디지털 워크스페이스 구현, 핵심 과제는 ‘보안’
상태바
디지털 워크스페이스 구현, 핵심 과제는 ‘보안’
  • 데이터넷
  • 승인 2018.05.11 11:12
  • 댓글 0
이 기사를 공유합니다

보호·감지·조치로 이어지는 보안 구조 확립 요구…파트너 협력도 필요

사무실 이외 재택 또는 이동 중에도 업무를 수행해야 하는 일들이 늘어나면서 스마트 워크 트렌드가 확산되고 있다. 이는 상대적으로 기업 내 인프라 대비 보안이 취약하다는 문제를 안고 있지만, 그렇다고 해서 스마트 워크 자체를 막을 수는 없는 노릇이다. 이에 엔드유저 환경을 안전하게 보호하는 디지털 워크스페이스 구현의 필요성이 높아지고 있다. <편집자>

▲ 정석호 VM웨어코리아 프리세일즈 엔지니어링 그룹 이사 (shjeong@vmware.com)

전 세계는 점점 더 빈번해지는 보안 위협에 맞서 싸우고 있다. 미국에서는 2017년에 발생한 데이터 유출 사건이 사상 최대를 기록했으며, 국내 또한 대규모 데이터 유출 사건의 영향에서 자유롭지 못한 상황이다.

오늘날 시장이 급격하게 변화하고 조직이 더욱 복잡해지면서, 사이버 범죄의 공격 범위는 더욱 확대되는 추세다. 사이버 공격에 사용되는 각종 기술은 빠르게 개발되고 점점 더 정교해지며, 변종 또한 신속하게 확산되면서 많은 기업들이 대응하기 어려워지고 있다. 특히 사무실뿐만 아니라 재택근무를 하거나 외근, 이동 중에도 업무를 수행하는 오늘날의 스마트 워크 트렌드가 확산되면서 보안과 관리의 측면에서 새로운 접근이 필요하다는 것이 중론이다.

끊임없이 발생하는 보안 위협에 맞서 중요 데이터를 안전하게 보호하고, 미리 보안 위협을 감지 및 해결할 필요성은 이미 업계의 공감대를 형성했다. 글로벌 분석기업 CCS인사이트(CCS Insight)의 최근 설문 조사에 따르면, 거의 절반에 해당하는 47%의 IT 의사결정권자가 향후 12개월 동안 디지털 워크스페이스 구축에 가장 우선순위를 둘 것이며, 그 뒤를 이어 디바이스 보안(42%)과 애플리케이션 보안(27%)에 투자할 것이라고 답했다.

언제 어디서나 디바이스의 종류에 상관없이 업무를 수행할 수 있는 환경을 제공하는 디지털 워크스페이스는 임직원에게 편의성을 제공하는 동시에 기업의 중요한 데이터를 보호해야 하는 두 마리 토끼를 잡아야 하는 어려운 과제다. 이를 해결하기 위해서는 디지털 워크스페이스에서 엔드유저 환경을 안전하게 보호하기 위한 포괄적인 엔터프라이즈 보안 접근 방식이 필요하다. 엔드포인트, 애플리케이션, 임직원, 네트워크 전반에 걸쳐 강력한 보안을 적용하기 위한 주요 과제와 해결 방법을 소개한다.

▲ VM웨어 워크스페이스 원 제품 개요

보호하고(Protect), 감지하고(Detect), 조치를 취한다(Remediate)

엔터프라이즈 보안은 임직원의 디지털 워크스페이스를 보호하는 것에서부터 시작한다. 기업의 IT는 의심스러운 링크를 클릭하지 않도록 직원들을 교육하고, 데이터 손실을 방지하기 위한 보안 정책을 배포해 멀웨어가 침입하지 못하게 방지해야 한다.

