[디지털데일리 이나연 기자] “보안에 있어 투자를 확보하기 어려운 브라우저는 사실상 보안 위협에 노출돼 있다고 전제해야 한다. 결국 중요한 것은 보안 취약점을 보완하는 핵심 요소, 즉 제로 트러스트 모델이다.”
최병운 네이버 웨일팀 테크리더<사진>는 4월19일 양재동 엘타워에서 개최된 ‘사라진 경계, 한국형 제로 트러스트 중심의 보안 혁신전략’을 주제로 한 차세대 기업보안 세미나 [NES 2023]에서 이같이 말했다.
최병운 테크리더는 이날 ‘엔드포인트 보안을 위한 브라우저의 역할’을 주제로 발표에 나섰다. 최 테크리더가 주목한 제로 트러스트는 ‘아무것도 신뢰하지 않는다’를 전제로 한 사이버 보안 모델이다. 이에 따라 내부에 접속한 사용자에 대해서도 무조건 신뢰하지 않고 검증하는 것을 기본으로 한다.
최 테크리더는 브라우저에 대해 “사용자들이 가장 많이 사용하는 소프트웨어로 보안 위협의 핵심 요소이며 격리 대상”이라며 “브라우저를 완벽하게 보호하는 것은 어쩌면 격리밖에 답이 없을지도 모르겠다”고 운을 뗐다.
기본적으로 브라우저 보안을 위해 피싱 탐지나 멀웨어(악성 소프트웨어) 차단이 이뤄지고 있긴 하나, 이를 적용한다고 해도 완벽하게 보안을 유지하는 건 사실상 불가능에 가깝다. 하지만 제로 트러스트 환경이라면 브라우저는 정보 수집과 관리를 통해 사용자들과 해커들 행동을 구분하는 데 필요한 정보들을 수집하는 소스로 사용될 수 있다.
최 테크리더는 “브라우저의 보안 솔루션과 가상사설망(VPN), 격리 솔루션 등을 결합한다면 제로 트러스트 모델을 구축하는 데 더 유용하지 않을까 한다”고 제안했다.
최근 다양한 산업군과 서비스에서 보안 이슈가 대두되는 가운데, 업계에서는 브라우저 자체 보안성을 강화해 문제를 해결하려는 시큐어 엔터프라이즈 브라우저(Secure Enterprise Browser)가 떠오르고 있다.
최 테크리더는 시큐어 엔터프라이즈 브라우저 등장이 완벽한 보안에 대한 요구보다는 업무 환경 변화에 대한 요인이 크다고 보았다. 코로나 시기를 거치며 업무 환경이 비대면 중심 원격 근무로 변화했고, 회사 단말이 아닌 관리가 어려운 스마트폰 등 개인 단말을 이용한 업무 수행 방식도 일상화됐기 때문이다.
이에 네이버 웨일도 시큐어 엔터프라이즈 브라우저 기능을 적극 활용하고 있다. 시큐어 엔터프라이즈 브라우저 기능으로 실행된 웨일 브라우저는 사용자 인증 정보를 포함해 다양한 데이터를 컨텍스트 엔진에 전달한다. 엔진은 해당 사용자에게 등록된 기기가 맞는지, 혹은 운영 체제 종류와 보안 업데이트 상태, 실행 경로 등을 수집하게 된다.
이러한 정보들을 바탕으로 컨텍스트 엔진은 이 사용자가 사내 시스템 접속을 허용해도 되는지 여부를 판단한다. 최 테크리더에 따르면 시큐어 엔터프라이즈 브라우저 솔루션을 서비스하는 업체들은 점차 늘어나는 추세다.
최 테크리더는 “업계 동향을 조사할 당시, 기존 보안 솔루션들은 운영 체제를 통제하는 데 집중했고 브라우저 인터넷주소(URL)를 확인해 차단하는 정도에 그쳤다”며 “시큐어 엔터프라이즈 브라우저는 브라우저 자체를 수정해 개발하므로 브라우저 안에서 일어나는 일들을 직접 통제할 수 있다는 장점이 있다”고 강조했다.