[잇츠맨 리뷰] 기업 보안의 사각지대 브라우저의 보안 전략

가장 흥미로웠던 잇츠맨 웨비나를 심도있게 리뷰합니다.

2025. 7. 24.

웹에서 보기

잇츠맨 웨비나

👉 수요레터 구독하기

기업 보안의 사각지대

브라우저의 보안 전략

우리가 매일 일하는 방식을 한번 생각해 볼까요? 아침에 출근해서 메일을 쓰고, 슬랙으로 협의하고, zoom 으로 온라인 회의를 진행하고, 검색을 하고, 구글 드라이브로 자료를 공유합니다. 별도의 앱을 사용하기도 하지만 생각해보면 대부분의 업무들이 브라우저를 통해서 하는 경우가 훨씬 많고 또 편리하기도 합니다. 특히나 최근엔 ChatGPT와 같은 AI 서비스마저도 웹을 통해 사용하기 시작하면서 브라우저가 정말 우리 일상의 핵심 워크플레이스가 되어가고 있다는 게 느껴집니다.

이렇게 브라우저가 우리 업무의 핵심으로 자리잡는 동안 문제점도 드러나고 있습니다. 브라우저가 가장 취약한 보안의 통로가 되고 있다는 사실이죠. 보안 공격의 85%가 브라우저를 통해 시작된다는 데이터는 브라우저가 보안에 얼마나 취약한지를 보여주는 중요한 지표이기도 합니다.

그렇다면 기업의 보안 담당자들은 브라우저 보안에 대해 어떤 전략을 세워나가야 할까요?

지난 7월 8일, 팔로알토 네트웍스와 아이티센 PNS가 함께한 잇츠맨 웨비나에서 기업 보안의 사각지대인 브라우저 보안에 대한 흥미로운 이야기를 나눴습니다. 팔로알토 네트웍스 변진영 프로와 함께 브라우저 보안의 중요성과 엔터프라이즈 브라우저의 핵심적인 특징들을 살펴 봤는데요. 실제 라이브 데모를 통해 PAB (Prasma Access Browser)의 주요 기능들도 꼼꼼하게 체크해 봤습니다. 엔터프라이즈 브라우저에 대한 잇츠맨 리뷰, 지금부터 시작해 보겠습니다.

왜 엔터프라이즈 브라우저가 중요한가?

“메일도, 클라우드도, 협업툴도, 심지어 AI 도구도 모두 브라우저에서 열립니다. 그런데 정작 우리는 그 안에서 무슨 일이 벌어지는지 보지 못하고 있습니다.”

팔로알토 네트웍스의 변진영 프로는 브라우저가 지금 가장 위험한 접점이 되었다고 말합니다. 하루 업무의 85% 이상이 브라우저에서 이뤄지고 있지만, 그만큼의 보안 통제는 따라오지 못하고 있기 때문인데요. 해마다 300건 이상 보고되는 브라우저 취약점은 이 상황을 더욱 심각하게 만들고 있습니다. 특히 최근에는 ChatGPT와 같은 생성형 AI의 활용이 폭발적으로 늘면서, 프롬프트에 입력되는 민감한 데이터, 업무 정보, 고객 자료들이 어디로 흘러가고 있는지 파악조차 어려운 상황이 되고 있죠.

여기에 더해 Unmanaged Device의 관리 문제도 있습니다. 회사가 발급한 노트북(Managed Device)이 아닌 외부 디바이스에서의 접속이나 프리랜서나 외주 파트너의 작업 환경은 기업 내부망의 통제를 받지 않기 때문에, 랜섬웨어와 같은 위협의 진입로가 되기 쉬운 구조입니다. 하지만 협업은 계속되어야 하죠. 모든 접근을 차단할 수도 없는 상황에서, 이제는 “허용하되 통제하는” 전략이 필요한 시점입니다.

이런 배경에서 주목받는 것이 바로 엔터프라이즈 브라우저입니다. 가트너도 브라우저의 중요성에 주목하고 있습니다. 가트너는 브라우저의 진화 과정을 3단계로 구분했습니다.

