
안녕하세요, 불법복제 방지 및 저작권 보호에 앞장서고 있는 디알엠인사이드입니다.
최근 외부와 내부에서 발생하는 보안 정보 유출에 관련한 뉴스를 자주 접할 수 있는데요- 그래서 오늘은 안전한 보안 환경을 조성할 수 있는 제로 트러스트 기반의 웹 브라우저 보안에 관한 이야기를 나눠보고자 합니다.
지금부터 함께 알아보시죠!

제로 트러스트란?
ZERO-TRUST: 절대 신뢰하지 말고 항상 검증하라(Don’t Trust, Always Verify)! 제로 트러스트는 IT 시스템 접근에 있어 모든 사용자와 디바이스를 신뢰하지 않고 지속적으로 검증을 요구하는 보안 방식입니다. 제로 트러스트 보안 모델은 내부 네트워크와 외부 네트워크 간의 경계가 사라지는 IT 환경 속에서 위협은 내부에서도 발생할 수 있다는 인식에서 출발합니다. 제로 트러스트 기반의 보안 시스템에서는 사용자와 기기는 모든 인증을 통과하여 권한을 획득하며, 시스템에 접속한 이후에도 IT 시스템 내부의 여러 시스템의 인증을 통과해야 내부 데이터에 접근이 가능합니다.
기존 영역 보안 방식의 문제점
기존의 경계 기반 보안 모델은 경계(Perimeter)를 기준으로 한 번 인증된 사용자나 기기의 경우 이후의 트래픽에 대해서는 추가적인 인증 없이 접근 허가 자격을 부여합니다. 그 결과 VPN 또는 방화벽 등을 통과한 사용자나 기기는 특정 ‘안전 영역’으로 진입할 수 있습니다. 이 과정에서 시스템에 한번 진입한 사용자 또는 기기는 시스템의 모든 데이터에 자유롭게 접근이 가능하기 때문에 내부자 권한 탈취를 통한 정보 유출 사례가 빈번하게 발생했습니다. 또한 코로나19와 디지털 혁신에 따른 근무환경의 변화로 인해 IT 시스템에 접근할 수 있는 방법들이 다양해짐으로써 더 이상 전통적인 접근 제어의 방식만으로는 안전한 보안 환경을 구현할 수 없게 되었습니다. 반면 제로 트러스트 기반의 보안 방식은 ‘신뢰’라는 개념이 없기 때문에 네트워크 경계와 관계없이 기존 또는 새로운 사용자와 기기에게 지속적인 인증을 통해 데이터 접근 권한을 부여함으로써 데이터에 대한 보안을 한층 더 강화할 수 있는 방식입니다.
제로 트러스트 보안의 필요성
기업 내 시스템에 접근하려는 모든 사용자 및 기기를 감시하는 것은 현실적으로 불가능하며 기업 시스템에 접속하는 방식이 다양해짐에 따라 더 이상 보안 위협은 외부에만 존재하지 않습니다. 제로 트러스트 보안 방식을 적용하게 되면 모든 사용자와 기기가 모두 ‘비신뢰’ 상태로 여겨지기 때문에 시스템 내부의 데이터에 접근하려고 할 때 철저한 인증을 통해 사용 권한이 부여되며, 사용 권한에 있어서도 최소한의 영역에만 접근이 허용하게 되어 불필요한 데이터 접근을 방지합니다. 이전의 보안 시스템이 외부의 위협만 방어하는 방식으로 상대적으로 내부의 위협에 허술했다면 제로 트러스트 보안 모델은 외부의 접근과 내부의 접근을 동등하게 취급한다는 점에서 다양해진 근무 환경과 위협으로부터 안전한 보안 환경 조성할 수 있습니다.
웹 브라우저에서의 데이터 보안 현황
웹 브라우저는 사용자와 시스템 간의 지속적인 요청(request)-응답(response) 과정을 통해 서버에서 제공하는 다양한 데이터에 접근하도록 되어 있습니다. 이 과정에서 웹 브라우저는 기존의 경계 보안 측면에서 보자면 ‘안전 영역’으로 여겨졌으며 한번 인증을 통과한 사용자나 기기는 그 이후에 별도의 인증 과정 없이도 브라우저 내부의 데이터에 접근하고 열람할 수 있는 ‘신뢰’의 영역이었습니다. 이러한 전통적인 영역보안 방식은 개발 및 유지 보수가 용이하기는 하지만 동시에 많은 보안 위협에 노출됩니다. 반면 제로 트러스트 보안에서는 웹 브라우저 내부에서도 지속적인 인증을 통과한 이후에만 데이터 접근이 가능하기 때문에 웹 브라우저 보안을 위해 제로 트러스트 환경을 구축하는 것이 최근 이슈화 되고 있습니다.