임직원, 애플리케이션, 디바이스, 네트워크에 이르기까지 모든 요소를 완벽하게 파악할 수 있을 때, 비로소 내부 및 외부의 보안 취약점을 파악하고 위협으로부터 맞설 수 있다. 또 액세스 제어, 중요 데이터 분류, 디바이스 사용 제한, 애플리케이션 패치 등을 통해 다양한 방법으로 보호할 수 있어야만 선제적으로 보안 위협을 감지할 수 있다.

디지털 워크스페이스에 위협 요소가 들어오면, 기업은 지속적인 적응형 모니터링을 기반으로 모바일과 데스크톱의 엔드포인트와 애플리케이션 위협을 감지해야 한다. 누가, 어디에서, 어떻게, 어떤 네트워크를 거쳐, 어떤 정보에 액세스하는지에 대한 자동화된 모니터링과 알림 기능을 사용해 제어하는 것이다. 분석 차원에서 로깅 및 인텔리전스를 활용해 다음에 더 나은 의사결정을 내릴 수 있도록 해야 한다.

그 다음 단계는 이상 징후를 감지하고 중요 데이터에 대한 액세스를 차단해 자동으로 조치를 취하는 것이다. 자동화를 통해 IT는 애플리케이션이나 클라우드 서비스에 대한 액세스를 격리시키거나 일시 중단 또는 차단해야 한다.

보호하고(Protect), 감지하고(Detect), 조치를 취하는(Remediate) 체계적인 보안 구조는 신속하게 보안 위협을 감지하고 해결해 각 구성 요소를 안전하게 보호하고 궁극적으로 기업의 중요 자산을 지킬 수 있다. 이를 실현할 수 있는 구체적인 방법은 다음과 같다.

- 단일 개방형 플랫폼 (Single and Open Platform Approach)

하나의 개방형 플랫폼을 통해 기기 및 애플리케이션에 대한 컴플라이언스를 충족시키는 절차를 간소화하고 리스크를 줄일 수 있다. 복잡하고 비용이 많이 드는 기존 보안 솔루션의 사일로를 연결하려면, 액세스, 장치 및 애플리케이션 관리 기능과 분석 및 인텔리전스가 결합된 단일 개방형 플랫폼을 채택해야 한다. 인텔리전스 서비스가 포함된 단일 플랫폼은 워크스페이스의 데이터 수집, 상관 분석, 권고 기능 등을 통해 통합적인 자동화를 제공한다.

- DLP 정책(Data Loss Prevention Policies)

DLP는 데이터의 위치에 상관없이 데이터를 보호할 수 있도록 한다. 디바이스가 분실 또는 도난된 경우 원격으로 기기를 잠그거나 지울 수 있으며, 위치를 파악하고, 운영 체제(OS) 버전, 마지막 업데이트, 위치 등과 같은 정보를 실시간으로 얻을 수 있다. VDI(데스크톱 가상화)를 통해 분실하거나 도난당한 디바이스로부터의 데이터 유출을 줄일 수 있다.

- 상황별 정책(Contextual Policies)

엔드 유저의 조건에 따라 액세스 권한을 설정하는 상황별 정책을 사용하면 권한이 부여된 사용자만 중요 정보 및 리소스에 액세스할 수 있다. 또 상황별 정책과 디바이스 액세스 권한을 결합해 데이터, 애플리케이션, 디바이스에 대한 액세스를 제한할 수 있다. 예를 들어 모바일 애플리케이션에 조건부 액세스를 적용해 호환되는 애플리케이션만 내부 시스템에 접근할 수 있게 하는데 동일한 기술을 사용할 수 있다.

- 애플리케이션 보호(Protecting Applications)

디지털 워크스페이스에는 애플리케이션 레벨에서 동일한 기능을 제공하는 DLP 정책이 포함돼야 한다. BYOD(Bring-Your-Own-Device) 환경을 위한 개인 디바이스 및 기업 소유의 디바이스를 위한 모바일 애플리케이션 관리는 신원 확인 기반의 정책에 따른 프로비저닝 및 제어를 쉽게 만든다.

iOS, 안드로이드, 맥OS, 윈도우 10 등 주요 OS 전반에 걸쳐 전체 디바이스 VPN, 애플리케이션별 VPN, SDK 기반의 프록시 게이트웨이 통신을 지원해 애플리케이션 연결을 안전하게 보호하는데 최적의 솔루션을 선택할 수 있도록 한다.

