다.
사용자가 whatsapp.com에 액세스하면 모바일 디바이스와 웹 포털을 페어링하라는 메시지가 표시되며, 웹 서비스는 로컬 브라우저를 통해 대화를 가져옵니다. 기술적으로 로컬 컴퓨터의 브라우저는 WhatsApp 웹 서비스와 보안 통신을 설정합니다. 이 통신은 웹 소켓이라고 하는 양방향 메시지입니다. 프록시 기술의 역할은 HTTP 통신을 검사하여 웹 트래픽을 보호하는 것이지만, 그림 1과 같이 웹 소켓 통신의 내용은 검사할 수 없습니다.
그림 1. 웹소켓 세션을 설명하는 다이어그램
WhatsApp 웹 애플리케이션이 회사 디바이스에 설치되면 사용자는 민감한 회사 데이터를 업로드하고 유출할 수 있습니다. 이렇게 되면 데이터가 암호화되어 검사되지 않기 때문에 클라우드 프록시 DLP 정책의 적용이 불가능해집니다. 그림 2에서 볼 수 있듯이 데이터는 클라우드 프록시 제어를 우회합니다.
그림 2. 양방향 메시지는 전달 프록시 검사를 우회합니다.
WhatsApp을 통해 유출된 데이터 데모 동영상에서는 사용자가 개인 이메일을 사용하여 신용카드 정보가 포함된 기밀 문서를 공유하려고 하지만, 클라우드 프록시 DLP 정책에 따라 파일에 포함된 정보가 너무 민감하여 개인 메일함에 업로드할 수 없으므로 차단됩니다. 그런 다음 이 제한을 우회하기 위해 사용자는 브라우저에서 직접 파일 내용을 복사하여 붙여넣으려고 시도합니다. 이전과 마찬가지로 클라우드 프록시 DLP 정책이 트리거되고 복사 시도가 다시 차단됩니다. 마지막 시도에서 사용자는 WhatsApp 웹을 사용하고 기기를 페어링합니다. 이번에는 클라우드 웹 프록시 DLP가 콘텐츠를 검사하지 않고 파일을 업로드할 수 있습니다.
도전 과제 극복하기
이러한 위험을 이해하면 관리자에게는 딜레마가 생깁니다. 재택근무 중에도 사용자가 이러한 통신 서비스에 액세스할 수 있도록 허용할지, 아니면 사용자의 업무 능력을 방해하면서 이러한 위험으로부터 보호하기 위해 WhatsApp을 차단할지 결정해야 합니다. 이상적인 솔루션은 기업 데이터를 안전하게 보호하면서 사용자가 이 서비스(또는 다른 서비스)를 사용할 수 있도록 허용하는 것입니다. 따라서 격리 기술은 관리자에게 항상 필요한 수준의 보안을 제공하는 동시에 사용자에게는 웹 서비스 액세스에 대한 제한을 줄여줍니다.
격리 기술은 웹사이트 콘텐츠를 안전한 원격 위치로 이동하여 사용자 컴퓨터의 로컬 브라우저에서 실행되지 않도록 합니다. 그러면 대상 웹사이트 콘텐츠의 이미지만 로컬 컴퓨터의 브라우저에 표시됩니다. 잠재적으로 손상될 수 있는 웹사이트의 콘텐츠는 로컬 컴퓨터에서 실행되지 않으므로 브라우저 취약성 노출과 쿠키 하이재킹 위험이 자동으로 감소합니다. Gartner의 혁신 인사이트 ( Remote Browser Isolation 연구, 구독 필요)에 따르면 격리 기술을 사용하는 조직은 공격 표면을 70%까지 줄일 수 있습니다. 그림 3의 다이어그램은 Skyhigh Security Remote Browser Isolation (RBI) 기술과 이 기술이 로컬 브라우저와 WhatsApp 서비스 사이에 위치하는 방식을 보여줍니다.
그림 3. WhatsApp을 격리하고 웹소켓 통신을 시작하기 전에 검사하기
WhatsApp 보안 데모 동영상은 사용자가 WhatsApp 웹 서비스에 액세스하려는 예를 보여줍니다. WhatsApp 웹은 Skyhigh Security 클라우드의 격리 클라우드 환경 내에서 열리며 대화 이미지만 로컬 브라우저로 전송됩니다. 격리 클라우드 환경과 RBI로 보호된 WhatsApp 서비스 사이에 웹 소켓이 설정되어 관리자가 격리 세션에서 수행되는 모든 활동을 제어할 수 있습니다.
주요 내용
격리 기술은 웹 프록시가 단순히 동작을 허용하고 차단하는 것이 아니라 더 자유롭게 동작을 적용할 수 있게 해줍니다. 자동차 산업에서 브레이크의 발명으로 자동차 속도를 안전하게 높일 수 있게 된 것과 같습니다. 브레이크는 자동차가 너무 빨리 달려 통제력을 잃는 것을 막을 수 있기 때문에 엔지니어들은 더 빠른 속도로 달릴 수 있는 더 강력한 엔진을 개발했고, 이러한 속도를 더 안전하게 제어할 수 있다는 확신을 갖게 되었습니다.
마찬가지로 격리 기술은 로컬 컴퓨터에서 격리된 안전한 브라우저로 모든 실행을 제거하여 웹 프록시 제어의 문을 열어줍니다. 이렇게 하면 관리자가 방대한 예외 목록을 관리할 필요성이 줄어들고 재택근무 중에도 사용자에게 더 많은 자유를 줄 수 있습니다. 이 접근 방식은 대상 사이트나 그 안의 콘텐츠를 신뢰하지 않고 회사 컴퓨터에서 안전한 원격 브라우저로 잠재적 위험이 있는 실행을 지속적으로 평가하고 제거하기 때문에 제로 트러스트 보안 아키텍처 원칙도 지원합니다.
유용한 링크
블로그로 돌아가기