[2020 ICT 분야별 전망] 네트워크 보안①
상태바
[2020 ICT 분야별 전망] 네트워크 보안①
  • 김선애 기자
  • 승인 2020.01.08 10:08
  • 댓글 0
이 기사를 공유합니다

레거시 기술 갇힌 NGFW…멀티 클라우드 보안 플랫폼으로 진화
경계 보안에서 제로 트러스트 네트워크 보안 기술로 변신

[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

네트워크 보안은 가히 ‘혁명’이라 할 수 있는 변화를 거듭하고 있다. 2009년 팔로알토네트웍스가 L7 레이어까지 보호하는 차세대 방화벽을 출시하면서 네트워크 보안 시장의 주도권을 단숨에 거머쥐었다. 이후 거의 대부분의 방화벽이 애플리케이션 인지, 사용자 역할별 제어 기능을 갖춘 차세대 방화벽으로 탈바꿈했으며, IPS, 디도스 방어, 웹 필터링, 네트워크 백신, QoS 기능 등을 통합한 단일 장비 전략을 전개하기 시작했다.

10년이 채 지나지 않아 차세대 방화벽은 어느새 레거시 기술이 되었다. 멀티 클라우드로 비즈니스 경계가 확장되면서 경계보안에 치중하는 방화벽만으로 충분히 보호할 수 없게 됐다. 방화벽을 거치지 않고 애플리케이션으로 접속하는 원격 사용자와 클라우드 사용자들을 관리할 수 없는 상황이 되었다.

클라우드 위한 새로운 경계보안 기술 필요

분산된 모든 클라우드에 방화벽이나 보안 게이트웨이를 설치하는 것이 어렵기 때문에 대부분의 네트워크 보안은 분산된 지점의 트래픽을 본사의 중앙 데이터센터로 모은 후 보안 정책을 적용해 분산된 클라우드로 보낸다. 지점에서 가장 가까운 클라우드 데이터센터로 직접 연결하면 클라우드의 빠른 속도와 민첩성의 혜택을 누릴 수 있지만, 보안 정책을 적용하기 어렵기 때문에 위험에 처할 수 있다.

이 같은 문제를 VPN으로 해결하고자 했으나 VPN은 결함이 많다. VPN은 먼저 연결한 후 인증하기 때문에 인증정보를 탈취한 공격자의 침입을 걸러내지 못한다. VPN 자체 보안 취약점을 악용하는 VPN필터가 전 세계 수백만대의 라우터를 감염시킨 사고도 발견된 바 있다.

보안 웹 게이트웨이(SWG)나 보안 인터넷 게이트웨이(SIG)를 이용하면 클라우드나 외부 인터넷 연결을 제어할 수 있다. 이 기술은 오래 전부터 사용되면서 상당한 보안 효과를 거뒀다. 그러나 이 기술은 방대하고 복잡한 클라우드를 보호하는데 적합하지 않다. SWG·SIG 모두 중앙 데이터센터 구축되기 때문에 원격지 사용자를 보호하지 못한다. 프록시의 성능 문제로 인해 빠른 접속을 보장하지도 못한다.

원격 근무자부터 IoT까지 보호

멀티 클라우드를 위한 새로운 경계 보안 기술로 제로 트러스트 네트워크(ZTN)가 제안된다. 구글이 2014년 비욘드코프를 발표하면서 ZTN이 주목받기 시작했으며, 그 해 클라우드 보안 연합에서 표준을 발표한 소프트웨어 정의 경계(SDP) 기술을 통해 상용화 됐다.

가트너는 2023년까지 60%의 기업이 VPN으로부터 점진적으로 탈피해 제로 트러스트 네트워크 접속으로 이동할 것이라고 예측한 바 있다. 제로 트러스트는 기기와 이용자를 동시에 인증하는 관문 또는 중개자로서 기능한다. 이후 사용자는 역할과 맥락에 따라 접근할 수 있다.