또한 이메일, 문서 관리 등의 생산성 애플리케이션은 DLP 및 다음과 같은 권한 관리 서비스(RMS: Rights Management Services) 기능을 제공해야 한다. RMS 기능에는 정보 권한 관리(IRM: Information Rights Management) 보안 이메일, PKI의 S/MIME, 이메일 분류, 중요하거나 개인 식별 가능한 정보(PII) 정책, 첨부파일 암호화, 인쇄, 보기 및 로밍에 대한 액세스 정책, 문서 만료, 워터 마크(Watermarking)가 포함된다.

- 액세스 관리(Access Management)

기업은 다양한 방법을 통해 사용자의 신원을 확인하거나 여러 애플리케이션에 대해 동시에 확인하는 방법으로 데이터 보호를 강화한다. 애플리케이션, 디바이스, 클라우드 서비스별 각각의 정책을 설정해야 하는 복잡성을 제거하기 위해서 기업은 엔드유저의 ID를 사용해 보안 매개 변수(security parameters)를 설정할 수 있어야 한다. 엔드유저는 싱글 사인 온(single sign-on)을 사용해 인증 절차를 한 번만 거치면 여러 번의 로그인에 소요되는 시간과 수고를 덜고 데스크톱, 모바일과 클라우드 애플리케이션에 액세스할 수 있다.

- 암호화(Encryption)

암호화는 의도하지 않은 수신자가 데이터를 볼 수 없도록 해 중요 데이터를 보호한다. 매우 중요한 비즈니스 프로세스의 경우, 저장 또는 전송하는 동안 모든 데이터를 암호화하는 것이 가장 좋은 방법이다. 데이터가 손상된 경우, 중요 파일은 읽을 수 없는 데이터만 남게 된다.

전송 중인 데이터와 사용하지 않는 데이터에도 AES-256와 같은 고급 암호화 표준을 사용하는 것이 중요하다. 사용자 디바이스와 회사의 IT 시스템 간의 연결은 허용된 디바이스의 개별 애플리케이션에서 백엔드 시스템으로의 접속에 대해서 인증과 트래픽 암호화를 활용한 터널링 혹은 애플리케이션 세션별 독립된 VPN을 적용할 수 있다.

▲ iOS에서의 VM웨어 워크스페이스 원 SSO 과정

- 마이크로 세그멘테이션(Micro-segmentation)

마이크로 세그멘테이션을 통해 네트워크 전반에 걸쳐 위험 요소를 줄이고, 보안 위협에 보다 적극적으로 대응할 수 있다. 마이크로 세그멘테이션은 워크로드별로 세분화된 분산 방화벽(distributed stateful firewalling) 및 애플리케이션 레벨 게이트웨이(ALG)를 통해 데이터센터 경계 내에 공격 영역을 축소시키고, 가상 데스크톱, 가상 애플리케이션 호스트를 포함한 VM에 대해 객체 기반 정책 애플리케이션 보안 그룹을 사용하도록 설정해 세분화된 애플리케이션 수준 제어가 가능하다. 또 논리적 네트워크의 오버레이 기반의 격리와 세그멘테이션은 기본 네트워크 하드웨어와 상관없이 랙과 데이터센터에 걸쳐 멀티 데이터센터 보안 정책을 중앙에서 관리할 수 있도록 한다.

마이크로 세그멘테이션은 전체 IT 환경이 작은 부분들로 나눠져 있어 한 부분이 손실될 경우 나머지 부분들을 보호하기 용이하다. 애플리케이션부터 데이터센터의 특정 워크로드에 이르기까지 동-서 트래픽의 분리는 비즈니스에 큰 피해를 줄 수 있는 멀웨어나 바이러스가 공격할 수 있는 범위를 줄여준다.