Phase 1: 보안 기능이 추가된 브라우저
Phase 2: 브라우저가 단순한 뷰어를 넘어 다양한 기능을 실행
Phase 3: 브라우저가 곧 플랫폼이 되는 시대

실제로 현재 PC 환경에서 크롬의 점유율은 66%, 모바일까지 포함하면 90%에 육박합니다. 이처럼 브라우저가 이미 사실상 업무의 플랫폼이 되어가고 있는 상황에서 이제는 더 이상 브라우저를 ‘단순한 웹 도구’로 볼 수 없을 것 같습니다. 보안의 최전선이 바뀌고 있습니다. 그 경계선에서 선택할 수 있는 새로운 대안이 바로 Prisma Access Browser(PAB)라고 팔로알토 네트웍스의 변진영 프로는 말합니다.

PAB (Prisma Access Browser)의 특징

먼저 PAB의 특징들에 대해서 간단히 살펴볼까요?

PAB는 생김새부터 친숙합니다. 크롬을 기반으로 설계된 브라우저이기 때문에, 사용자 입장에서 느끼는 차이는 거의 없습니다. 실제로 크롬형 브라우저의 시장 점유율은 90%를 넘고 있고, PAB는 바로 그 크롬과 동일한 코어를 사용하는 솔루션이기 때문에 기존 크롬 사용자라면 별도의 학습 없이도 PAB를 설치한 직후 곧바로 사용할 수 있습니다. 어드민 권한 없이도 설치가 가능하고, 개인 업무는 기존 크롬으로, 업무용 접속은 PAB로 나눠서 쓸 수 있어 도입 장벽도 낮습니다.

하지만 진짜 차별점은 눈에 보이지 않는 곳에 있습니다. PAB는 기업이 설정한 보안 정책을 브라우저 안에 자연스럽게 녹여냅니다. 사용자는 기존과 똑같이 웹사이트에 접속하고, SaaS 툴을 사용하지만, 그 모든 행위에 대한 통제와 가시성은 기업 보안팀의 손 안에 들어오게 되는 것이죠. 예를 들어 어떤 사용자가 어떤 웹서비스에 접속했고, 어떤 데이터를 업로드하거나 다운로드했는지, 심지어 AI 프롬프트에 어떤 문장을 입력했는지도 관리자가 확인할 수 있습니다. 바로 이런 이유 때문에 PAB는 단순한 보안 브라우저를 넘어, 기업 보안의 ‘라스트 마일’을 책임지는 솔루션으로 주목받고 있는 겁니다.

“단순히 ‘크롬처럼 생긴 브라우저’가 아닙니다. 기존의 사용성은 그대로 유지하면서도, 그 안에 보안 정책과 통제력을 덧입힌 것이 바로 PAB의 본질입니다”

라고 변진영 프로는 얘기합니다.

브라우저 보안의 여러가지 방식들

브라우저 보안과 관련된 여러 방식들에 대해 간단히 살펴보는 것도 도움이 될 것 같습니다. VDI, RBI, SWG, SASE… 다 같은 거 아니냐는 질문, 보안 담당자라면 한 번쯤 들어보셨을 겁니다. 이름은 비슷하지만, 실제로는 구조도 성격도 모두 다릅니다.

VDI : 별도의 운영체제를 원격으로 띄우는 방식입니다. 클라우드나 온프레미스 환경에 또 하나의 윈도우 환경을 만들고, 로컬 PC에서 접속해 사용하는 구조죠.
RBI : 브라우저 자체를 원격에 두고, 사용자는 그 화면만 영상처럼 스트리밍해 받는 방식입니다.
엔터프라이즈 브라우저 : 브라우저는 로컬에 설치되고, 정책은 중앙에서 통제되는 구조입니다. PAB처럼 로컬에서 브라우저가 직접 실행되기 때문에 빠르고, SASE나 프록시와의 연동도 유연하게 이뤄질 수 있습니다. 단독으로도 작동하고, 보안 인프라와도 자연스럽게 연결됩니다.

