오늘날 사이버보안 리더들은 아이덴티티 보호에 초점을 맞추고 있다. 하지만 위협 행위자들이 기밀 데이터를 탈취하기 위해 적극적으로 악용하는 보안 허점이 존재한다. 가장 많이 사용되는 엔터프라이즈 애플리케이션, 즉 웹브라우저가 바로 그것이다.

클라우드-퍼스트 세계에서 브라우저는 회사의 가장 중요한 자산에 대한 게이트웨인 동시에 사용자 자격 증명, 쿠키 데이터 같은 민감한 정보를 저장하기 때문에 공격자의 주요 표적이 되고 있다.

그러나 아이러니하게도 현실에서는 브라우저 보안은 보안팀의 우선순위 목록에 거의 포함되지 않고 있는 실정이다.

브라우저가 보안 우선목록에 올라 있지 않다는 것은 기업에서도 별다른 검토 없이 소비자 중심 브라우저를 계속 사용하고 있다는 점에서도 드러난다. 보호보다 편리함을 위해 구축된 소비자용 브라우저는 보안 없이 접근할 수 있으며, 보안 팀이 잠재적인 보안 사고를 완화하는 데 필요한 제어와 가시성이 부족하다.

즉 쿠키 하이재킹, 관리되지 않는 엔드포인트에 대한 멀웨어 공격, 데이터 유출로 이어지는 무단 사용자 접근 같은 사전, 사후 인증 등 다양한 브라우저 기반 취약점에 조직이 노출되는 것이다.

복잡해지는 IT세계에서 광범위한 엔드-투-엔드 아이덴티티 보안 인프라와 연결이 끊어진 브라우저는 기업에 엄청난 위협이다. 예를 들어 브라우저 환경 내 직원 아이덴티티와 작업은 종종 보안 팀에게 가려져 공격자가 탐지 없이 기밀 데이터를 훔칠 수 있는 아킬레스건이 된다.

◆아이덴티티-중심 웹브라우징 보안
웹브라우저는 조직이 클라우드로 마이그레이션됨에 따라 기업 운영의 필수적인 부분이 되고 있다. 직원부터 서드파티 벤더까지 모든 사람은 브라우저를 사용해 업무에 필요한 기밀 기업 리소스에 접근한다.

그러나 접근에는 위험이 따르며 이를 완화하려면 기존 브라우저가 제공하도록 설계되지 않은 심층적인 최종 사용자 가시성과 보안 제어가 필요하다. 

위험을 가중시키는 일은 직원들이 동일한 업무 브라우저를 사용해 클라우드 콘솔에 있는 개인 데이터에 접근하는 경우가 많다는 점이다. 이로 인해 침해, 내부자 유출, 멀웨어 공격의 기회가 더 많아질 수 있다.

특히 아이덴티티·접근관리(IAM) 전략과 전용 특권접근관리(PAM) 솔루션을 갖춘 조직의 경우에도 마찬가지로 브라우저 기반 취약점은 잠재적인 위협과 컴플라이언스에 쉽게 노출될 수 있다.

엔터프라이즈 환경에서 심각한 보안 위협을 초래할 수 있는 일반적인 브라우저 기능은 공격자의 제어아래 있는 서버에 은밀하게 데이터를 업로드할 수 있는 확인되지 않은 확장 프로그램을 사용자가 설치하도록 허용하고 있다.

또 엔터프라이즈 임직원이 조직에서 만들어 놓은 예방적 통제를 우회할 수 있는 기본 툴을 제공하며 위반하기 쉬운 애플리케이션 비밀번호(업무 관련, 혹은 개인적인)의 저장도 지원하고 있다.

편리한 사용자 브라우징 경험을 위해 설계됐지만 적절하게 보호되지 않는 브라우저의 기본 기능을 활용해 공격자는 악의적인 활동을 수행할 수 있다.

대표적인 사례로 쿠키 하이재킹을 들 수 있다. 공격자는 사용자의 웹 세션에서 쿠키를 훔치거나 위조·변경 또는 조작해 민감한 리소스에 무단으로 접근할 수 있다.

이는 비교적 간단한 인증 후 이뤄지는 공격 벡터로 위협 행위자는 ▲세션 인증 후 쿠키 하이재킹 ▲다중요소인증(MFA) 우회를 위한 세션에서 쿠키 재생 ▲진행 중인 세션에 대한 하이재킹으로 데이터를 탈취·내부망 운영 방해 등 3단계 위협 요소를 수행할 수 있다. 

이같은 위협을 방지하기 위해서는 기업은 엔드포인트를 넘어 브라우저까지 확장하는 지능형 권한 제어 기반의 포괄적인 아이덴티티 보안 전략이 필요하다. 이를 통해 기업 핵심에 액세스할 수 있는 모든 직원 아이덴티티를 보호해야만 한다.

그렇다면 브라우저를 대규모 보안 인프라와 통합하려면 무엇이 필요할까? 간단히 말하면, 다른 모든 작업에 사용되는 아이덴티티 기반 접근 방식을 브라우저로 확장해야 한다.

브라우저단까지 아이덴티티 기반 접근을 확장해 직원, 공급업체·원격 작업자 등 모든 직원 아이덴티티가 최소 권한(PoLP)·적시(JIT) 액세스 원칙에 따라 제공되면서 위험에 견딜 수 있도록 해야 한다. 

◆아이덴티티 중심 엔터프라이즈 브라우저
결론적으로 기업용 브라우저의 실제 가치는 기존 보안 인프라와 결합될 때 실현될 수 있다.

예를 들어 엔터프라이즈 브라우저는 보안 서버에 쿠키를 저장해 쿠키 하이재킹을 방지하고 민감한 데이터를 공격자의 손이 닿지 않는 곳에 보관함으로써 사용자 웹 세션과 데이터·계정을 보호할 수 있다.

엔터프라이즈 브라우저는 보안 팀이 고위험 브라우저 세션 내에서 최종 사용자 활동을 모니터링하고 정책 기반 브라우징을 시행하며, 기밀 기업 데이터의 오용을 방지하기 위해 네이비트 통합을 사용해 권한있는 대상에 대한 액세스를 확장할 수 있는 내장형 제어 기능이 함께 제공돼야 한다.

엔터프라이즈 브라우저는 MFA, SSO, 세션 모니터링과 같은 다른 심층 방어 솔루션과 함께 작동해야 한다. 

이를 통해 ▲사전·사후 인증 공격으로부터 아이덴티티, 엔드포인트, 비밀번호, 자격 증명 보호 ▲리소스와 애플리케이션에 대한 안전한 액세스 지원 ▲엔드포인트의 모든 아이덴티티에 대한 개인정보보호 보장과 아이덴티티 보안 제어 통합 ▲브라우저 사일로 제거 등의 기능 수행이 가능하다. 

기존 브라우저는 대부분 사일로화돼 있어 오늘날의 아이덴티티 중심 위협 환경에서 제기되는 문제를 해결할 수 없다. 최적의 웹 보안과 원활한 인력 경험을 위해 엔터프라이즈 브라우저와 현재 보안 솔루션이 협력해 최신 공격을 예방할 수 있는 아이덴티티 기반 보안 태세를 구축해야 한다.

글 : 최장락 / 이사 / 사이버아크