SHIELD Gate 핵심 기술

1. Remote Browser Isolation (RBI)

개요

RBI는 모든 웹 콘텐츠를 격리된 서버에서 실행하여 사용자 기기를 보호하는 기술입니다. 웹사이트의 악성 코드나 스크립트가 사용자 PC에 닿지 않도록 완전히 차단합니다.

동작 원리

전통적인 웹 브라우징

사용자가 URL 입력
브라우저가 직접 웹사이트 접속
HTML, JavaScript, 이미지 등을 로컬로 다운로드
로컬 브라우저에서 실행
└─ 위험: 악성 스크립트, 악성코드가 로컬에서 실행

SHIELD Gate RBI 방식

1. 사용자가 URL 입력
2. 격리 서버가 웹사이트 접속
3. 격리 서버에서 모든 콘텐츠 실행
4. 렌더링된 화면만 사용자에게 스트리밍
└─ 안전: 악성 코드가 사용자 PC에 도달하지 않음
└─ 보안: 세션별 독립 환경으로 흔적 없이 완전 삭제

격리되는 요소

웹 콘텐츠

HTML, CSS 파싱 및 렌더링
JavaScript 실행
플러그인, ActiveX 동작
웹 폰트, 이미지 로딩

네트워크

모든 HTTP/HTTPS 요청
DNS 쿼리
WebSocket 연결
AJAX 통신

데이터 저장

쿠키 (Cookie)
세션 스토리지 (Session Storage)
로컬 스토리지 (Local Storage)
IndexedDB

사용자 입력

키보드 이벤트
마우스 이벤트
터치 이벤트
파일 업로드

격리 정책 설정

관리자는 웹사이트별로 격리 수준을 조정할 수 있습니다.

완전 격리 모드

대상: 알 수 없는 사이트, 위험 사이트
제한: 모든 입출력 차단
- 다운로드 차단
- 업로드 차단
- 복사·붙여넣기 차단
- 키보드 입력 차단
- 인쇄 차단

부분 격리 모드

대상: 일반 업무 사이트
제한: 위험 기능만 차단
- 다운로드 → CDR 처리 후 허용
- 업로드 → 검사 후 허용
- 복사 → 내부→외부만 허용
- 키보드 입력 → 허용
- 인쇄 → 워터마크 추가

격리 제외 모드

대상: 신뢰하는 사내 시스템
제한: 없음
- 모든 기능 허용
- 직접 접속과 동일

사용자 행위 제어

행위	제어 옵션	적용 예시
다운로드	허용 / CDR 적용 / 차단	일반 사이트: CDR 적용 위험 사이트: 차단
업로드	허용 / 검사 후 허용 / 차단	신뢰 사이트: 허용 외부 사이트: 검사 후 허용
복사	양방향 / 내→외 / 외→내 / 차단	업무 시스템: 양방향 개인 이메일: 내→외만
붙여넣기	양방향 / 내→외 / 외→내 / 차단	생성형 AI: 패턴 검사 SNS: 차단
인쇄	허용 / 워터마크 / 차단	일반 문서: 워터마크 기밀 문서: 차단

2. Zero Trust Conditional Access (ZTCA)

개요

ZTCA는 "절대 신뢰하지 말고, 항상 검증하라"는 제로트러스트 원칙을 구현한 기술입니다. 모든 접근 시도를 검증하고, 상황에 맞는 최소 권한만 부여합니다.

제로트러스트 vs 전통적 보안

전통적 보안 모델 (경계 기반)

외부 (위험) ←┤ 방화벽 ├→ 내부 (신뢰)
              
문제점:
- 내부망 진입 후엔 자유롭게 이동
- VPN 연결 = 내부 사용자로 신뢰
- 측면 이동 공격에 취약

제로트러스트 모델

모든 요청 → 검증 → 최소 권한 부여

특징:
- 네트워크 위치와 무관하게 항상 검증
- 리소스별 독립적 인증
- 동적 권한 조정

5가지 조건 요소

1. Who - 사용자 (Identity)

사용자 속성

사용자 ID
소속 부서
직급, 역할
고용 형태 (정규직, 계약직, 협력사)

예시

일반 직원: 업무 시스템 접근
프로젝트 A 멤버: 프로젝트 A 폴더 접근
관리자: 관리 시스템 접근

2. Where - 위치 (Location)

IP 주소 기반

특정 IP 주소
IP 대역 (CIDR)
국가, 지역

예시

사내 IP: 모든 기능 허용
재택 IP: 제한된 기능 + MFA
해외 IP: 차단 또는 관리자 승인

3. When - 시간 (Time)

시간대 및 기간

특정 시간 (09:00-18:00)
요일 (평일, 주말)
공휴일

예시

평일 09-18시: 정상 접근
평일 야간: 조회만 허용
주말: 관리자만 허용

4. What - 디바이스 (Device)

디바이스 유형

PC, 노트북
스마트폰, 태블릿

예시

회사 PC: 전체 접근
스마트폰: 제한 접근

5. Which - 대상 (Resource)

애플리케이션

내부 업무 시스템
SaaS 앱
웹사이트

데이터 민감도

공개 (Public)
내부용 (Internal)
대외비 (Confidential)
기밀 (Secret)

예시

일반 문서: 다운로드 허용
대외비 문서: 조회만 가능
기밀 문서: 특정 사용자만 + 워터마크

3. 파일 보안

개요

SHIELD Gate는 파일 업로드·다운로드 과정에서 다층 보안 검사를 수행하여 악성코드 감염과 정보 유출을 방지합니다.