- 분석(Analytics)

기업은 통합 애플리케이션의 구축과 활용, 디바이스 보안 및 최종 사용자 환경의 세부 정보를 분석해 디지털 워크스페이스의 보안과 성능 현황을 보다 더 잘 파악할 수 있다. 자동화 기능이 내재된(Built-in) 인텔리전스 서비스는 결정 엔진과 함께 정보의 상관관계를 분석해 보안 위협을 감지하고 액세스 정책에 따라 문제 해결을 자동화한다.

신뢰 프레임워크 기반 파트너 협력 통한 보안 강화

신뢰할 수 있는 보안 파트너와의 협력 관계 또한 보안을 강화할 수 있는 구체적인 방법 못지않게 중요한 요소다. 신뢰할 수 있는 보안 파트너 벤더와의 단일 플랫폼을 통해 보안 위협에 맞서 보호하고, 감지하고 해결할 수 있다. 디지털 워크스페이스를 안전하게 보호하는 구성 요소 사이에 구축된 신뢰 프레임워크는 포괄적인 보안을 보장한다. 입증된 디지털 워크스페이스 플랫폼에 구축된 API를 이용하는 것이 가장 이상적이다. API가 보안 솔루션 에코시스템과 플랫폼을 연결하고, 궁극적으로 보안 관리를 간소화할 수 있기 때문이다. OS 보안 결함에 대한 가시성, 디바이스 상태 평가, 디바이스 복구, 액세스 관리 및 제어, 정책 설정, 바이러스 검사, 패치, 재해 복구, 컴플라이언스 준수 모니터링 등의 영역에서 공격을 막고 리스크를 최소화하며, 신뢰할 수 있는 보안 솔루션의 개방형 에코시스템이 구축돼야 한다.

▲ VM웨어 워크스페이스 원 플랫폼

VM웨어가 제안하는 강력한 보안 갖춘 디지털 워크스페이스

VM웨어는 디지털 워크스페이스를 위한 엔터프라이즈 플랫폼 워크스페이스 원(Workspace ONE)과 워크스페이스 원 신뢰 네트워크(Workspace ONE Trust Network)를 통해 강력한 보안을 갖춘 디지털 워크스페이스 구현을 지원한다. VM웨어 에어워치(AirWatch) 기술을 기반으로 하는 인텔리전스 기반 디지털 워크스페이스 플랫폼인 VM웨어 워크스페이스 원을 이용하면 모든 기기에 대해 모든 애플리케이션을 간편하고 안전하게 제공하고 관리할 수 있다.

워크스페이스 원은 액세스 제어, 애플리케이션 관리 및 멀티 플랫폼 엔드포인트 관리를 통합하며, 클라우드 서비스 형태 또는 사내 구축용으로 제공된다. 이를 통해 업무 방식, 위치, 디바이스에 종류에 관계없이 임직원의 업무 유연성을 최대로 확보하고 효율성을 높일 수 있다.

또 워크스페이스 원 신뢰 네트워크를 통해 임직원, 애플리케이션, 엔드포인트, 네트워크를 안전하게 보호하기 위한 포괄적이고 현대적인 엔터프라이즈 보안 방식을 제공한다. 신뢰와 검증의 프레임워크를 기반으로 최신 보안 위협을 보호, 감지 및 해결하는 기능을 통해 상호 연결된 최소 권한 시스템을 구축해 보안을 유지하면서 임직원들의 편의성 또한 충족시킨다.

사이버 보안 위협에 대응하기 위해 워크스페이스 원 신뢰 네트워크는 인텔리전스 기반 디지털 워크스페이스 플랫폼인 워크스페이스 원과 보안 파트너 솔루션을 결합해 디지털 워크스페이스에 대한 보안 위협을 예방할 수 있는 자동화된 보안 기능을 제공한다. 또 수집된 데이터를 활용해 올바른 보안 의사 결정을 내릴 수 있도록 돕는다.

▲ VM웨어가 제안하는 강력한 보안을 갖춘 디지털 워크스페이스

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.