[데이터넷] 네트워크 보안 시장에서 몇 년 전부터 논의해 오던 것 중 하나가 방화벽의 효용성이다. 방화벽은 네트워크 관문에서 정책에 따라 접속 허용-차단을 수행해왔는데, 네트워크가 클라우드로 이동하면서 ‘관문’의 개념이 사라졌다. 내부 네트워크에서 수평이동을 제한하기 위해 네트워크 세그멘테이션을 하고 방화벽으로 통제했는데, 클라우드에서는 물리적인 네트워크가 없으며 각각의 워크로드를 중심으로 운영되기 때문에 내부 방화벽 역시 구축 지점을 찾지 못했다.

한때 마이크로 세그멘테이션 기술이 ‘클라우드에서 방화벽은 필요 없다’고 주장한 적도 있지만, 결론적으로 마이크로 세그멘테이션은 워크로드 중심의 내부확산 방지를 위해 방화벽을 사용한다. 마이크로 세그멘테이션은 모든 데이터 플로우의 모든 통신 채널을 차단하고 최소 권한 정책을 적용해 꼭 필요한 통신만 허가하는 제로 트러스트 기술이다.

마이크로 세그멘테이션 전문기업 가디코어를 인수한 아카마이는 ‘아카마이 가디코어 세그멘테이션(AGS)’을 알리는데 적극 나서고 있다. AGS는 네트워크 보안 정책을 워크로드 단위로 쪼개고, 워크로드 간 연결에 신뢰가 확인된 통신만 허가한다. 소프트웨어 기반 방화벽을 이용해 외부에서 내부로, 내부에서 내부로의 통신을 통제해 위협이 확산되는 것을 방지하며, 데이터와 트래픽의 흐름을 전사적으로 도식화해 가시성을 높인다.

마이크로 세그멘테이션은 워크로드 수준에서 접근 정책을 세분화하기 때문에 최소 권한 원칙을 적용하기 용이하며, 권한을 가진 내부 사용자의 이상행위를 차단할 수 있다. 그 예로 최근 잇달아 공개되고 있는 은행 직원의 횡령사고를 막을 수 있다는 것을 드는데, 업무, 애플리케이션, 사용자, 프로세스로 통제단위를 세분화하기 때문에 정상 권한 내에서의 입·출금, 대출 신청, 투자 변경이라 해도, 고액의 거래 신청이나 잦은 변경 시도 등의 이상정황을 차단하거나 내부 감사조직에 경고할 수 있다.

윤영한 조인어스비즈 부사장은 “마이크로 세그멘테이션은 최근 글로벌 금융기관에서 도입을 서두르면서 업계의 주목을 받고 있다. 해외 금융사들도 내부통제 실패로 인한 사고에 대해 우려하고 있으며, 마이크로 세그멘테이션으로 업무를 세밀하게 통제해 내부자에 의한 위협을 낮추고자 한다”며 “특히 SWIFT 담당 직원에 의한 사고 위협이 높아 이 업무에 먼저 적용하고 있다. 우리나라 금융기관에서도 SWIFT를 시작으로 마이크로 세그멘테이션 도입을 추진할 것으로 기대한다”고 말했다.

새로운 내부통제 구축 지원

조인어스비즈는 굿모닝아이텍 보안사업 자회사로, 아카마이 솔루션을 국내에 공급하고 있다. 조인어스비즈가 집중하는 AGS는 보호대상 애플리케이션을 세분화해 정책을 설정하고, 위협을 신속하게 감지·대응한다. 방화벽 기능이 내장돼 있어 감염된 워크로드가 다른 워크로드나 애플리케이션에 영향을 미치지 못하도록 한다. 이를 통해 새로운 내부통제 시스템을 요구하는 기업·기관에서 최적의 대안을 제공할 수 있다.

AGS를 도입한 글로벌 금융사 A는 금융 데이터 및 사내의 10개의 비즈니스 크리티컬 애플리케이션을 성공적으로 보호하고 있으며, 써드파티 접속을 제한하고, 가시성을 보장하고, 위협을 탐지한다.

아카마이는 국내 5000여대 이상 엣지서버를 포함해 전 세계 37만대 엣지 서버를 통해 지능형 웹·API 보안, 디도스·악성 봇 방어, 계정탈취 방지, DNS 보안, ZTNA, 마이크로 세그멘테이션 등 다양한 보안 서비스를 제공하고 있다.