ZTN은 다양한 분산 환경을 지원하기 때문에 활용 가능한 사례가 매우 많다. 엠엘소프트는 세 가지 활용 사례를 들어 ZTN의 이점을 설명했다. 가장 먼저 클라우드를 보호할 수 있다는 것이다. 사용자와 가까이에 있는 클라우드를 이용해 애플리케이션에 접속을 요청할 수 있으며, 인가된 사용자라는 사실이 확인되면 보호되는 클라우드를 통해 애플리케이션에 접속할 수 있다. 그룹웨어, 보험 설계사, POS 단말, 금융 서비스 등 클라우드를 사용하는 모든 환경에서 사용될 수 있다.

외부·원격지 사용자를 통제하는데에도 탁월하다. VPN, NAC, 방화벽을 이용한 접속제어는 세밀한 통제가 어렵고 사용자 별로 네트워크 설정을 변경해야 해 복잡하다. 변경된 정책을 다시 원래 상태로 돌려놓지 않으면 그대로 보안홀이 된다. ZTN은 사용자가 어디에 있든지 상관없이 보호된 애플리케이션으로 안전하게 접근할 수 있도록 하므로 원격지 사용자도 안전하게 업무를 진행할 수 있다.

IoT와 스마트X 서비스 보호에도 ZTN이 유리하다. 다종다양한 기기가 수많은 애플리케이션에 연결을 시도할 때, 중앙 서버에 먼저 접속한 후 서비스로 이동하게 하면 네트워크 구성이 매우 복잡할 뿐 아니라 속도가 느리고 통신 비용이 과도하게 발생한다. ZTN은 클라우드를 통해 접속을 통제하고 서비스를 보호할 수 있기 때문에 다양한 IoT 서비스와 기기를 보호할 수 있다.

▲클라우드 보안 연합(CSA)이 배포한 SDP 프레임워크(자료: 엠엘소프트)
▲클라우드 보안 연합(CSA)이 배포한 SDP 프레임워크(자료: 엠엘소프트)

네이티브 클라우드 기술로 ZTN 구현

ZTN을 구현하는 방법은 여러가지가 있다. 지스케일러는 네이티브 클라우드 아키텍처를 이용해 애플리케이션을 보호하고 사용자를 인증하며 지속적인 모니터링을 제공한다. 아카마이도 유사한 아키텍처를 채택하는데, 인바운드 방화벽 포트를 차단해 외부에서 애플리케이션이 검색되지 않도록 하며, 인증받은 사용자만 접속할 수 있도록 한다. 기존의 원격 접근제어 기술, VPN, RDP, 프록시 등의 기술을 대체할 수 있다고 강조한다.

국내 IT자산관리 기업인 엠엘소프트는 엔드포인트 통제 기술과 ETRI에서 이전받은 네트워크 보안 기술을 결합해 SDP를 출시했다. 펄스시큐어는 VPN 전문성을 바탕으로 한 하이브이드 SDP를 출시하면서 시장을 공략한다.

SDP와 함께 최근 부상하는 시장이 시큐어 액세스 시큐리티 브로커(SASE)다. SD-WAN에 보안을 접목한 기술로 이해되고 있으나, 가트너는 보안 웹 게이트웨이(SWG), 클라우드 접근 보안 중개(CASB), DNS, ZTN, 원격 브라우저 격리 등의 기술이 SASE로 통합될 것이라고 전망한 바 있다. 이 모든 기술이 추구하는 것은 결국 원격의 분산된 업무 환경을 보호하기 위한 것이며, 모든 환경에서 안전한 네트워크 접속, 사용자와 단말 인증과 행위 모니터링, 빠른 클라우드 속도와 민첩성을 보장할 수 있는 기술들이 통합돼 진화할 것이라는 주장이다.

분산된 클라우드 접속 보안 기술 속속 등장

SASE가 결국 통합의 관문이 될지는 아직 지켜봐야 할 일이지만, 글로벌 네트워크 보안 솔루션 기업들의 행보는 거의 동일한 방향을 바라보고 있는 것으로 보인다. 멀티 클라우드의 다양한 환경, 전국 단위 혹은 글로벌 단위로 분산된 업무환경, 글로벌 공급망을 보호하기 위해서는 기존의 경계보안으로는 부족하며, 새로운 보안 아키텍처가 필요하다는 데 동의하고 있다.

