엔터라시스 ‘시큐어 네트웍스’ ⑤

지능형 스위치 활용한 보안 모델 … 코어 또는 에지

딕 부셔(Dick Bussiere) 엔터라시스 아태지역 CTO

테크놀러지가 본래 설계 목적 외에 다른 용도로 어떻게 활용되는 지를 살펴보는 것도 흥미롭다. 그 좋은 예가 가상랜(VLAN) 테크놀러지다. 당초 가상랜은 브로드캐스트(broadcast) 트래픽을 감소시키기 위해 디자인됐지만 시간이 경과하면서 보안용 메커니즘으로도 이용되기 시작됐다. 유감스럽게도 보안을 위한 가상랜은 부분적으로만 효과적이다. 이번 호에서는 보안용 가상랜의 효과가 부분적인 이유와 그 대안에 대해 살펴본다. <편집자>

브리지(bridge) 네트워크가 성장함에 따라 대규모 트래픽이 발생하기 시작했다. 라우팅이 없는 단순 네트워크에서 브로드캐스트 트래픽은 모든 노드에 일률적으로 뿌려지기 때문에 특히 부담이 된다. 각각의 포트와 엔드 스테이션(end station)은 모든 브로드캐스트 메시지를 받을 수밖에 없다. 따라서 브로드캐스트가 발생할 때마다 엄청난 대역폭 낭비와 CPU 소모를 초래한다.
또한 네트워크 상의 스위치는 일반적으로 ‘느린’ CPU 경로를 통해 브로드캐스트 패킷을 처리해 성능 문제로 고통받는다. 네트워크가 충돌할 때까지 브로드캐스트가 기하 급수적으로 계속 발생하는 레이어 2 브로드캐스트 스톰(broadcast storm)도 커다란 골칫거리다.

가상랜의 역사
이런 문제를 해결하기 위해 IEEE는 90년대 중반 802.1Q 표준 가상랜 개념을 도입했다. 이는 하나의 물리적 네트워크를 여러 개의 가상의 논리적 네트워크로 분할시키는 것이다.
가상랜은 브로드캐스트 트래픽이 자기가 속한 논리적 네트워크에서만 움직이도록 한다. 가령, 하나의 물리적 네트워크를 블루(blue), 그린(green) 등과 같이 논리적 네트워크로 분할했을 경우 블루 가상랜 상의 브로드캐스트 트래픽은 오직 블루 안에서만 움직이며 그린 가상랜으로 트래픽이 넘어갈 수 없다.
이 과정의 중심에는 라우터가 있다. 트래픽이 특정 가상랜에서 다른 가상랜으로 이동하기 위해서는 반드시 각 가상랜 사이에서 라우팅 과정이 필요하다. 하나의 물리적 랜 네트워크를 각각의 가상랜 서브넷(subnet)으로 나눠 특정 그룹 및 정책을 각각의 가상랜 서브넷에 적용시킨다.

가상랜 이용한 보안 정책
가상랜이 보안에 적용될 때, 정책(policy)은 라우터의 ACL(Access Control List)로 표현된다. 인증 과정이 마쳐지면 모든 사용자들은 주어진 가상랜에 쉽게 맵핑(mapping)된다.

· 코어 라우터에서 허용할 프로토콜이 결정된다.
· 코어 라우터에서 사용자가 커뮤니케이션 가능한 디바이스를 결정한다.

동일 가상랜 안에서는 트래픽이 엔드 투 엔드로 자유롭게 움직인다. 그러나 여기서 어쩔 수 없는 몇 가지 문제점들이 발생한다. 그 예는 다음과 같다.

· 가상랜 포트에 트래픽이 유입되면 이 트래픽은 가상랜 멤버 안에서는 자유롭게 이동 가능하다.
· 특정 프로토콜을 허용하거나 막는 정책이 코어 라우터에 이르러야 적용된다.
· QoS와 우선 순위 정책이 코어 라우터에 이르러야 적용된다.

따라서 한 눈에 보더라도 가상랜을 적용한 보안 툴(tool)은 명백히 약점을 지닌다. 이 약점은 다음의 <그림 1>을 통해 쉽게 이해할 수 있다.

동일 가상랜에서 투명 커뮤니케이션
중앙화된 정책은 트래픽이 그린에서 블루로 가는 것은 허용하지만 그린에서 레드로 가는 것은 막는다.

관리자는 트래픽이 특정 가상랜에서 다른 가상랜으로 이동하는 것은 막을 수 있지만 동일 가상랜 안에서는 규칙이 없다. 따라서 동일 가상랜 상에서 트래픽은 어디든 갈 수 있고 무엇이든 할 수 있다. 이는 가상랜 특정 포트에 진입한 웜(worm)이 동일 가상랜에 위치한 다른 포트로 손쉽게 들어가고 나올 수 있다는 것을 의미한다. 또한 인증 받지 않은 애플리케이션도 가상랜 안에서 쉽게 운영 가능하다. 보안 정책이 코어 라우터의 복잡한 액세스 라우터를 통해 적용되는 가상랜은 이와 같은 문제점을 노출한다.

지능형 에지 스위치를 이용한 보안 정책
최근 활용되고 있는 또 다른 보안 모델은 코어가 아니라 에지에서 수행하는 포인트 보안 정책이다. 지능화된 스위치를 사용하면 레이어 2, 3, 4 등 어디서든 패킷을 검사할 수 있다. 지능화된 스위치는 특정 트래픽 플로우와 맵핑 가능한 적절한 QoS, 레이트 리미팅(rate limiting), 트래픽 우선순위 등을 지원한다.

에지 기반 우선순위
적절한 규칙 정의와 함께 결합되면, 에지 기반 정책은 네트워크 활용도와 보안성을 극적으로 향상시킨다. 정책이 사용자에 적용돼 사용자가 인증을 거치면, 이 사용자는 조직 내 특정 규칙에 따라 원하는 서비스를 제공받는다. 불필요한 서비스가 서로 다른 가상랜뿐 아니라 동일 가상랜 상에서도 차단 가능하다.
가상랜 테크놀러지는 브로드캐스트 컨트롤 매커니즘 뿐 아니라 보안 디바이스에서도 사용돼 왔다. 네트워크를 둘러싼 공격들은 나날이 악랄해지고 있고, 따라서 근본적인 결함을 지닌 보안 모델을 개선해야 한다. 코어에서 에지로 컨트롤 포인트 이행은 필요한 수준의 정책 환경을 제공한다. 동시에 미션 크리티컬하거나 지연에 민감한 애플리케이션이 적절한 우선순위를 통해 제어되기 때문에 네트워크 활용도를 높일 수 있다.
인증 메커니즘과 특정 정책에 대한 사용자 매핑과 결합된 에지 기반 정책은 사용자가 오직 원하는 서비스만을 사용할 수 있는 세밀한 컨트롤을 제공한다. 위협은 점점 복잡해지고 있으며, 보안 모델도 그에 맞춰 세밀해져야 한다.