엔터프라이즈 브라우저는 VDI나 RBI, SWG의 한계를 넘어서는 대안입니다. 느리지 않고, 제한되지 않고, 무엇보다 사용자가 익숙하게 쓸 수 있는 환경 속에서 보안을 실현할 수 있는 구조 때문이죠. 복잡한 설정과 별도 인프라 없이도 브라우저 자체만으로 보안을 가능하게 한다는 점에서, 이제는 이 새로운 방식이 기업 보안의 실질적인 해답으로 떠오르고 있다고 볼 수 있을 것 같네요.

PAB(Prisma Access Browser)의 구성과 세팅

그러면 이제 본격적으로 PAB에 어떤 기능들이 있는지 살펴보도록 하겠습니다.

PAB를 처음 실행하면 가장 먼저 눈에 들어오는 건 친숙한 화면입니다. 실제로 PAB의 메인 화면은 크롬 브라우저와 거의 흡사했습니다. 인터페이스도 비슷하고, 사용자가 느끼는 경험도 기존 크롬과 큰 차이가 없네요. 로그인을 하면 온보딩 위자드가 자동으로 뜨고, 사용자는 브라우저 설정을 하나씩 구성해 나갈 수 있습니다. 여기서 주목할 점은 크롬에서 사용하던 환경을 그대로 불러올 수 있다는 겁니다. 예를 들어 기존 크롬에서 설정했던 북마크, 쿠키, 커스터마이징된 환경 등을 PAB에서 그대로 복원해 쓸 수 있도록 지원합니다. 이런 기능은 특히 브라우저 환경에 민감한 사용자들에게 매우 유용할 것 같네요. 별도의 학습 없이도 바로 익숙한 환경에서 업무를 시작할 수 있고, 불편함 없이 보안 브라우저를 받아들일 수 있게 도와 줍니다.

또 하나의 특징은 기업 관리자의 입장에서 구성된 정책 배포 기능입니다. 회사 전체 공통 북마크를 지정해 전사적으로 배포할 수 있을 뿐 아니라, 특정 직무군이나 특정 사용자에게만 개별적으로 북마크를 내려줄 수도 있습니다. 예를 들어 신입사원에게는 입문용 포털과 사내 매뉴얼을, 개발자에게는 테스트 서버나 버그 트래커 주소를 자동으로 설정할 수 있는 것이죠.

이런 구조는 단순한 편의 기능을 넘어 브라우저 환경 전반을 ‘업무용 포털’로 설계할 수 있도록 도와줍니다. 각 사용자에게 필요한 리소스를 자동 제공하고, 기업이 원하는 보안 설정과 정보 구조를 사전에 설계해 배포할 수 있다는 점에서, PAB는 단순한 브라우저가 아니라 업무 플랫폼에 가까운 도구처럼 보이죠. 가트너가 얘기한 브라우저의 진화 방향에 PAB가 호응하는 것 같네요.

Prisma Access Extension 동작

브라우저를 통한 보안 정책의 핵심은 ‘어떤 애플리케이션은 허용하고, 어떤 애플리케이션은 통제할 것인가’에 달려 있습니다. 그리고 이 흐름을 가장 효율적으로 구현하는 수단이 바로 Prisma Access Extension입니다. 기존 크롬 브라우저와 PAB가 동시에 설치된 상태에서 Extension이 설치된 크롬에서 특정 애플리케이션에 접속하려는 순간, 자동으로 PAB로 리다이렉션되도록 동작됩니다.

예를 들어 사용자가 개인 업무나 일반 웹 브라우징은 기존 크롬으로 하다가, 회사 계정으로 구글 드라이브에 접속하려는 순간이 있다고 가정해 볼께요. 이때 크롬에 설치된 Prisma Access Extension은 해당 URL이 민감한 업무용 애플리케이션임을 인식하고, 페이지 전체를 순식간에 PAB로 넘겨버립니다. 사용자는 별다른 동작 없이도 보안이 적용된 환경에서 해당 애플리케이션을 사용하게 되는 것이죠. 실제 데모 화면에서도 페이지 전환이 거의 순간적으로 이뤄져, 사용자 입장에서는 리디렉션이 일어났다는 사실조차 인지하지 못할 만큼 자연스러웠습니다.

