[디지털투데이 황치규 기자] 코로나19 백신 접종률이 올라가면서 전사적으로 재택 근무를 적용했던 많은 기업들이 사무실 복귀를  준비 중이다. 

복귀한다고 해서 예전처럼 대다수 직원들이 주로 사무실에서 일하는 방식이 '대세'가 될 것 같지는 않다. 많은 기업들이 재택을 포함한 원격 근무와 회사 내 업무를 병행하는 하이브리드 워크 형태를 유지할 가능성이 높다.

회사 밖에서 일하는게 편하고 생산성도 좋은 이들에겐 하이브리드 워크는 환영할 만한 일이지만 보안 담당자들 표정은 그렇지 않다. 곳곳에서 걱정 투성이다.

달라진 업무 환경, 보안 취약 우려 확산

하이브리드 워크는 어떤 직원들은 사무실에서, 어떤 직원들을 집이나 커피숍에서 일을 하고, 이런 가운데 일부는 집과 회사를 왔다갔다 하며 일하는 상황이 뉴노멀이 된다는 것을 의미한다. 이런 상황에선 직원들이 쓰는 기기들 역시 회사 네트워크 안팎을 왔다갔다 하게 마련이다.

보안 담당자들의 우려는 여기에서 시작된다. 직원들이 노트북을 사무실로 가져왔다가 다시 집으로 가져가는 과정에서 해커에 노출될 가능성이 커질 수밖에 없는데, 여기에 효과적으로 대응하는 것이 쉽지 않다는 것이다.

최근 월스트리트저널(WSJ) 보도에 따르면 릭 맥엘로이(Rick McElroy) VM웨어 보안 비즈니스 총괄은 "보안 담당 임원들은 사무실에서 일하는 직원과 원격 근무자들 간, 또 회사와 집에 있는 기기들 비중이 끊임없이 변화하는 것을 지원해야 하는 일에 직면해 있다"면서 "직원들이 집에만 있는 동안엔 보안 팀들은 원격 근무를 보호하는데 초점을 맞출 수 있었지만 일주일에 며칠은 회사에 있고 다른 날엔 집에 있을 때 이렇게 하는 것은 어려울 것이다"고 말했다.

코로나19 상황 속에 기업 보안 조직의 일손이 부족해진 것도 상황을 악화시키는 요인이라고 WSJ은 전하고 있다. 사무실 복귀 이후 기업들은 보다 많은 직원들을 채용하고 코로나19 상황에서 중단한 신규 프로젝트들을 런칭할 것으로 보이는 만큼, 보안 담담자들은 더욱 바빠질 수밖에 없다.

코로나19 상황 속 재택 근무가 확산된 이후 기업을 겨냥한 공격은 늘었다. 클라우드 서비스 등 원격 근무를 지원하기 위해 도입한 기술들이 타깃이 됐다.

WSJ은 2021년 5월 공개된 버라이즌 커뮤니케이션즈 보고서를 인용해 클라우드 기반 이메일, 원격 데스크톱 애플리케션 외에 원격 근무를 지원하는 유사한 기술을 상대로한 공격들이 2020년 대비 모두 증가했다고 전했다. 이와 관련해 구글 부사장 겸 구글 클라우드 최고정보보안책임자인 필 베나블스는 "많은 기업들이 원격 근무를 서둘러 추진했기 때문에 적합한 방식으로는 못했을 것으로 생각한다"고 말했다.

이런 가운데 코로나19 이후 하이브리드 워크가 확산되면 기업들을 겨냥한 보안 위협은 더욱 고조될 수 있다는 우려가 나오고 있다.  

우선 보안 패치와 관련한 부분이다. 다양한 패치를 항상 최신 상태로 유지해야 한다는 것은 기업 보안에서 아무리 강조해도 지나치지 않다.

하지만 원격 근무 속에서 회사내 직원 기기들 상당수가 꺼진 상태로 있었다 보니 보안 패치가 제대로 안됐을 수 있다. 

패치가 재택 근무 중 사용한 기기를 둘러싼 유일한 보안 위협은 아니다. 이메일 보안 업체인 테시안(Tessian)이 직장인 2000명을 상대로 조사해 지난해 12월 발표한 결과에 따르면 응답자 절반 이상이 업무용 기기를 안전이 담보되지 않은 공개 무선 네트워크에 연결했다.

