브라우저 보안 결함 해소를 위한 고려 사항, 2부: 선택

요약

이 블로그는 CISO의 중요한 결정에 대해 논의합니다. 바로 고회피성 적응형 위협(HEAT)으로부터 브라우저 보안 결함을 보호하기 위한 방안으로 엔드포인트 솔루션과 클라우드 솔루션 중 하나를 선택하는 것입니다. 강제 교체 브라우저와 같은 엔드포인트 전략은 보안을 표준화할 수 있지만, 상당한 절충이 필요합니다. 브라우저 선택을 제한하면 사용자 지정 애플리케이션의 호환성 문제가 발생할 수 있고, 보안 강화를 위해 JIT/Wasm을 비활성화하는 등의 경우 연산 집약적인 작업의 성능이 저하됩니다. 대체 브라우저 또한 사용자 생산성과 만족도에 영향을 미칩니다. 따라서 여기에서는 모든 브라우저를 보호하면서도 애플리케이션 호환성과 성능, 사용자 선호도를 유지하는 클라우드 기반 브라우저 보안의 대안적 접근 방식을 제시합니다. 조직은 아키텍처를 결정하기 전에 선택한 브라우저가 가져올 영향과 결과를 충분히 검토해야 합니다.

—--

2025년 10월 16일에 게시된 이 시리즈의 첫 번째 블로그 게시물에서는 EPP와 네트워크 보안 도구 사이에 존재하며 HEAT 공격에 의해 악용될 수 있는 브라우저 보안 결함을 다루었습니다. 그리고 브라우저 보안 결함을 해소하기 위해 중요한 보안 아키텍처 결정을 내려야 한다는 점을 설명했습니다. 해당 내용을 다시금 살펴보자면, 브라우저 보안 아키텍처의 기본적인 선택지는 다음과 같습니다.

1. 엔드포인트 기반

2. 클라우드 기반

엔드포인트 기반 브라우저 보안 은 Palo Alto Prisma Browser, Surf, Island 등의 대체 브라우저를 중심으로 이루어집니다. 이러한 브라우저는 모든 기존 브라우저를 단일한 Chromium 기반 브라우저로 교체하여 메인스트림 브라우저보다 더 강화된 공격 표면을 제공합니다. 그러나 이미 확인한 바와 같이, 이러한 방식도 제로데이 공격을 비롯해 악용 가능한 결함을 남깁니다.

또한 대체 브라우저를 도입할 경우 조직은 여러 브라우저를 병행하여 배포하거나 유지할 수 없게 됩니다. 이 경우 발생할 수 있는 문제는 아래에서 살펴보겠습니다.

브라우저 선택은 중요한가요?

그렇습니다. 매우 중요합니다. 그 이유를 살펴보겠습니다.

전 세계의 CISO들은 대부분 여러 브라우저를 지원한다고 말합니다.  Menlo Cloud는 전 세계 1000개 이상의 고객사와 800만 명의 사용자에게 브라우저 보안을 제공하며, 실제로 대규모 고객들이 Microsoft Edge, Firefox, Safari, 7가지 버전의 Chrome, IE-11 등을 다양한 조합으로 사용하는 것을 목격하고 있습니다.

그 이유는 무엇일까요? 비즈니스상의 필요성과 현실적 여건으로 인해 두 개 이상의 브라우저를 지원할 수밖에 없기 때문입니다. 

브라우저 선택

조직의 브라우저 선택

대체 브라우저를 선택하면 조직의 브라우저 선택권이 사라지며, 이는 심각한 여파를 초래할 수 있습니다.

먼저 애플리케이션 호환성을 고려해야 합니다. 브라우저 표준화를 강행할 때 예상되는 명백한 위험은, 현재 사용 중인 중요한 애플리케이션이 특정 브라우저에서만 작동할 수도 있다는 점입니다. 특정 애플리케이션이 지원되지 않는 브라우저에서 작동하더라도, 대응 방안을 마련하지 않은 채 다음 버전에서 문제가 발생할 수 있는 위험을 감수하는 것은 대부분 IT 조직의 운영 원칙에 위배됩니다.

