보안

“DLP 및 보안 가시성 향상” 구글, 기업용 크롬 브라우저 신기능 출시

Lucas Mearian | Computerworld 2023.04.21
구글이 4월 21일(현지 시각) 데이터 손실 방지(DLP), 맬웨어 및 피싱 방지, 검색엔진 제로 트러스트 액세스 활성화 등 기업용 크롬 브라우저를 위한 새로운 기능을 출시했다

회사에 따르면 새로운 ‘상황 인식’ 기능을 통해 기업 관리자는 사용 중인 기기의 보안 상태에 따라 DLP 규칙을 맞춤 설정할 수 있다. 예를 들어 관리자는 보안 패치가 최신 상태이거나 엔드포인트 보호 소프트웨어가 설치된 것으로 확인된 회사 기기에서는 중요한 문서 다운로드를 허용할 수 있다. 반대로 사용자가 개인 기기나 보안 기준을 충족하지 않는 회사 기기로 중요한 문서를 다운로드하는 것은 차단한다. 또 URL 필터링 기능을 통해 기업의 사용 정책을 위반하는 웹사이트 또는 웹사이트 카테고리를 방문하는 직원을 차단하거나 경고할 수 있다. 
 
구글의 URL 필터링 기능을 사용하면 기업의 정책을 위반하는 웹사이트를 차단하거나 직원에게 경고할 수 있다. ⓒGoogle

구글은 “기업 파일 공유 사이트를 통한 파일 공유는 허용하면서 인기 있는 파일 공유 웹사이트는 방문하지 못하도록 차단하는 등 액세스를 제한할 수도 있다”라고 덧붙였다. 

아울러 구글은 크롬용 위험 평가 확장 프로그램 2가지도 발표했다. 크롬 웹 스토어에는 광고 차단기부터 생산성 도구까지 25만 개 이상의 확장 프로그램이 있다. 하지만 브라우저 확장 프로그램은 사용자에게 특정 위험을 초래하거나 회사 정책과 일치하지 않는 권한을 요청할 수 있다. 확장 프로그램과 확장 프로그램이 어떻게 사용되고 있는지 가시성을 확보하는 일은 보안팀에게 매우 중요하다는 것이 회사 측 설명이다. 

구글에 의하면 크롬의 새로운 CRXcavator 및 Spin.AI 위험 평가는 브라우저 확장 프로그램을 평가하고, 관련된 위험을 최소화하는 데 사용되는 도구다. “이 두 플랫폼에서 평가한 확장 프로그램 점수를 크롬 브라우저 클라우드 관리에서 바로 확인할 수 있다. 보안팀이 브라우저 환경에서 사용 중인 확장 프로그램의 위험 점수를 한눈에 볼 수 있다”라고 설명했다. 

고급 DLP를 구현하고, 확장 프로그램 보안 및 중요 보안 이벤트에 관한 가시성을 확보해 기업은 잠재적인 위협과 취약점이 악용되기 전에 이를 식별하고, 데이터 손실 위험을 줄이며, 사이버 보안에 더 적극적으로 대처할 수 있다.

이 밖에 구글은 크롬에 설치할 수 있는 2가지 새로운 보안 이벤트 알림 확장 프로그램도 공개했다. 

• 확장 프로그램 설치(Extension installs): 확장 프로그램이 설치되면 IT팀과 보안팀에 알림을 보내 사용자 환경에서 새로운 확장 프로그램 사용을 추적할 수 있도록 한다. 

• 충돌 이벤트(Crash events): 기기에서 브라우저 충돌이 발생하면 IT팀과 보안팀에 알려 조사를 시작할 수 있도록 지원한다. 
 
구글의 새로운 크롬 보안 기능 ⓒGoogle

IDC의 보안 및 신뢰 서비스 부문 리서치 부사장 마이클 수비는 브라우저가 OS 애플리케이션만큼이나 취약하기 때문에 구글이 이번 기능 발표는 적절하지만 한편으론 많은 기업에 난제를 야기할 수 있다고 언급했다. 구글에서 발표한 것과 비슷한 기능을 제공하는 기업 전용 서드파티 브라우저가 이미 있기 때문이다. 예를 들면 아일랜드.io(Island.io)와 탈론 사이버 시큐리티(Talon Cyber Security)는 인기 있는 기업용 브라우저다. 수비는 “새로운 기능을 이미 가지고 있는 기능과 어떻게 통합할 수 있을까?”라고 말했다.

또 많은 기업용 애플리케이션에는 이미 보안 기능이 내장돼 있다. 수비는 “관리해야 할 정책 도구가 하나 더 추가되는 셈이다. 크롬에 이런 새로운 기능이 추가된다는 것은 좋은 일이지만, 이미 사용 중인 기능에 추가되는 것이라면 말이 달라진다. 새로운 기능이 좋지 않다는 말은 아니지만, 관리해야 할 것이 더 많아지기 때문”이라며, “누가 새로운 기능을 관리 및 제어할 것인가? 애플리케이션 보안 정책은 누가 관리할 것인가? 어떤 환경에 정책을 적용해야 할까?”라고 덧붙였다. 

현재 브라우저 보안 기능을 독립적으로 테스트하는 서드파티 업체가 없다는 것도 문제다. AV-컴패러티브(AV-Comparatives) 같은 안티바이러스 소프트웨어와 마이터 인제뉴어티(Mitre Engenuity) 같은 업체의 엔드포인트 보호 및 대응 평가 소프트웨어가 있긴 하지만, 브라우저 보안을 위한 소프트웨어는 없다. 수비는 “[구글]이 가고 있는 방향은 좋다”라면서, “구글은 문제를 발견하고 기업이 해결할 수 있도록 지원하고자 한다. 하지만 그 과정에서 일련의 내부적인 문제가 있다”라고 전했다. 
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.