업로드 보안

처리 흐름

1. 파일 선택
   ↓
2. 악성코드 검사
   - 실시간 바이러스 스캔
   - 멀티 엔진 검사
   ↓
3. 확장자 검증
   - 허용/차단 리스트 확인
   - MIME 타입 검증
   ↓
4. 민감정보 탐지
   - 주민번호, 계좌번호 등
   - 정규표현식 패턴 매칭
   ↓
5. 암호화 저장
   - AES-256 암호화
   - 키 관리

4. 통합 인증 (SSO)

SHIELD Gate: 간편한 SSO 연동

Microsoft 365, Google Workspace, Kintone, Box 등
→ SAML SSO 지원으로 별도 로그인 없이 자동 인증
└─ 효과: 사용자 편의성 향상, ID/PW 관리 부담 감소

지원 서비스

Microsoft 365 (Outlook, Teams, OneDrive, SharePoint 등)
Google Workspace
Kintone, Box 등 다양한 SaaS 서비스

SSO 연동 장점

별도 로그인 절차 불필요
중앙집중식 계정 관리
보안 정책 통합 적용
사용자 편의성 극대화

검사 항목

악성코드 검사

바이러스, 트로이목마
랜섬웨어, 스파이웨어
매크로, 스크립트
제로데이 위협

확장자 검증

실행 파일 (.exe, .msi, .bat)
스크립트 (.vbs, .ps1, .sh)
압축 파일 (.zip, .7z, .rar)
문서 파일 (.doc, .pdf, .hwp)

민감정보 탐지

주민등록번호 (000000-0000000)
계좌번호, 카드번호
여권번호, 운전면허번호
사용자 정의 패턴

다운로드 보안

CDR (Content Disarm and Reconstruction)

CDR은 파일을 완전히 해체하여 악성 요소를 제거하고, 안전한 구조로 재조립하는 기술입니다.

처리 과정

1. 원본 파일
   ↓
2. 파일 구조 분해
   - 문서 파싱
   - 메타데이터 추출
   - 임베디드 객체 분리
   ↓
3. 위험 요소 제거
   - 매크로 삭제
   - JavaScript 제거
   - 외부 링크 제거
   - 실행 가능 코드 제거
   ↓
4. 안전한 파일 재구성
   - 내용 유지
   - 서식 유지
   - 이미지 유지
   ↓
5. 무해화된 파일

다운로드 경로 제어

사용자는 파일을 다운로드할 때 저장 위치를 선택할 수 있습니다.

저장 위치	설명	보안 수준
사용자 PC	로컬 다운로드 폴더	CDR 적용
SHIELD Drive	암호화 저장소	암호화 + 접근 제어
SHIELD Viewer	뷰어 전용 보기	다운로드 불가, 읽기 전용

4. 원격 접속

개요

SHIELD Gate는 VPN을 대체하는 원격 접속 기능과 개인 데스크톱 접속, 서버 콘솔 관리 기능을 제공합니다.

개인 데스크톱 원격 접속

동작 방식

등록

사용자가 개인 PC에 연결 에이전트 설치
SHIELD Gate 플랫폼에 PC 등록
접근 권한 설정

접속

웹 브라우저에서 SHIELD Gate 접속
등록된 PC 목록 확인
PC 선택 후 원격 제어 시작

주요 기능

Wake on LAN

종료된 PC를 원격으로 전원 켜기
스케줄 기반 자동 전원 관리

조건부 접속

시간대별 접속 제어
위치 기반 접속 제어
승인 기반 임시 접속

세션 관리

실시간 모니터링
강제 종료

웹 서버 원격 콘솔

SSH 터미널

웹 기반 SSH

브라우저에서 직접 SSH 접속
별도 SSH 클라이언트 불필요

파일 전송

드래그 앤 드롭 업로드
다운로드 버튼 클릭
진행률 표시

VNC/telnet 지원

VNC (Virtual Network Computing)

리눅스/유닉스 GUI 원격 제어
웹 브라우저 기반 접속

telnet

Windows 서버 원격 제어
웹 브라우저 기반 접속

5. SaaS 통합 지원

Microsoft 365

완벽 호환

Teams 화상회의 (음성, 영상, 화면 공유)
Office 웹 앱 (Word, Excel, PowerPoint)
Outlook 웹메일
OneDrive, SharePoint

URL 단위 제어

company.sharepoint.com → 허용
*.onedrive.com → 개인 계정 차단
teams.microsoft.com → 화상회의 허용

SSO 통합

Azure AD 연동
자동 로그인
세션 동기화

1. Remote Browser Isolation (RBI)​

개요​

동작 원리​

전통적인 웹 브라우징​

SHIELD Gate RBI 방식​

격리되는 요소​

격리 정책 설정​

완전 격리 모드​

부분 격리 모드​

격리 제외 모드​

사용자 행위 제어​

2. Zero Trust Conditional Access (ZTCA)​

개요​

제로트러스트 vs 전통적 보안​

전통적 보안 모델 (경계 기반)​

제로트러스트 모델​

5가지 조건 요소​

1. Who - 사용자 (Identity)​

2. Where - 위치 (Location)​

3. When - 시간 (Time)​

4. What - 디바이스 (Device)​

5. Which - 대상 (Resource)​

3. 파일 보안​

개요​

업로드 보안​

처리 흐름​

4. 통합 인증 (SSO)​

검사 항목​

다운로드 보안​

CDR (Content Disarm and Reconstruction)​

다운로드 경로 제어​

4. 원격 접속​

개요​

개인 데스크톱 원격 접속​

동작 방식​

주요 기능​

웹 서버 원격 콘솔​

SSH 터미널​

VNC/telnet 지원​

5. SaaS 통합 지원​

Microsoft 365​