AT&T가 3월 3000명을 상대로 진행한 조사를 보면 절반 이상이, 업무용 기기를 온라인 뱅킹이나 앱 다운로드 등 개인 용으로 사용했다. 3분의 1은 업무용 기기를 스피커 같은 스마트홈 기기들과도 연결했다고 WSJ은 전했다.

그런 만큼 이들 기기를 회사 네트워크에 바로 가져 오는 것은 보안 측면에선 위협이라는 지적이다. 이와 관련해 VM웨어의 맥엘로이는 개인 기기들이 적절하게 패치가 되고 악성코드에도 감염되지 않았다는 것을 보안 담당자들이 확인할 때까지 당분간 격리된 네트워크를 쓰도록 하는 것을 대안으로 제시했다.

하지만 이같은 방식이 현실적으로 통할 수 있을지는 만만치 않다는 시선도 있다. 코드42 소프트웨어의 재디 한슨은 직원들이 사무실 안팎을 빈번하게 왔다갔다한다면 격리 네트워크를 관리하는 것은 어려울 수 있다"고 지적했다.

제로 트러스트 보안, 기존과 다른 방식 접근 

하이브리드 워크는 보안에 대한 접근 방식에 근본적인 변화를 요구하는 패러다임이라는 목소리도 높다. 일부 기업 보안 임원들은 해커들을 방어할 수 있도록 직원들을 교육하는 방식은 잘 먹혀들지 않는다고 지적한다. 그런 만큼 직원들이 가능한 의식하지 못한 상황에서 돌아가는 보안 시스템이 필요하다는 것이다. 

팀 새들러 테시안 CEO는 "기본적으로 피싱 이메일을 필터링하도록 사람들을 교육시키겠다고 말하는 것은 미친짓이다"면서 "우리는 스팸메일을 거르도록 사람들을 교육하지 않았다. 스팸필터를 개발했을 뿐이다"고 말했다. 

사람들이 뭔가 해야만 하는 상황을 최소화하는 것이 지속 가능한 보안을 구현하는데 유리하다는 얘기다. 이와 관련해 요즘 주목받는 것이 제로 트러스트(Zero trust) 보안이다.

방화벽 등 기존 네트워크 보안 기술은 기업 네트워크 주변에서 침입자들을 막는데 초점이 맞춰져 있다. 하지만 하이브리드 워크가 확산되면 침입자들은 이같은 외부 방어 시스템을 보다 쉽게 파고들 수 있다는 지적이 나오고 있다. 해커들이 들어오지 못하도록 하는 기존 보안 솔루션들로는 이를 막기 쉽지 않다는 얘기다.

반면 제로 트러스트는 공격자가 내부에 침입한 상황을 전제로 하는 보안 개념이다. 네트워크에 들어올 때 여러 인증 수단을 거치도록 하는, 이른바 멀티팩터 인증 수준을 뛰어넘는 방식으로 사용자가 인증을 통해 네트워크에 들어온 후에도 특정 시스템이나 파일에 접근할 수 있는지 검증하기 위해 백그라운드에서 끊임없이 오가는 정보를 체크한다.

WSJ은 "제로 트러스트 환경에서 보안 담당자들은 해커들이 이미 회사 네트워크 내부에 있다고 가정한다. 그들의 일은 해커들이 피해를 입히는 것을 막는 것이다"면서 "이들 프로세스는 통상 자동화된다. 제로 트러스트는 사용자들에게 의존할 필요가 없다"고 설명했다.

제로 트러스트는 이미 보안 업계 격전지가 됐다. 마이크로소프트 같은 글로벌 테크 거인들은 물론 보안 전문 업체들까지 제로 트러스트 보안 레이스에 뛰어들었다. 

바수 자칼(Vasu Jakkal) 마이크로소프트 보안 부문 기업 부사장은 "오늘날처럼 복잡한 환경에서는 제로 트러스트를 즉각 도입하기는 어렵기 때문에, 완벽을 추구하기보다 과정에 의의를 두고 필요할 때 보완하는 것이 중요하다"라며 "앞으로도 마이크로소프트는 제로 트러스트로의 전환을 지속적으로 지원하고, 더욱 안전한 하이브리드 시대를 만들기 위해 노력하겠다"라고 말했다.