원격접속 솔루션 ‘EAA’는 VPN 없이 안전한 원격 접속을 보장해 공공기관·국내 유수의 포털, 항공사 등에 공급됐다. EAA를 도입한 국내 금융사 B사는 VDI 시스템을 회사 내부 네트워크에 구축하고 외부 사용자들은 VPN 에이전트 필요없이 아카마이 EAA 시스템을 통해 VDI 서버에 접속토록 했다. 아카마이 SSO 통합인증과 MFA 추가인증을 적용했으며, 개정된 금융 보안원의 원격접속에 관한 지침을 준수하면서 4000여 명의 사용자가 VPN 없이 EAA를 통해 VDI 서버에 접속해 업무하고 있다.

아카마이의 엣지 컴퓨팅 기술은 디도스 공격 완화에도 탁월한 효과를 제공한다. 글로벌 제조사인 C사는 100GB~1TB 단위로 주 평균 6-8시간씩 있던 디도스 공격을 아카마이 디도스 방어 솔루션 AAP를 활용해 37만대 엣지 서버에서 흡수하고, 성공적으로 방어하고 있다. 추가로 도입한 ZTNA 솔루션 SIA로 랜섬웨어 및 악성 도메인 접근 금지 보안 정책을 적용해 보안을 강화하고 있다

조인어스비즈는 아카마이 SASE 플랫폼과 RSA의 XDR 플랫폼 ‘넷위트니스’를 연동해 보안을 한층 강 화할 수 있다고 강조한다. 넷위트니스 XDR은 로그, 넷플로우, 패킷, 엔드포인트, 클라우드의 모든 이벤트를 수집·분석해 위협을 조기에 탐지하고 대응할 수 있게 해 보안운영센터(SOC) 효율성을 높인다. 이 외에도 멘로시큐리티, 인포블록스 등 글로벌 보안 기업의 솔루션과 협업해 고객의 보안을 한층 높일 수 있다고 강조한다.

윤영한 부사장은 “아카마이는 사용자와 가까운 엣지 서버를 통해 네트워크와 보안의 유연성을 높인 SASE를 성공적으로 배포하고 있어 차세대 네트워크 보안 전략을 앞장서서 이행한다. 마이크로 세그멘테이션 기술은 네트워크 가시성을 이전보다 월등하게 높여 위협에 대응한다”며 “굿모닝아이텍과 조인어스비즈는 클라우드·하이브리드 환경에 맞는 다양한 국내 외 IT·보안 솔루션을 공급하면서 전문성을 축적해왔다. 아카마이 솔루션과 함께 고객이 필요로 하는 제품을 연계 제안해 고객의 비즈니스 혁신을 지원할 것”이라고 말했다.

하이퍼바이저에 설치되는 FW, 유연한 보안 구현

마이크로 세그멘테이션은 VM웨어도 강조하는 기술이다. VM웨어는 하이퍼바이저에 직접 설치되는 방 화벽으로 마이크로 세그멘테이션을 구현한다고 설명한다.

방대하게 분산된 워크로드 환경에서는 물리적인 방화벽이 위치할 ‘경계’가 없다. 가상머신을 이용해 워크로드의 생성, 수정, 변경이 수시로 진행되며 워크로드 간 통신이 일어나는데, 기존 방화벽에 의존하는 보안 아키텍처는 가상머신의 가상 방화벽이 호스트 밖의 물리적 방화벽에 접속한 후 보안 위반이 없는지 검사하고, 다시 호스트 안 가상머신으로 들어오게 된다.

호스트 내부에 설치되는 가상 방화벽을 사용하면 트래픽을 줄일 수 있지만, 여전히 가상머신 밖으로 나가서 가상 방화벽을 거치고 다시 들어와야 하는 복잡성을 피해갈 수 없다. 이는 리소스를 과다하게 소모할 뿐 아니라 워크로드 속도를 느리게 하므로 실시간 변화를 요구하는 클라우드 환경에 맞지 않는다.

하이퍼바이저에 가상 방화벽을 설치하는 VM웨어의 마이크로 세그멘테이션은 세분화된 워크로드를 유연 하게 보호할 수 있으며, 자유로운 확장과 변경이 가능 하다. 차세대 방화벽과 IPS/IDS 기능을 모두 수행할 수 있고, 에이전트리스 안티바이러스와 통합 가능해 가상환경을 노리는 공격도 막을 수 있다.

한편 VM웨어는 SASE 시장의 강자로, VM웨어 PoP의 글로벌 네트워크를 통해 장소에 관계없이 모든 직원 에게 안전하고 안정적인 애플리케이션 액세스를 제공한다. 클라우드 네트워킹, 클라우드 보안, ZTNA를 웹 보안과 결합해 모든 규모의 기업이 유연성과 민첩성, 확장성, 보안성을 보장받을 수 있도록 지원한다.

김선애 기자 다른기사 보기