굉장히 효율적인 방식 아닌가요? 브라우저를 두 개로 분리하되, Extension을 통해 민감도에 따라 자동 전환되도록 구성하면 사용자는 익숙한 환경을 유지하고, 기업은 보안 정책을 유연하게 적용할 수 있는 구조가 완성됩니다. 특히 SaaS 협업 툴이 많아지고, 동일한 브라우저에서 개인 계정과 회사 계정이 혼재되는 상황이 많아진 지금, 이런 자동 전환 방식은 브라우저 보안 정책의 핵심 도구가 될 것 같습니다.

프라이빗 애플리케이션 접속

데모를 통해 프라이빗 애플리케이션에 대한 접속 통제 기능이 어떻게 구현되는지도 확인할 수 있었습니다. 변진영 프로는 하나의 윈도우 서버를 웹 애플리케이션 형태로 띄워놓고, 이를 크롬 브라우저와 PAB를 통해 각각 접속 시도하는 모습을 보여주었는데요, 가장 먼저 크롬에서는 해당 페이지에 접근이 되지 않았습니다. 연결성이 차단되어 있기 때문에 일반 브라우저에서는 열리지 않는 구조인 것이죠. 하지만 같은 URL을 PAB에서 입력하자, 아무런 제약 없이 바로 접속이 이뤄졌습니다.

흥미로운 점은 단순한 접속 허용 여부를 넘어서, 해당 페이지에 ‘Sensitive’라는 레이블이 걸려 있다는 부분이었습니다. 관리자가 특정 애플리케이션에 대해 사전에 민감도 라벨을 지정해 놓으면, 사용자는 해당 페이지에 접속할 때 어떤 보안 정책이 적용되고 있는지를 직관적으로 확인할 수 있도록 한거죠. 단순히 열리는지 안 열리는지를 넘어서, 그 안에 어떤 보안 기준이 작동 중인지 한눈에 볼 수 있다는 점은 사용자와 관리자 모두에게 신뢰를 주는 요소인 것 같아요.

이처럼 PAB는 프라이빗 앱에 대한 접근을 단순히 막는 수준이 아니라, 어떤 경로로, 어떤 기준에 따라 통제되고 있는지를 명확하게 시각화해 줍니다. 민감도 구분과 정책 적용을 브라우저 수준에서 구현함으로써, 내부 시스템 보호와 사용자 경험의 균형을 동시에 맞출 수 있다는 것이 PAB의 장점인 것 같네요.

라스트 마일 시큐리티 (Last Mile Security) 기능들

이제 PAB의 라스트 마일 시큐리티(Last Mile Security) 측면의 기능들을 살펴볼까요?

‘라스트 마일 시큐리티(Last Mile Security)’란 보안의 마지막 구간, 즉 사용자의 브라우저 화면에서 일어나는 모든 행위를 보호하는 것을 뜻합니다. 네트워크와 서버 단에서 보안을 강화하더라도, 실제 민감한 데이터가 입력되고 복사되고 전송되는 순간은 결국 브라우저에서 발생하죠. 팔로알토 네트웍스는 바로 이 접점에서의 보안을 강화하기 위해 PAB 안에 다양한 기능을 탑재했다고 변진영 프로는 설명합니다.

1. 데이터 마스킹 기능

먼저 PAB의 데이터 마스킹 기능입니다. 예를 들어 ‘Business’라는 레이블이 설정된 상태의 구글 Docs 문서 내에 주민등록번호와 같은 민감정보가 입력되어 있다면 브라우저는 해당 데이터를 자동으로 인식해 화면에 표시하지 않도록 처리해줍니다. 사용자가 특정 숫자를 입력하자마자 값이 바로 가려지고, 복사하거나 다른 문서에 붙여넣기를 시도해도 해당 데이터는 존재하지 않는 값으로 처리됩니다. 실제 업무 환경에서 주민번호, 고객 식별번호, 계좌번호처럼 보호가 필요한 민감 정보들이 웹상에서 쉽게 노출되는 일이 많은데, PAB는 브라우저 차원에서 이런 데이터를 보호해 주는 기능을 데이터 마스킹으로 통해서 구현하고 있네요.

