보안

인터뷰 | 아틀라시안의 제로 트러스트 내부 구현 사례…애드리안 루드윅 CISO

Lucian Constantin | CSO 2020.11.16
애드리안 루드윅 아틀라시안(Atlassian) CISO는 전염병이 닥쳤을 때, 자사의 제로 트러스트 구현은 거의 완료된 상황이었다고 말했다. 그의 조언은 ‘모든 이례적 상황을 다룰 정책을 정의하라’였다.  

코로나19 팬데믹은 많은 기업이 새로운 재택 근무제를 도입하는 것을 강제했다. 초기에는 원격 접속을 둘러싸고 종종 보안을 희생하고 비즈니스 연속성이 우선되는 의사결정이 이뤄졌다. 오늘날 비즈니스 리더들은 직원들이 계속 재택근무를 해야 하는 상황에서 비즈니스 데이터를 보호하기 위해 원격 접속은 확장성과 보안성 모두를 갖춰야 한다는 사실을 깨닫고 있다. 

이를 위해 일부 기관과 기업은 위치보다는 기기, 사용자 ID, 보안 태세, 사용자 룰을 기반으로 한 접속 및 신뢰를 근거로 하는 제로 트러스트 네트워크(zero-trust network) 아키텍처로 전환하고 있다. 이런 기업 가운데 하나가 지라(Jira)와 트렐로(Trello)와 같은 개발 및 협업 도구 제공업체인 아틀라시안이다. 

본지는 아틀라시안 CISO인 애드리안 루드윅과 제로 트러스트 이니셔티브에 대해 이야기를 나눴다. 


아틀라시안은 원격 근무 과제를 어떻게 해결했는가? 

루드윅: 나는 아틀라시안에서 약 2년 반동안 근무했다. 이 기간동안 대부분 플랫폼 보안이나 제품 보안 분야에 집중했기 때문에 업무 대부분은 제품의 보안을 유지하는 것이었다. 이는 제품 보안의 핵심이 해당 제품을 만드는 환경의 보안이라는 것을 의미한다.
  
구글이 몇 년 전에 주도했던 것 가운데 2가지인 제로 트러스트 네트워킹, 더욱 강력한 다중 요소 인증 지원은 분명 아틀라시안이 다뤘던 부분이다. 오래 전부터 아틀라시안에서도 생각하고 있었지만 지난 2년 동안 이를 전면에 내세워 확실히 이행했다.
  
아틀라시안은 전 세계에 분산된 약 3,000명의 개발자로 이뤄진 개발 조직이다. 우리는 애자일 방법론(agile methodologies)을 사용하므로 이메일과 일부 회계 프로그램을 제외하고 거의 모든 작업에 자사의 도구를 사용한다. 개발자가 최대한 효율적으로 작업할 수 있도록 도구를 사용하는 방법을 생각한 후, 최대한 안전하게 보안을 유지하는 방법에 대해 생각하는 것이 가장 중요하다. 


아틀라시안은 제로 트러스트 네트워킹 구현에 어떻게 접근했는가? 

루드윅: 제로 트러스트 구현 측면에서 아틀라시안의 행보는 롤 아웃 및 전략적 관점에서 구글과 유사했다. 다른 점이 있다면 구글은 웹 중심 접근 방식을 사용한 반면, 우리의 접근 방식은 네트워크 계층에 중점을 뒀다는 것이다. VPN 집중기를 사용해 트래픽을 라우팅해 어떤 서비스를 사용해야 하는지 확인했다. 이론적으로 결과는 매우 비슷하다. 

우리에게 가장 중요한 것은 사람들이 연결할 수 있는 다양한 유형의 기기가 있음을 인식하는 것이었다. 따라서 서로 다른 서비스 계층이 적절했다. 인터넷 접속과 같은 것들이 있는데, 만약 누군가가 우리 사무실에 들어오면 그들은 네트워크에 접속하는 것이 쉬워야 했다. 손님 비밀번호를 제공하는 것과 같은 어리석은 과정을 거치지 않고도 인터넷 서비스에 접속할 수 있어야 한다. 따라서 모든 기기가 해당 개방형 네트워크에 연결될 수 있다. 

직원들의 일반적인 접근성에서 매우 바람직한 또 다른 서비스가 있었는데, 이메일, 커뮤니케이션용 슬랙(Slack) 등이다. 우리는 이런 애플리케이션을 하위 계층이라 부르는 곳에 배치하고 어떤 유형의 기기가 이 계층에 연결될 수 있는지 구체적인 요구사항이 있으며, 알려진 사람과의 기기 연결이 우리가 수행하는 검사의 일부다.
 
BYOD 기기인 모바일 기기는 해당 서비스에 연결할 수 있지만, 특정 사용자가 해당 기기와 연결되어 있다는 걸 우리는 알고 있다. 따라서 그들은 자신의 기기와 관련된 특정 지메일 인스턴스에만 연결되어야 한다. 

