소닉월(www.sonicwall.com, 지사장 신용훈)은 오늘, 원격근무자의 안전한 접속을 지원하는 SSL VPN 솔루션인 ‘SMA(시큐어 모바일 엑세스)’와 강력한 클라우드 보안 환경 구축을 지원하는 SASE(Secure Access Service Edge) 형식의 VPN 솔루션인 ‘클라우드엣지(Cloud Edge)’의 운영 사례를 소개했다.

코로나19 대유행으로 급변한 업무 환경으로 인해 원격 근무의 보편화, 모바일 디바이스 사용 증가와 동시에 보안 취약성도 크게 증가하고 있다. 이에 원격사용자 증가에 따른 사용자 및 디바이스 인증, 권한별 세부 접근 제어, 원격사용자에 대한 보안 정책 유지, 원격 접속 시에 인터넷 사용자 서비스 만족도 유지, 원격 연결의 강제화, 상세 로깅 및 관리 편의성 제공 등에 대한 요구사항이 늘어나고 있다.

원격 근무 환경을 통해 비즈니스 연속성을 유지하기 위해서는 사용자의 디바이스 종류와 접속 위치와 상관없이 클라우드 또는 데이터센터에 위치해있는 모든 애플리케이션에 안전하고 빠르게 접속할 수 있도록 해야 한다.

소닉월은 오랫동안 국내외 많은 VPN 레퍼런스를 가지고 기술을 선도해왔으며 이를 바탕으로 VPN이 갖추어야만 하는 주요 기능에 대하여 아래와 같이 권장하고 있다.

- 항상 연결되어 있어야 하는 VPN 터널링

재택근무 시 보안 담당자가 가장 우려하는 부분 중 하나는 회사 PC를 외부로 가져가서 회사가 아닌 장소에서 근무를 해야할 경우이다. 이 경우 안전하지 않은 네트워크 접속이나 기존 사내 인터넷 보안정책등이 적용되지 않기 때문에 그에 대한 일관된 정책을 적용하기가 매우 어려운 상황이 된다. 따라서 코로나 시대의 VPN 솔루션은 인터넷이 연결되는 즉시 VPN 터널이 자동으로 연결되어야 하며, 모든 트래픽을 VPN터널로 보내어 기존 사내에 구축되어 있는 방화벽 정책을 적용 받도록 해야 하며, 사용자가 임의로 VPN을 끊을 수 없도록 강제해야 한다.

또한, VPN 솔루션은 사용자의 위치가 회사 내부인지 외부인지 인지 할 수 있고 그에 따라서 VPN을 통하게 할지, 기존 회사 Gateway를 통하게 할지 자동으로 제어하여 사용자의 서비스 만족도를 유지할 수 있어야 한다.

- 회사 PC와 개인 PC를 구별할 수 있는 기능과 그에 대응하는 정책 제공

재택근무가 활성화되어 사용자는 다수의 다양한 디바이스를 통해 접속해야 하는 경우가 발생하고 있다. SSL VPN의 경우 여러 디바이스와 연결을 지원해야 하기때문에 디바이스를 제어할 수 있는 기능이 반드시 필요하다. 또한, 회사 PC라고 하더라도 외부로 반출되어 이용되는 기기인 만큼 이전보다 더 강력한 보안 수준을 체크하여 사내로 접속할 수 있도록 정책을 수립해야한다. 예를 들어 보안에 취약한 PC방 PC등 외부 디바이스로 접속하는 것을 감지하여 VPN 접속을 허용하지 않는 정책뿐 아니라 인가된 회사 PC일지라도 안티바이러스가 설치되지 않았거나 윈도우 업데이트가 되지 않는 PC의 경우도 VPN 접속을 제한하여 내부 IT 리소스를 보호할 수 있는 기능을 제공해야한다.

즉, 디바이스 ID를 통한 제어, 특정 프로그램 설치 유무, 윈도우 업데이트 및 OS 버전 체크, 윈도우 레지스트리 체크 등등 다양한 방법으로 디바이스의 보안 수준을 정하여 접속을 제어할 수 있어야 한다.

