[컴퓨터월드] 델 소프트웨어(Dell Software)가 최근 차세대방화벽 델 소닉월(Dell SonicWALL)의 SSL VPN 전용 제품군 ‘SMA(Secure Mobile Access)’ 라인업을 출시했다. 이들 제품군은 단순히 시장이 요구하는 보안 기술 트렌드를 따라가는 것이 아니라, EMM(Enterprise Mobility Management) 제조사들의 제품들과 기술 연동 등을 하며 선도적인 모바일 접근(Access)의 방향성을 제시하고 있다.

SSL VPN 전용제품의 필요성
기존의 전통 방화벽(Legacy Stateful Inspection Firewall)을 대체하고 있는 차세대방화벽(Next Generation Firewall)의 일부 기능으로 SSL VPN 기술이 내장되고 있지만, 아직은 그 기능이 충분치 못한 것으로 보인다. 국내에서 이미 10여년 이상 전용 SSL VPN 시장이 견고히 성장해 왔으며, 고객의 요구사항도 보안 측면뿐만 아니라 관리 효율성, 사용자 편의성, 다양한 모바일 접근 환경에 대응하는 측면에서 꾸준히 변경돼 왔기 때문이다. 이는 여전히 SSL VPN 전용제품이 급변하는 원거리 모바일 접근 환경에 적극적으로 대응할 수 있는 방향성을 제시하는 제품으로 평가되고 있다는 것을 의미한다.

BYOD(Bring Your Own Device)와 함께 개인 소유의 디바이스(스마트폰, 태블릿PC, 노트북 등)에서도 기업 내부망으로 접속하는 네트워크 접근 제어를 어떻게 안전하게 제어할 것인가에 대한 이슈가 폭발적으로 늘어났다. 하지만, 정작 시장의 요구사항에 확실한 대응 방안을 제시하는 부분보다는 여러 가지 정책적인 측면에서 어떻게 BYOD를 기업 보안 정책의 일환으로 변환해 적용할 것인가에 대한 논의가 여전히 진행되고 있다. 물론 일부 보안 솔루션 제조사에서 BYOD 대응을 위한 BYOD enabled NAC(Network Access Control) 솔루션을 이용해 기업 내부망 자체에서 접근 제어를 수행하고, MDM(Mobile Device Management) 솔루션을 통해 원격 모바일 디바이스에 대한 제어를 담당하는 부분도 과감한 진척이라고 볼 수 있다.

관리 책임과 보안성이 중요한 BYOD
BYOD에 대해서 개인 소유의 모바일 디바이스에 기업 수준의 보안 통제를 어느 부분까지 적용해야 하는 것인가에 대한 고민을 살펴보자. 업무 효율성과 편의성 입장에서만 보면, 어느 모바일 환경이든지 외부에서 기업 내부 환경으로 편리하게 접근만 가능하게 해주는 방향을 선택하면 된다. 당연히 초기의 BYOD는 보안보다는 편의성에 중점을 뒀다. 하지만 다음 고려사항이 발생했다.

● 신뢰할 수 있는 기업 임직원의 디바이스인가?
● 내부망의 어느 리소스까지 접속을 허용할 것인가?
● 디바이스 자체에 대해서는 침해 안전성이 보장되는가?
● 디바이스의 앱(App)은 모두 신뢰 가능하도록 변조되지 않았는가?
● 디바이스에 악성 앱은 설치돼 있지 않은가?
● 디바이스를 하나의 시스템(IP Address)으로 인식하고 통제하면 되는가? 아니면, 디바이스에 설치된 개별 앱에 대한 신뢰도 설정 이후, 신뢰된 앱만 원격에서 내부망으로 접근할 수 있는 방법은 없는가?(Per App Control)
● 디바이스에 있는 개인정보를 어디까지 통제하고 수집 및 활용해야 하는가?
● 역할 기반으로 디바이스 분류 및 차등 접근 제어를 어떻게 적용해야 하는가?
● 외부에서 내부망으로의 모바일 접근은 암호화돼야 한다.
● 개인이 보유한 모바일 디바이스의 종류 및 OS 버전의 다양성에 따른 관리 책임은 누구에게 있는가?
● 개인이 보유한 모바일 디바이스에 설치된 앱의 다양한 버전에 따른 관리 책임은 누구에게 있는가?

이처럼 편의성뿐만 아니라, 관리 책임과 보안성을 제외하고는 절대 BYOD에 대한 원격 모바일 접근을 논의할 수 없게 됐다.

COPE 방식의 등장
BYOD가 개인 소유의 모바일 디바이스에 중점을 두다 보니, 반대로 COPE(Corporate Owned Personally Enabled) 개념이 나오게 됐고, 많은 기업에서 파일럿 테스트로 시험되거나 실제로 COPE 방식이 도입된 기업도 적잖이 나오고 있다. 대표적으로 내부망에서 사용 중인 회사 데스크톱 또는 랩톱이 대표적인 COPE 방식이며, 소유권 및 관리 책임이 기업에 있으므로, 자산관리 솔루션과 일괄적인 보안솔루션을 활용해 통제하고 있다.

하지만 최근 COPE 개념은 모바일 업무 환경에 대응하고 BYOD 관리의 어려움에 대응하기 위해서 스마트폰, 태블릿PC 등의 모바일 디바이스를 회사 자산으로 등록하고 개인에게 배포하며, 소프트웨어·서비스 등에 대해서 일괄적인 제어를 공식적으로 제공하고 있다. 즉, 개인이 사용하되 소유권한과 통제 권한을 기업이 가짐으로써, 개인 프라이버시에 대한 이슈와 디바이스의 다양성 및 복잡성에 대한 이슈를 제거할 수 있는 것이다.