우리의 가장 큰 관심사 가운데 하나는 한 기기에서 다른 기기로의 측면 이동 또는 토큰을 훔쳐 다른 기기에서 사용할 가능성이다. 따라서 이런 하위 계층 서비스에 연결하기 위한 필수 요건인 보안 상태 점검(BYOD 기기도 포함)을 실시하고 있다.

 
보안 상태 점검은 어떻게 수행하는가? 

루드윅: 우리는 MDM 에이전트를 사용하며 사용자가 기기를 자신 및 MDM 정책과 연결하도록 요구한다. 사실 이런 구현 방식은 최첨단이 아니다. 좀 더 간단하게 구현할 수도 있었지만, 우리는 이렇게 진행했다. 

기기에 영향을 미치는 전체 정책을 구현하는 좀 더 고전적인 MDM이다. 이렇게 구현한 것에는 몇 가지 이유가 있다. 하나는 직원이 안드로이드 기기에서 작업 공간을 만드는 것과 같은 특정 작업을 수행할 수 있는 기능을 제공한다는 것이다. 여기서 ‘나는 더 이상 일하지 않으므로 업무와 관련된 애플리케이션을 끄라’고 말할 수 있는 것이다. 일부 기능은 더 무거운 에이전트에서 사용할 수 있는 일종의 친직원이다. 또한 정책을 좀 더 깔끔하게 구현하는 방식과도 연결된다. 여기에는 하위 계층 서비스와 이런 서비스와 연결할 수 있는 기기가 포함된다.  

상위 계층 서비스는 내부 문서, 기존 작업장 관리 도구, CRM, 프로덕션 환경에 대한 접속을 제공하는 모든 종류의 게이트웨이, CI/CD(지속적 통합/지속적 전달) 및 개발자가 사용하는 기타 도구와 같은 것이다. 이런 서비스는 상위 계층 기기에서만 접속할 수 있다. 일반적인 프로세스는 상위 계층 기기가 회사에서 제공하는 기기라는 것이다. 이들은 알려진 공급업체에서 왔고, 우리가 이들의 환경을 완전히 검증할 수 있도록 추가적인 모니터링 기능을 갖고 있으며, 또한 이들에게는 몇 가지 추가적인 보안 통제도 할 수 있다. 
 

전염병이 시작된 후, 아틀라시안은 네트워크 보안 아케텍처 구현과 관련해 어떤 문제에 직면했는가? 

루드윅: 대부분의 직원들이 집에서 일하기 시작했을 때, 우리의 준비 상태는 95%정도였다. 우리가 직면했던 문제 가운데 일부는 많은 사람이 집에서 일하기 전부터 있었던 것들이다. 지금 현재는 짧은 기간동안 들어오는 컨설턴트들을 어떻게 다룰 것인가에 대한 문제에 직면해있다. 

매우 흥미롭고 사람들이 잘 생각하지 않는 것 가운데 하나는 사고 대응을 위해 들어오는 고위급 컨설턴트들로, 이들은 실제로 강력하고 중요한 데이터에 접속해야 한다. 정책에서 이들에 대한 예외를 명시해야 하는가? 아틀라시안에서 제공하는 회사 노트북으로만 작업하게 해야 하는가? 이에 대해 알아내야 할 몇 가지 세부 사항이 있다.  

이사회는 아무도 미리 생각하지 않는 또 다른 흥미로운 상황을 연출했다. 이사진들은 기술적으로 직원이 아니다. 이들은 휴대폰으로 작업하기를 원할 것이며, 상당히 제한적인 특정 유형의 데이터에 접속해야 한다. 이런 점을 미리 고려해 재택 근무가 많아지기 전부터 좋은 진전이 있었다.  

코로나가 발생하고 100% 임직원이 재택근무를 하기 시작했을 때 몇 가지 문제가 발생했다. 아마도 놀라운 일일 듯 한데, 우선 우리의 VPN이 확장 가능성을 고려치않고 설계했다는 것이다. 처음 2주 동안 우리는 사람들이 들어오면서 발생하는 부하를 처리하기 위해 VPN 기능을 높이는 작업을 수행했다. 제로 트러스트 검사를 위해 계층화에 따라 확장하지 않았지만, VPN 집중기를 사용했다. 그래서 네트워크 연결성이 문제였다.
  
또 다른 문제는 터널링(tunneling)과 더 넓은 네트워크 연결을 수행하는 방법과 관련된 것이었다. 일종의 풀 터널링을 하고 있었지만, 집에서 프린터와 같은 기기에 접근할 수 없었고, 우리가 처리해야 하는 트래픽의 양은 정말로 급증했다. 그래서 직원 노트북에서 나오는 트래픽 가운데 일부는 인프라를 통해 라우팅되지 않는 분할 터널링으로 전환했다.