간과하기 쉬운 위험은, 대체 브라우저가 브라우저 공격 표면을 강화한다는 명목으로 현재 사용 중인 애플리케이션의 중요 기능을 차단할 수 있다는 점입니다. IT 보안 및 엔드포인트 팀은 일반적으로 새 브라우저를 도입할 때 광범위한 호환성 테스트와 검토를 수행하지만, 간혹 놓치는 부분이 발생합니다. 최근 목격된 사례로, 한 회사가 대체 브라우저를 선택했으나 그 브라우저가 주요 고객 지원 워크플로의 일부인 데스크톱 애플리케이션의 전화 통신 구성 요소를 차단할 것이라는 점을 미처 예상하지 못해 문제가 발생했습니다. 

어떻게 이런 일이 발생할까요? Island 대체 브라우저는 Chromium의 적시 대응(JIT) 컴파일러와 WebAssembly(Wasm)를 비활성화합니다. 이러한 방식으로 보안을 강화할 경우 주로 발생하는 부작용으로 두 가지를 들 수 있습니다.

1. JavaScript 성능 저하는, 자주 실행되는 JavaScript 코드를 모니터링하여 고도로 최적화된 네이티브 머신 코드로 컴파일하는 JIT 컴파일러의 최적화 기능을 활용하지 못하기 때문에 발생합니다. JIT가 없으면 JavaScript 엔진은 인터프리터(또는 덜 최적화된 기본 컴파일러)에 전적으로 의존해야 합니다. 이로 인해 복잡하며 연산 집약적인 JavaScript에 의존하는 애플리케이션(예: 브라우저 내 동영상 편집기, 고급 분석 대시보드, CAD 도구, 대화형 3D 시각화)의 실행 속도가 훨씬 느려지며, 심하면 사용할 수 없게 되거나 브라우저가 멈출 수도 있습니다.
   
   
2. Wasm 비활성화로 인한 애플리케이션 오류. Wasm의 핵심 용도는 현대 웹 애플리케이션에서 가장 연산 집약적인 작업을 처리하는 것입니다. 그렇다면 이 선택은 어떤 영향을 미칠까요? Wasm을 비활성화하면 이에 의존하는 모든 애플리케이션이나 기능이 작동을 멈춥니다. 일부 최신 오피스 제품군, 그래픽 도구(예: Figma), 복잡한 시뮬레이션/모델링 소프트웨어 등 많은 대규모 전문 서비스형 소프트웨어(SaaS) 플랫폼이 핵심 처리 로직에 Wasm을 사용합니다. 만약 기업 애플리케이션에 Wasm이 필요하다면, 애플리케이션의 최신 기능을 로드하지 못하게 되거나 아예 기능이 작동하지 않게 될 수도 있습니다.

조직은 Island가 주장하는 '미미한 성능 향상'이라는 주장을 경계해야 합니다. Island는 '기본적인 웹 브라우징은 문제 없이 작동하며, 어쩌면 더 나을 수도 있습니다. 분명 만족하실 겁니다'라고 말할 것입니다. 나중에, 위에서 언급한 연산 집약적 고가치 비즈니스 애플리케이션이 모든 곳에서 모든 사용자의 생산성을 저해하거나 아예 작동하지 않을 경우, 그들은 '죄송합니다, 보안을 위해서는 감수해야 합니다'라고 말할 것입니다. 

둘째, 대체 브라우저를 채택하는 조직은 사용자에게 제한된 도구 세트를 제공하여 불편을 초래할 위험이 있습니다.  Microsoft와 Google은 Edge와 Chrome에 새로운 생산성 및 보안 기능을 정기적으로 추가하고 있으며, 이러한 혁신은 종종 Chromium이나 Chromium 프로젝트 기반의 대체 브라우저에서는 지연되거나 제공되지 않습니다.  미래를 예측할 수 없기 때문에 대체 브라우저를 채택하는 조직은 주요 브라우저들이 Google Workspace 및 Microsoft Office 365와 같은 다른 생산성 도구와 통합되고, 점점 더 새로운 GenAI 기술과 통합됨에 따라 뒤처질 위험이 있습니다. 브라우저 기반 협업을 가능하게 하는 Microsoft Edge Workspaces와 같은 기능은 Chromium에서는 사용할 수 없으므로 대체 브라우저에서는 유사한 기능을 제공할 수 없습니다. 

