[통합 보안솔루션①] 네트워크 구성을 단순화해라
상태바
[통합 보안솔루션①] 네트워크 구성을 단순화해라
  • 구자만 데이타크레프트 코리아 프로페셔널 서비스팀
  • 승인 2003.05.21 00:00
  • 댓글 0
이 기사를 공유합니다

현재 정보보호 솔루션과 서비스 시장의 화두는 침입방지, 통합관리, 기가비트 등으로 요약된다. 최근 2년간 지속된 이 화두는 전반적인 시장 침체로 인해 그동안 뚜렷하게 주류에 서지 못하고 주변에만 서성이고 있었다. 그러나 올해는 사정이 다르다. 성숙도 측면에서 활성화 시기를 맞이했다는 평가를 받고 있다. 현 상황에 맞추어 지난해 중반까지 관련 분야의 소수 업체만이 자리를 지켰으나 이제는 많은 국내외 보안업체들이 대거 진출했으며 이제는 선두다툼을 위한 경쟁이 치열할 정도. 보안 솔루션의 새로운 트렌드로 떠오른 ‘통합 보안 솔루션’에 관해 알아본다. <편집자>

외 형적으로 네트워크의 보안을 위한 여러 솔루션이 등장했지만 문제는 이러한 솔루션들이 계속 등장함으로써 정보보호 네트워크의 구성이 점점 더 복잡해져만 간다는 것이다. 보안 네트워크 관리자들이 관리해야 할 장비 및 솔루션들의 수는 이미 한 사람이 관리해야 할 한도를 넘어서고 있다. 그리고 보다 복잡해진 네트워크의 구성은 장애포인트 및 관리 포인트를 몇 배 이상으로 증가시키고 있다.

그로 인해 복잡해져만 가는 현재의 보안 네트워크의 구성을 간결화하기 위한 많은 노력들이 이루어지고 있다. 첫 번째 노력은 통합보안시스템들의 등장이다. 여러 보안 솔루션들을 한 두 시스템에 통합하여 관리 포인트 및 장애 포인트를 줄이면서 보다 보안 네트워크의 구성을 간결하게 구성해보겠다는 것이다. 두 번째 노력은 개방형 시스템의 등장이다. 앞서 소개한 통합보안시스템 등장의 연장선상으로 한번 도입된 시스템에 더 이상의 장비 추가가 필요 없도록 도입한 시스템에 추가로 개발될 보안시스템의 도입을 가능하게 하는 것이다. 이 솔루션의 도입을 위해 개방형 보안 기술(Open Security Architecture)이 등장하게 되었다. 그리고 세 번째 노력은 새로운 보안장비의 도입과 더불어 늘어만 가는 로드밸런싱 장비의 추가를 막기 위해 장비 자체에 클러스터링 기술을 부과하는 솔루션들이 만들어져 가고 있는 것이다. 이러한 노력들이 현재 복잡해져만 가는 기업 및 서비스 네트워크의 보안을 24시간 중단 없이 가동되도록 할 것이다.

그러면 위에 소개한 통합보안기술, 개방형 보안기술, 클러스터링 기술에 대해 상세히 알아보도록 하자.

통합보안기술

보안은 사후 고려사항이 아니며 보안 레이어가 필요하다. 잘 알려진 OSI 7계층 네트워킹 기준 모델에서 뚜렷하게 결여된 부분이 있다면 바로 ‘보안 서비스 레이어’다. 사실, 오늘날 구축되는 네트워크 중 대부분에 보안 레이어가 없는 실정이다. 결과적으로 네트워크 보안을 구축하는데 있어 뒤죽박죽인 방법을 사용하게 된다. 네트워크에 대한 계속적으로 변화하는 위협과 오늘날의 복잡한 네트워크 설계를 감안할 때 보안 서비스 레이어는 필수다. 현재 대부분의 대기업에는 내부 및 외부의 위협으로부터 네트워크를 보호하는데 중점을 두는 보안담당 부서가 존재한다. 하지만 이러한 부서들도 정책을 제어하고 네트워크를 보호하는 기반이 되는 독자적인 인프라를 갖춘 경우가 거의 없다. 처음에는 대개 보안 담당자가 회사의 외부 네트워크 연결과 내부 네트워크 사이의 서버에 소프트웨어 기반의 방화벽을 설치한다. 이러한 방화벽은 풍부한 기능과 훌륭한 관리 도구를 제공하지만 대개 설정이 어렵고, 표준형 서버에서 실행되기 때문에 성능이 제한적이라는 단점이 있다. 또한 방화벽은 일반적으로 ‘게이트웨이(또는 네트워크에서 주소를 지정할 수 있는 개체)’의 역할을 하게 되지만, 서버에서 실행될 경우 절대 네트워크 장비로는 간주할 수 없다. 서버는 세션과 애플리케이션의 종착점으로 설계된 것이지 장치의 경로를 지정하거나 변경하는 역할을 하는 장비가 아니기 때문이다.