- License 경제성/ 관리 효율성

재택근무를 지원하는 많은 보안 담당자들이 이야기하는 것 중 하나가 유동적인 재택 근무자의 사용자수로 인한 라이선스 구매에 대한 어려움이다. 예를 들어, 코로나가 심해질 경우 많은 직원들이 재택근무를 하게 되고 그로 인해 많은 VPN user 라이선스가 필요하며, 코로나가 안정화 되면 다시 재택 근무자의 수가 줄어들게 되고, 감소한 접속자 수만큼 불 필요한 라이센스를 구매한 상황이 된다. 하지만 보안 담당자는 최대 접속 자 수를 고려하여 라이선스 구매해야하는 비합리적인 투자를 할 수밖에 없는 경우가 일반적이다.

앞으로는 어디에 있는 SSL VPN 장비에 얼마나 동시에 접속하게 될지, 평상시 사용자와 특정 기간/경우에만 접속하는 사용자를 구분하여 license를 구매/적용하는 효율적인 라이선스 관리 방안이 필요하다.

- 에이전트를 설치 할 수 없는 상황에서의 지원

재택근무 시 장애등과 같은 긴급 상황이 발생하여 사내 네트워크에 접근해야 하는 상황이 발생할 수 있다. 만약 담당자가 업무용 PC를 가지고 있지 않거나 VPN 에이전트를 설치할 수 없는 환경의 PC 또는 보안에 매우 취약한 PC방에서 접속해야 하는 경우가 발생할 수 있다. 이럴 경우 VPN 솔루션은 Reverse Proxy 방식의 html5 프로토콜을 통한 웹 방식 접속을 지원한다. 즉, SSL VPN이 마치 내부 리소스인 것처럼 사용자에게 응답하도록 구성하여 사용자는 내부 리소스에 접속했으나 실제로는 SSSL VPN 장비까지만 접속되는 구성을 통해 내부 망을 보호해야한다. 또한 브라우저를 통해 접속할 수 있기 때문에 에이전트 설치 없이 안전하고 빠르게 내부 리소스에 접속이 가능하다.

- 사용자의 네트워크 구성 변경 없는 Active-Active 구성

재택 근무 사용자가 늘어나게 되면서 VPN 사용자의 수와 접속 시간이 기하급수적으로 늘어나게 되며, 이를 대응하기 위해서 VPN 구성은 Active-Active로 구성하여 안정성과 효율성을 높여야 한다. 그러나 많은 기업들은 Active-Standby 구조의 네트워크를 많이 구성하여 사용하고 있어 망 전체를 Active-Active로 변경해야 하는 번거로움과 리스크로 인해 고민을 하시는 경우가 많다. 네트워크 구성 변경 없는 Active-Active SSL VPN 지원 기능이 필요하다.

소닉월은 전세계 NO.1 SSLVPN ‘아반테일’ 을 지난 2007년에 인수하여 소닉월 보안 플랫폼에 연동된 제품으로 하드웨어 기반의 안정적이고 강력한 성능을 제공하고 있다. 소닉월의 SMA는 간편한 웹 기반 접속 방식을 제공하고 있어 에이전트 없이 손쉽게 사내 리소스를 사용할 수 있는 방식도 제공하고 있다. 또한 원격 접속 기기 상태에 따라 액세스를 제어하거나, OS 나 OS 버전, 안티바이러스 소프트웨어의 설치 유무를 확인하여 설정을 제어할 수 있으며, 회사에서 제공한 기기와 개인이 사용한 기기를 식별하여 접속을 제어할 수 있어, 원격으로 접속하는 기기의 신뢰성을 보장하고 강력한 엔드포인트 제어 기능을 제공한다.

특히 소닉월SSLVPN 솔루션인 SMA 시리즈 제품은 효율적인 두 가지 라이선스 정책인 Pooled license 와 Spike license를 통해 TCO를 절감할 수 있다. Pooled license(풀리드 라이선스)는 어플라이언스 장비마다 라이선스 개수를 정하여 구매하는 방식이 아닌, 전체 라이선스 통합 관리를 통해 개별 SMA들을 함께 사용할 수 있어, 비용효율적인 라이선스 운영이 가능하다. Spike License (스파이크 라이선스)는 time-base 라이선스로서, 클라우드처럼 사용한 시간만큼 차감되는 방식이다.