그래도 여전히 고려 사항은 남아 있다. 가장 큰 것은 비용 문제이며, 나머지는 앞서 언급한 BYOD 고려 사항을 다시 살펴볼 필요가 있다. 몇 가지 고려 사항이 해결될 수 있는가? 물론 보안이 강화된 기능을 가진 기업용 MDM 솔루션을 함께 제공함으로써 좀 더 향상된 보안성을 제공할 수는 있다. 더불어 기업 소유이므로, 개인 프라이버시에 관련된 이슈도 제거할 수 있다. 하지만 여전히 BYOD 고려사항과 중복되는 어려움을 보유한다.

이처럼 원격 모바일 디바이스에 대해서 기업 내부망으로 접속을 허용하기 위해서는 아직 고려되고 논의돼야 할 과제들이 많이 존재한다.

다양한 엔드포인트 모바일 디바이스 지원
델 소닉월 SSL-VPN의 SMA 시리즈는 다양한 디바이스 플랫폼을 지원함으로써, BYOD의 디바이스 플랫폼의 다양성에 대한 범위를 포괄적으로 지원하고 있다.

● Windows
● Linux
● iOS
● Mac OSX
● Android
● Kindle Fire

클라이언트 리스(Client-less) 또는 단일 앱 기반 엔드포인트 모바일 접속 기능 지원
델 소닉월 SSL VPN SMA 시리즈는 모바일 플랫폼에 대한 유연한 기술을 제공한다.

● 표준 HTML5 브라우저를 위한 보안 접근 제공
● 클라이언트 리스 기반의 워크플레이스 포털(Workplace Portal) 기능 제공
● 자바(Java) / 액티브X(ActiveX) 컴포넌트를 지원하지 않는 모바일 디바이스 포용 및 관리 유연성과 에러 최소화 방안 제공
● 단일 모바일 커넥트 앱(Mobile Connect App)을 이용한 L3 양방향 기반 VPN 접근 기능 제공(위 플랫폼 모두 지원)

엔드포인트 컨트롤(EPC) 및 맥락 인식(Context-Aware) 기반 인증 접근 방안 제공
신뢰받지 못하는 외부망에서 접속하는 부분에 대해 모바일 디바이스에 대한 안정성을 점검하고, 내부망에 대한 접근을 좀 더 효율적으로 제어하기 위한 엔드포인트 제어 기술을 제공한다.

● 신뢰 디바이스(Trusted Device) 인증 및 사용자 인증 혼합
● 모바일 디바이스의 보안성 점검(탈옥, 루팅 여부 검사)
● 유일한 HW 디바이스 ID 매핑에 따른 인증 방안(플랫폼별 유니크 디바이스 ID 자동식별)
● 인증서 정보 / 상태 모니터링
● OS 버전, 앱 종류(설치 여부) 및 앱 버전 검사
● SSL 접속 종료 이후, 자동 캐쉬 클리너 기능 작동
● 가상 키보드(Virtual Keyboard) 제공 및 안티 키 로거(Anti-Key Logger) 대응
● 안티 바이러스(Anti-virus) / 안티 스파이웨어(Anti-spyware) 설치, 실행 여부 및 시그니처 업데이트 최신 여부 점검(국산 AV 포함)
● 디렉터리 / 파일 이름 점검 및 유효성 입증
● 윈도우즈 도메인(Windows Domain), 윈도우즈 레지스트리(Windows Registry) 점검

앱 당(Per App) SSL-VPN 기능 제공
BYOD 모바일 디바이스에 대해서 SSL VPN 접속 성공 이후 디바이스의 모든 앱이 내부망에 접근하도록 허용하는 것이 아니라, 신뢰된 앱만 통신이 허용되도록 ‘Per App SSL-VPN’ 기능을 제공한다.

● 신뢰하는 앱만 별도 선별 및 SSL-VPN 접속 시 ‘신뢰 앱’만 내부망에 접근 가능
● 디바이스 인증→사용자 인증→신뢰 앱 인증 혼합 제공
● 앱 변조(수정), 앱 래핑(Wrapping) 또는 SDK 개발 과정 없이, 모든 앱에 대해 적용 기능 제공
● 앱 시그니처, 앱 ID 자동 인식 및 정책 반영에 도움을 주는 기능 제공
● 앱 시그니처 변조 시, 자동 접속 차단
● 보안 컨테이너(Secure Container), 모바일 VDI 환경 지원
● 써드파티 EMM(Enterprise Mobility Management) 지원→델 워크스페이스(Dell Workspace), 시트릭스(Citrix), 에어워치(AirWatch), VM웨어(VMWare) 등

델 소닉월 SSL VPN SMA 솔루션은 현재 당면하고 있는 BYOD / COPE에 대한 모바일 접근 부문에서 좀 더 안전하게 기업의 보안정책을 적용함과 동시에, 개인의 프라이버시 침해를 최소화하고 효율적인 방안을 제시하는 로드맵과 함께 보안 기술을 적용해 오고 있다. SMB 레벨에서 엔터프라이즈급까지 대응할 수 있는 제품군을 보유하고 있으며, 유연한 확장성과 TCO 효율성 측면에서도 국내 고객들의 긍정적인 반응을 이끌어 내면서 향후 시장의 요구사항에 좀 더 적극적으로 부응하기 위한 기술 방향성을 제시하고 있다.