영역 보안 환경에서 웹 브라우저 내부의 데이터는 왜 보안에 취약할까요?
영역보안 환경에서의 웹 브라우저 내부의 데이터 보안에 취약한 이유는 다음과 같습니다.
웹 브라우저로 전송되는 데이터는 주로 SSL/TLS 암호화 등 강력한 채널보안 조치가 이루어짐
SSL/TLS와는 별도로 man-in-the-middle 공격에 대비하여 추가적으로 AES 기반 암호화 조치가 적용
그러나 암호화된 데이터가 웹 브라우저에 전달된 이후에는 사용자에게 보여지기 직전에 복호화되어 DOM영역에서 평문으로 존재하게 됨
- 웹 브라우저 내부에서 평문으로 존재하는 데이터는 다양한 데이터 탈취 공격에 취약함
- 이는 여전히 웹 브라우저 내부를 ‘안전영역’으로 신뢰하여 완전한 제로 트러스트가 실현되지 않고 있음을 의미함
웹 브라우저 내부에서 평문 형태의 DOM이 노출된다는 점은 다음과 같은 취약점이 있습니다.
- 1.
DOM 구조 노출 : 공격자는 개발자 도구를 통해 DOM 구조 분석 가능
- 2.
평문 데이터 노출 : 공격자는 개발자 도구를 통해 DOM 영역에 평문으로 존재하는 데이터 접근 가능. 1번을 통해 DOM 구조가 노출되면 자동화된 프로그램을 통해 평문 데이터 자동 추출 가능
- 3.
DOM 조작 가능 : 공격자는 DOM을 조작하여 악성악성 코드 삽입 및 실행, 웹 사이트 위/변조 가능
이러한 사유로 데이터가 전달된 이후의 웹 브라우저 내부의 데이터 보안이 중요합니다.
웹 브라우저에서의 제로 트러스트 실현
웹 브라우저에서의 진정한 제로 트러스트 실현을 위해서는 데이터가 웹 브라우저로 전달된 이후의 보안을 어떻게 처리할 것인지가 중요합니다. 이를 위해서는 다음과 같은 보안 요구 사항이 만족되는 보안 기술이 필요합니다.
- 1.
개발자 도구 접근 제어 : 공격자는 웹 브라우저에서 제공하는 개발자 도구 실행할 수 없어야 합니다. 또한 이 기능은 브라우저 및 OS 종류에 상관없이 모두 적용될 수 있어야 합니다.
- 2.
DOM 영역에서의 데이터 보안 : 암호화를 통해 전달된 데이터는 웹 브라우저 내에서도 지속적으로 보호되어야 하며, 원본 데이터는 추출이 불가해야 합니다.
- 3.
실행 코드 분석 방지 : 개발자 도구 접근을 우회하는 공격에 대한 대비책으로 웹 브라우저 내부에서 데이터 처리를 위한 javascript 프로그램의 동적/정적 역분석을 방지하기 위한 소스코드 분석 방지 기능이 적용되어야 합니다.
Web-X DRM을 통한 웹 브라우저 제로 트러스트 실현
웹 브라우저에서 WEB-X DRM 적용을 통해 제로 트러스트 보안을 실현할 수 있습니다.
- 1.
개발자 도구 접근 제어 : Web-X DRM은 HTML5 기반의 모든 브라우저 및 OS의 종류에 무관하게 별도의 추가적인 클라이언트 설치 없이 개발자 도구에 대한 접근을 차단합니다. 이를 통해 모든 사용자 환경에서 개발자 도구 실행 및 디버깅을 방지하며 DOM 접근을 방지합니다.
- 2.
DOM 영역에서의 데이터 보안 : Web-X DRM은 DOM 영역에서도 데이터가 암호화 및 난독화되어 지속적인 데이터 보안이 가능하기 때문에, 임의로 추출된 DOM 데이터는 해석이 불가능합니다.
- 3.
실행코드 분석 방지 :Web-X DRM은 클라이언트 프로그램에 대한 강력한 역분석 방지 기능이 포함되어 있어 프로그램 분석을 통한 데이터 역 생성을 방지하고 있습니다.
오늘은 이렇게 외부와 내부에서의 다양한 보안 위협으로부터 소중한 데이터를 안전하게 보호하고, 안전한 웹 환경을 조성할 수 있는 제로 트러스트 기반 웹 브라우저 보안에 대해서 알아보았습니다. Web-X DRM을 통해 지속적인 웹 보안을 시작해 보세요!