팔로알토네트웍스는 ‘차세대 방화벽이 갖춰야 하는 13가지’를 정리한 보고서를 통해 ▲사용자 식별 및 해당하는 액세스 권한 활성화 ▲자격증명 도난 및 남용 방지 ▲애플리케이션 보안 ▲설정 오류 제거·컴플라이언스 ▲암호화 트래픽 보안 ▲지능형 위협 방어 ▲DNS 보안 ▲모바일 작업자 보호 ▲클라우드 보안 확장 ▲제로 트러스트 전략 사용 ▲새로운 혁신 기술 손쉽게 사용 등을 갖춰야 한다고 강조했다.

팔로알토네트웍스는 차세대 방화벽과 클라우드 방화벽, VPN, 차세대 방화벽이 제공해 온 사용자 인증과 권한관리 등의 기능을 통해 이 같은 요건을 만족시킬 수 있다고 주장한다. ‘프리즈마 액세스’ 솔루션은 모든 위치에서 일관된 정책 시행을 제공하며, 글로벌 클라우드 환경에서도 지점·지사·모바일 사용자와 애플리케이션을 보호한다. 클라우드를 통해 배포되는 프리즈마 액세스는 단 몇 분 내에 전 세계에 보호 기능을 구축할 수 있으며, 간편한 관리 환경을 통해 관리자의 업무를 효율화 한다.

더불어 팔로알토는 수많은 방화벽을 체계적으로 관리할 수 있는 ‘파노라마’ 솔루션을 통해 네트워크 보안 관리 작업을 단순화한다. 변하는 환경에 맞게 자동으로, 유연하게 방화벽 정책을 개선하고, 단일 규칙 하에서 잘못된 정책을 바로잡는다. 인터넷 엣지, 데이터센터, 프라이빗·퍼블릭 클라우드에서 방화벽을 제어한다.

포티넷은 시큐어 SD-WAN 솔루션으로 분산된 지점·지사 환경을 편리하게 운영할 수 있게 한다. 가트너가 정의한 SASE의 이상을 구현할 수 있는 기술로 평가되며, 제로터치 프로비저닝으로 보안 파트너 지원 없이 소규모 지사에서도 간편하게 꽂기만 하면 안전하게 네트워크를 구성할 수 있도록 지원한다.

빨라지는 방화벽 진화 속도

시스코의 제로 트러스트 전략은 차세대 방화벽과 SWG, 멀웨어 탐지와 대응, 인증 플랫폼 ‘듀오’를 사용한다. 차세대 방화벽·IPS ‘파이어파워’는 기업 전체 위협을 가시화하고 지능적으로 탐지·대응한다. 멀웨어 분석 플랫폼 AMP를 통해 엔드포인트, 이메일 위협까지 연동 분석할 수 있으며, 탈로스 위협 분석 조직을 통해 수집하는 인텔리전스를 이용해 최신 공격에 대응한다. VPN과 듀오, NAC 솔루션 ‘ISE’를 통해 사용자 역할·권한 기반 통제를 제공한다.

국내 방화벽 벤더들의 혁신 속도도 매우 빠르게 진행되고 있다. 시큐아이 차세대 방화벽은 내부 사용자의 보안 환경과 네트워크 접속 제어를 할 수 있도록 전용 프로그램을 제공, 손쉽게 제로 트러스트 환경을 구축할 수 있도록 한다.

가상화 환경에서도 방화벽을 설치할 수 있도록 해 온프레미스·하이브리드 클라우드에서도 차세대 방화벽을 구축할 수 있도록 한다. 마이크로세그멘테이션을 지원해 방화벽 내부에서 정밀한 기능 제어가 가능하다. 40Gbps NIC를 지원하며, 300Gbps 가 넘는 대용량 트래픽 처리가 가능하며, 오픈 API를 제공해 써드파티 솔루션과 유연하게 연동할 수 있도록 했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.