클라우드 기반 원격 연결 솔루션인 Cloud Edge는 국내/외 지사가 많고, 사용자수 변화가 많거나, 클라우드 및 인터넷 서비스를 많이 사용하는 경우에 적합하다. 클라이언트와 리소스를 터널링을 통해 클라우드에 있는 소닉월의 클라우드 보안 솔루션인 ‘클라우드엣지’로 연결하는데, 클라우드엣지는 사용자와 리소스를 적절한 보안정책으로 제어하고 연결하여 제로 트러스트 네트워크를 실현한다.

특히 ‘클라우드엣지’는 SASE(Secure Access Service Edge) 아키텍처를 기반한 보안 액세스를 통해 효율 적인 액세스 권한 관리의 보안성 사용자의 변동에 따른 확장성을 동시에 제공하고 있다. 클라우드엣지 게이트웨이를 통해 전세계에 흩어져있는 지사, 데이터센터 및 클라우드 센터로 접속하기 때문에 보안성은 유지된 채 속도 저하문제를 해결할 수 있다.

- ‘SMA(Secure Mobile Access, SSL-VPN)’ 및 ‘클라우드엣지(Cloud Edge)’ 소개

소닉월의 SSL VPN 솔루션인 ‘SMA’는 사용자, 장치 ID, 위치 및 신뢰를 기반으로 외부 접속을 관리함으로써 사용자가 기업 자원에 언제 어디서나 안전하게 액세스할 수 있다. 소닉월 SMA는 단일 어플라이언스에서 최대 2만여명의 SSL VPN 동시 접속 사용자를 지원하는 제품으로 윈도우, MAC OS 및 모바일 기기 포함 다양한 디바이스를 지원한다.

소닉월의 SMA는 강력한 액세스 컨트롤 엔진으로 세부적 정책을 정의함으로써 누가 어떤 리소스에 액세스할 수 있는지를 통제한다. 단일 URL로 모든 SaaS에 또는 로컬 호스팅 애플리케이션에 통합된 싱글 사인온을 제공함으로써 관리의 복잡성을 줄여 업무 생산성을 높여준다. 모든 연결 장치에 대한 가시성을 확보하여 정책과 엔드포인트의 보안 레벨에 기반하여 액세스 권한을 부여한다.

소닉월의 SASE(Secure Access Service Edge) 솔루션인 ‘클라우드엣지(Cloud Edge)’는 단시간에 제로 트러스트 보안 환경을 구축할 수 있는 분산 엔터프라이즈 및 원격 직원을 위한 SSL VPN 접속 포함 강력한 클라우드 보안 서비스를 제공한다.

소닉월의 ‘클라우드엣지’는 전세계적으로 분산된 클라우드 서비스 형태로 제공되므로, 새로운 하드웨어 인프라 구축이 필요 없으며, 필요한 용량을 스스로 모니터링하고 자동 확장함으로써, 근무 환경의 변화에 민첩하게 대응하고 사용자의 서비스 만족도 향상 및 비즈니스 연속성을 유지할 수 있다.

소닉월 코리아 신용훈 지사장은 “원격근무 환경은 물론 미래의 연결성과 보안 위협에 대비하기 위해서는 네트워킹과 보안을 클라우드에 통합하는 것이 필수적이다. 사용자가 어떤 장소에 있든 관계 없이 모든 기기를 사용하여, 클라우드 및 온프레미스 시스템에 안전하게 접근할 수 있도록 지원함으로써, 어떤 상황에서도 비즈니스 연속성을 확보하고 외부 변화에 유연하게 대응할 수 있어야 한다”라고 말했다.

소닉월 신용훈 지사장은 “소닉월은 엔드투엔드 보안 플랫폼을 제공하는 종합 플랫폼 보안 기업으로서, UTM·차세대 방화벽을 시작으로, 무선랜 및 무선랜 보안, SSL VPN을 이용한 원격 접속자 보안, 웹·이메일 보안, 클라우드 보안을 책임지고 있으며, 신변종 공격을 분석하는 샌드박스와 클라우드 기반 위협 탐지 시스템을 모두 갖추고 있다”라고 말하며, “소닉월의 통합보안플랫폼 전략 전개를 위해 엔터프라이즈부터 SMB까지 다양한 규모의 고객들이 사용할 수 있도록 관리 편의성을 높이고 가격을 합리화했다. 또한 모듈화된 보안 기능을 하나의 플랫폼에서 제공해 유연하고 단순한 보안 관리가 가능하다”라고 강조했다.