결국 대체 브라우저 공급업체는 브라우저 보안 결함을 해소하려는 기본 임무와 주요 브라우저의 최신 기능을 지원하는 지속적 개발 사이에서 선택해야 합니다. 그리고 거대 브라우저 기업에 비해 개발 리소스가 턱없이 부족하기 때문에 고객은 혁신을 보안과 맞바꾸는 큰 위험을 감수해야만 하지만, 결국 둘 다 얻지 못하게 됩니다.

계획되지 않은 선택은 더 위험할 수 있습니다.

방금 고객과의 통화를 마쳤습니다. 고객은 IE-11을 사용하고 있습니다. 이유를 물었더니, IE-11이 필요한 사용자 지정 앱이 몇 개 있다는 답변을 받았습니다. 이전의 다른 고객 통화에서는 Chrome에 대해 이야기했는데, 고객이 "새 애플리케이션에 Chrome이 필요합니다. 왜 필요한지는 모르겠지만, 그렇습니다"라고 말했습니다. 대체 브라우저는 IE-11이 될 수 없습니다. 일부의 경우 사용자-에이전트 필드를 변경하는 방법이 작동할 수도 있지만, 매우 오래된 브라우저용으로 설계된 애플리케이션에는 효과가 없습니다. 

비즈니스 요구 사항이 대체 브라우저를 일괄적으로 배포해야 한다는 방침보다 중요하다면, 대체 브라우저가 모든 것을 포괄하지 못함에 따라 전반적인 보안 결함이 발생합니다. 설상가상으로, 사용자 지정 앱에 액세스하는 계약자 등 비관리형 엔드포인트가 앱을 감염시킬 수 있습니다. 또한 비관리형 엔드포인트의 권한을 보유한 공격자가 사용자 지정 앱에서 데이터를 탈취할 수 있습니다.

거의 모든 브라우저를 지원하는 Menlo Cloud를 통한 클라우드 기반 브라우저 보안은 이러한 문제의 명확한 해답입니다. 그 증거로, 위에서 언급한 고객은 IE-11을 사용하면서 Menlo Cloud를 통해 보안을 유지하고 있습니다.

사용자 선택

다시 한번, 여기서는 대체 브라우저에 초점을 맞추겠습니다. 사용자의 브라우저 선택권이 사라지면 생산성이 저하되고, 잠재적으로 IT 부서에 대한 반감을 불러일으킬 수 있습니다. 이제 반론 하나를 짚고 넘어가겠습니다. 사용자는 직장에서 항상 무언가를 사용하도록 강요받습니다. Mac이 아닌 PC를 사용해야 하고, VPN과 조직이 사용하는 하나 이상의 SaaS, 데스크톱 앱 등을 사용해야 합니다. 하지만... 브라우저에는 모든 기기에서 사용된다는 점, 개인용 및 업무용 UI라는 점, 인터넷의 관문이라는 점 등 브라우저를 특별하게 만드는 무언가가 있습니다.

물론 조직의 선택이 사용자의 선택에 우선할 수 있으며 또 그래야 한다는 것을 알고 있습니다. 그러나 조직 차원의 특별한 결정이 없는 한, 보안팀의 모든 구성원은 사용자의 만족도와 생산성을 유지하는 것을 염두에 두어야 합니다.

마무리하기

검토가 필요한 브라우저 보안 결함을 해소하기 위한 여러 고려 사항 중에서, 조직과 사용자의 선택이 각각 어떤 파급 효과를 가져오는지, 그리고 이 문제를 어떻게 해결해야 하는지 살펴보았습니다. 가장 이상적인 것은 아키텍처 결정을 내리기 전에 이러한 파급 효과를 먼저 다루는 것입니다. 조직 및 사용자의 브라우저 선택과 관련된 과제에 대한 이 논의가 도움이 되었기를 바랍니다.

‍