직원의 개인정보 보호 관점에서 보면 좋을뿐만 아니라 집에서 프린터에 접속하는 것과 같은 작업에도 정말 중요하다. 만약 일주일에 하루만 집에서 일할 경우, 이는 성가신 일일뿐이지만 일주일 전체를 집에서 일하면서 어떤 종류의 프린터를 해야한다면 이는 문제가 될 수 있다.  

이와 함께 우리가 마주친 또 다른 문제는 네트워크 모니터링에 대해 생각하는 방법이었다. 특히 아틀라시안은 이상 징후를 모니터링하고 찾아내는 침입탐지 시스템을 갖추고 있다. 직원들이 재택 근무를 시작했을 때 트래픽의 형태가 바뀌었고 그 후 이상 징후 포착에 대한 기대치도 바뀌었기 때문에 이 문제를 헤쳐나가야 했다. 모니터링을 할 수 있는 최적의 장소와 무엇을 탐지해야 하는지도 달라졌다. 직원들은 예전처럼 움직이지 않기 때문에 시간이 지남에 따라 이런 환경에서 조금 안정된다는 것을 알게 될 것이다. 그러나 6개월, 9개월 후에는 아마도 훨씬 더 모니터링하기가 힘들어지는 방향으로 갈 것이다. 


확장성 문제를 해결하기 위해 메시 VPN 아키텍처를 고려했는가? 

루드윅: 우리가 직면한 가장 큰 도전은 기술적인 문제가 아니었다. 기본적인 제어는 두어달 만에 시행할 수 있었다. 어떤 서비스가 어느 영역으로 이동해야 하는지 정의하는 데 시간이 조금 더 걸렸지만, 모든 예외적인 상황들을 생각해보고, 이런 상황들을 확실히 다룰 수 있는지 확인하는 것이 1년, 혹은 그 이상 걸린다. 

몇 가지 근본적인 문제를 해결하는 데 도움이 되는 새로운 기술적 접근 방식이 있을 수 있다. 하지만 정책을 파악한 다음, 실제로 100% 구현해 모든 사람이 기존 접근 방식을 사용하는 것이 가장 큰 문제였다. 이것이 같은 규모의 기업 CISO에게 조언하고 싶은 것이다. 

나는 구글에서 왔기 때문에 내가 알고 있는 접근 방식은 모든 직원의 네트워크가 파악하는 방식이었다. 하지만 나는 아틀라시안이 실제로 이를 구현하는 측면에서 훨씬 앞서 있다는 것을 알지 못했다. 다른 CISO와 이야기를 나누어 보면, 이제 그들은 막 여행을 시작했다. 그래서 우리가 겪은 모든 예외 상황들을 극복하는 것이 우선 순위다.
  
협력업체를 다루는 방법은 지금 우리가 고민하고 있는 사항이다. 우리는 기술 지원을 받고 있으며, 특정 수준의 지원은 서드파티가 제공하지만 잠재적으로 고객과의 커뮤니케이션에 액세스할 수 있다. 협력업체의 인프라가 어떻게 생겼는지, 우리 환경의 전반적인 보안 상태를 저하시키지 않는 방식으로 연결되도록 하는 방법을 생각하는 것이 우리의 할 일이다. 지금 당장은 큰 기술적 변화를 기대하지 않지만, 미래에는 가능할 것이다. 


소프트웨어 개발 환경에 대한 원격 접속을 안전하게 수행하는 것이 중요한가? 

루드윅: 그렇다. 이것은 우리가 겪었던 가장 큰 문제 가운데 하나다. 예를 들어 소프트웨어 개발을 수행하는 협력업체가 아틀라시안 내에서 우리 팀과 협력해 작업하고, 환경에 적절한 제약이 있는지, 그리고 어떻게 보이는 지 확인하기 위해 제로 트러스트에 대해 생각하는 방식을 조정하고 있다. 

여러 면에서 우리는 이런 협력업체가 우리의 환경에서 작업할 직원들을 위임하고 우리가 필요한 모니터링을 할 수 있는 하드웨어를 제공함으로써 가시성을 확보하고 상황에 대응할 수 있도록 하는 방향으로 나아가고 있다. 그래서 이런 관점에서 모든 소프트웨어 개발 프로세스를 상위 계층으로 취급한다. 이는 우리의 생산 환경으로의 포털 접속과 CI/CD 환경으로의 접속이다. 

예상대로 소프트웨어 개발을 위해 대부분 자체 도구를 사용한다. 우리는 자체 개발 도구를 만드는 것이 아니라 코드 관리, 보안 문제 관리, 지라 및 빗버킷(Bitbucket)과 같은 버그 등을 위한 개발 툴을 만드는 것이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.