2. 민감정보 자료 다운로드/업로드 제한 기능

데이터 마스킹 기능이 화면에 보여지는 정보를 가리는 데 초점을 맞췄다면, 한 단계 더 나아간 민감 정보가 포함된 파일의 다운로드와 업로드 제한 기능도 PAB는 제공하고 있습니다. 사용자가 주민등록번호처럼 민감한 정보를 입력해도 화면에는 표시가 되지만, 해당 내용을 포함한 파일 업로드나 다운로드하려고 하면 즉시 차단됩니다.

이 기능은 복사와 붙여넣기에도 동일하게 적용됩니다. 사용자가 민감정보가 포함된 내용을 클립보드를 통해 메모장이나 PPT 같은 외부 애플리케이션으로 이동시키려 해도, 브라우저가 이를 차단합니다. 단순히 보이는 것만 통제하는 것이 아니라, 시스템 전반에서 정보가 빠져나가는 경로를 막는 구조라고 보여지네요. PAB가 민감정보가 외부로 유출될 수 있는 모든 순간, 즉 작성, 저장, 전송, 복사라는 일련의 행동 흐름에서 브라우저 수준에서 실시간으로 개입하고 있습니다. 사용자 경험은 해치지 않으면서도 정보의 흐름을 정교하게 통제하고 있다는 점이 흥미로웠습니다.

3. 모니터링 기능

PAB가 단순히 브라우저 환경을 통제하는 것을 넘어, 실제 어떤 일이 일어났는지를 전반적인 사용 로그들을 남길 수 있다는 점도 주목할 부분입니다. 관리자는 특정 사용자나 디바이스를 선택해 최근 1시간, 혹은 특정 시간대 동안 어떤 사이트에 접속했고 어떤 행위를 했는지를 상세하게 조회할 수 있습니다.

기록에는 단순 접속 URL뿐 아니라 클릭, 다운로드 시도, 복사 등 사용자의 주요 행위가 모두 포함되며, 각 행동에 대한 메타 데이터도 함께 남습니다. 만약 나중에 보안 사고가 발생했을 때, 이 기록을 통해 누가 언제 무엇을 했는지 추적하고 원인을 분석하는 데 활용할 수 있도록 도와 줍니다. 특히 ChatGPT처럼 기업에서 민감하게 보는 생성형 AI 사용도 예외가 아니죠. 해당 서비스에 접근한 내역뿐 아니라 어떤 프롬프트가 입력되었는지도 정책에 따라 히스토리로 남길 수 있어, 실질적인 통제가 가능하겠네요.

정리

변진영 프로와 웨비나에 대해 사전 논의하면서 실제 라이브 데모는 예상치 못한 오류도 있을 수 있다는 점 때문에 여러 모로 걱정을 많이 했습니다. 그런데 팔로알토 네트웍스의 본사 정책이 그렇다고 하더라구요. 엔터프라이즈 브라우저인 PAB와 관련된 시연은 반드시 라이브로 진행해야 한다구요. 사실 담당자는 부담되겠지만, 저는 이게 올바른 전략이라고 생각됩니다. 덕분에 실시간 라이브 데모를 통해 PAB의 구석구석 흥미로운 기능들을 생생하게 살펴볼 수 있었습니다.

이번 웨비나의 정리를 해볼까 합니다.

브라우저는 더 이상 단순한 업무 도구가 아니라, 업무와 보안의 경계선에 서 있는 가장 중요한 접점이라는 점을 보안 담당자께서는 꼭 기억하면 좋겠습니다. 사용자는 여전히 익숙한 크롬처럼 브라우저를 쓰지만, 그 안에서는 다양한 보안 정책들이 작동하고 있고, 기업은 그 흐름을 가시성있게 통제할 수 있는 것이 엔터프라이즈 브라우저의 장점으로 보이구요. 엔터프라이즈 브라우저 PAB가 사용성과 보안 두 가지 측면에서 효과적인 보안 대응 전략이 될 수 있다는 점도 메모해 주시면 좋겠네요.