○ 원박스 어플라이언스의 등장

지난 2001년부터 여러 보안 솔루션들을 한데 통합해보자고 하는 어플라이언스 제품들이 속속 등장하면서 지난해에는 각종 보안솔루션을 통합화한 통합 제품이 업계 주류로 떠올랐다. 네트워크 장비 공급업체들은 라우터와 스위치에 제한적인 기능을 가진 ‘방화벽(본질적으로는 패킷 필터)’을 통합하기 시작했다. 이러한 제품들은 경우에 따라 소프트웨어 기반의 방식보다 향상된 성능을 제공하며 근본적으로 네트워크 장치라는 장점이 있지만, 여전히 기능은 제한적이며, 쓸만한 관리 도구가 없고, 사용자에게 동종 최고의 보안을 제공하지는 못했다. 지난 수년간 출시된 여러 보안 전용 장비들은 고성능 하드웨어와 소프트웨어 보안 솔루션이 결합된 사용하기 쉬운 제품들이다. 또한 이 장비들은 설정의 어려움과 성능상의 제한이라는 서버의 문제점을 해결했다. 하지만 이 제품들도 명확히 보자면 부족한 면이 있으며 계속 늘어나는 보안 위협에 대응하지 못하고 있다. 예를 들어 외곽 보안의 경우, 침입 탐지와 서비스 거부 공격 방지 기능이 추가되지 않으면 불완전한 상태이다.

그러나 이런 전용장비들의 한계를 극복하고자 방화벽, VPN 제품이 주류를 이루는 가운데 여기에 IDS 기능이 포함된 제품이 다수 등장했으며 외국계 업체를 중심으로 각종 네트워크 보안솔루션에 안티바이러스, 안티스팸 등이 모두 포함된 어플라이언스 종합 솔루션들이 선보이면서 궁극적인 원박스 솔루션을 지향하고 있다. 하지만 아직도 성능의 문제로 인해 다양한 기능을 제공하지 못하고 있는 것이 현실이다.

○ 방화벽과 IDS와의 연동

대표적으로 침입차단시스템과 침입탐지시스템의 동거를 살펴보자. 두 솔루션이 하나의 박스에서 구현된다면 어떤 이점이 있을까? 답은 보다 빠른 대응(Response)이다. 보안 네트워크에 침입차단시스템과 침입탐지시스템이 구성되어 있을 경우 두 시스템간의 연동을 해놓았다고 가정하자. 방화벽 게이트웨이 앞과 뒤에 IDS를 2기를 설치하고 인바운드 트래픽(Inbound Traffic) 및 아웃바운드(Outbound Traffic) 모두를 탐지해야 한다. 벌써 관리 포인트는 세 곳이 된다. 또 다른 문제점은 침입탐지시스템의 특성상 패킷을 필터링 하고 대응을 방화벽에 주기까지는 우선 한 세션은 방화벽을 지나치게 되어있다. 웜 같은 경우에는 이미 방화벽 내부에 들어온 상태이며, 그 이후의 세션에 대해서부터만이 세션 킬 같은 대응의 액션을 받게 되는 것이다. 이미 내부 네트워크는 오염된다는 것. 그러나 하나의 시스템에서 침입탐지시스템과 침입차단시스템을 구성하게 되면 시스템 내로 들어온 트래픽에 대하여 시스템 밖으로 나가기 전에 대응을 하여 내부 및 외부 네트워크로의 침입행위를 방지하게 되는 것이다.

○ 보안시스템의 모듈화

현재 시장에 나와있는 대부분의 시스템은 장비 자체에 둘 이상의 보안 시스템을 구성해 놓았을 때 시스템 자체의 성능(Performance)에 무리를 주게 되는 경우가 대부분이나, 한 장비에 보안 시스템을 모듈화하는 기법으로 각각에 CPU 및 자원을 할당하여 성능의 제약을 극복한 시스템들이 등장하고 있다. 관리자들은 모든 보안 시스템을 한 박스만 관리하면서 장애에 대한 부담을 줄일 것이며 침해 사고에 보다 빠른 대응효과를 누릴 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.