웹 사용 증가로 보안·통제 심각 … 프록시 사용으로 웹 트래픽 관리 OK
오늘날 기업들이 당면한 문제점을 세 가지로 요약하면, 기업 애플리케이션의 웹 기반으로 전환, 서버 및 데이터 센터의 통합, 그리고 공공 네트워크 인프라 사용 증가 등이다.
먼저 지속적으로 기업 애플리케이션이 웹 기반으로 전환하는 경우, 많은 기업들이 관심을 가지고 있는 이슈지만 트렌드를 무조건 쫓기보다는 몇 가지 간과해서는 안 될 사항들을 점검해 보는 노력이 반드시 필요하다. 웹 기반 애플리케이션의 구축은 많은 장점들을 가져다주기도 하지만, 이에 따른 몇 가지 문제를 수반하기 때문이다. <편집자>
이정범
블루코트 코리아 차장
jungbum.lee@bluecoat.com
우선 웹 기반 애플리케이션 구축의 문제점을 살펴보면 다음과 같다.
·브라우저의 보편성은 클라이언트 구축을 용이하게 하지만, 그와 관련한 많은 취약성을 양산하게 된다.
·글로벌한 웹 상에는 상상할 수 없을 정도로 다양하고 많은 종류의 콘텐츠가 존재하는데, 이같은 일반적인 브라우저는 전체 웹과 너무나도 쉽게 연결돼, 만일 내부 직원들이 악의적인 의도만 있다면, 비생산적이고 부적절한 행위와 심지어는 범죄가 되는 행위들까지도 쉽게 가능케 할 수 있다.
·브라우저, IM 클라이언트, P2P 클라이언트 등의 웹을 기반으로 한 애플리케이션의 규모가 매일 같이 증가하고 있다는 점도 웹 기반의 애플리케이션 구축에 따른 단점이다.
·감당해야 할 트래픽이 늘어나면서 야기되는 기업 애플리케이션의 가시성 및 성능 저하는 고객 중심 웹 페이지의 경우에는 크게 상관없지만, 애플리케이션 성능에 따라 크게 좌우되는 기업의 중요한 비즈니스 프로세스들에는 막대한 영향을 초래한다.
두 번째로, 서버 및 데이터 센터의 통합은 운영비를 절감하고, 최근 들어 강화된 규제에 따른 통제 강화를 용이하게 하기 위해 제기된 이슈다. 그러나 이것 역시 랜 전용으로 개발된 애플리케이션이 장거리 링크에 걸리게 될 경우, 지연 및 응답 시간을 늘린다는 단점을 지니고 있다.
마지막으로, 기업 네트워크 연결 방식에 있어, 기존의 왠 방식 링크는 기업에 큰 비용을 부담시키기 때문에 오늘날 많은 기업들이 공공 네트워크 인프라를 이용해 기업 네트워크를 지점에서 바로 인터넷에 연결하는 방식으로 바꿔가고 있는 추세에 있다. 현재 기업들은 각 지점들의 웹 트래픽을 100% 중앙에서 관리하고 있으나, 공공 네트워크 인프라를 이용한 인터넷 연결 방식이 활성화되면 웹 트래픽의 중앙 관리가 더 이상 필요 없어질 수도 있다.
그러나 기업들은 보안상의 이슈로 인해 다소 번거롭더라도 모든 지점의 웹 트래픽 관리를 포기할 수 없는 입장에 있다. 경제적, 비즈니스적 측면에서 볼 때, 앞서 살펴 본 모든 변화는 긍정적인 것이라고 할 수 있지만, 그와 같은 변화를 추진하는 대가로 기업들은 기존의 기업 아키텍처에서 보장 받았던 보안, 통제, 성능 면에서의 혜택을 잃게 된다.
이에 따라 많은 보안 업체들이 이상에서 언급된 보안, 통제, 성능 상의 문제를 해결할 솔루션들을 내놓고 있지만, 대부분의 기술은 한 가지 문제를 해결하는 대신 다른 문제를 악화시키는 결과를 낳고 있다. 예를 들어, 왠 가속화 솔루션은 적합성 여부를 불문한 모든 종류의 트래픽을 가속화시키기 때문에 스파이웨어나 바이러스의 확산 속도도 따라서 증가하는 결과를 초래하며, 또 다른 예로 웹 상의 안티바이러스 게이트웨이는 일반적으로 바이러스의 위협으로부터 기업을 보호해 주는 반면, 트래픽 속도를 크게 저하시킨다는 단점을 들 수 있다.
위와 같이 기업들이 처해 있는 문제점과 이에 부응하지 못하는 기존의 솔루션 등을 해결할 수 있는 프록시 기능에 대해 살펴보기로 하겠다.
프록시 방식으로 사용자와 애플리케이션간 가시성 보장
사용자와 애플리케이션간에 이뤄지는 커뮤니케이션을 보호, 통제, 가속화하기 위해서 기업은 사용자와 애플리케이션 간의 커뮤니케이션이 어떠한 방식으로 이뤄지는가를 완벽히 파악하고 있어야 한다. 그러나 기존의 DPI(Deep Packet Inspection) 방식 같은 수동적 조치는 애플리케이션 커뮤니케이션 전체가 아닌, 극히 제한된 일부만을 통제할 수 있다.
애플리케이션 트래픽의 완전한 이해와 완벽한 가시성을 통한 보호, 통제, 가속화는 모든 사용자와 애플리케이션 간의 커뮤니케이션을 완벽하게 차단 및 통제할 수 있는 프록시 접근법을 통해서만 구현될 수 있다.
프록시 방식을 통해서 기업으로 하여금 사용자와 애플리케이션 간의 커뮤니케이션에 대해 콘텐츠 통제에서 위협 스캐닝 및 가속화 기법에 이르기까지 다양한 정책을 강화할 수 있도록 해 주며, 통합 캐싱 기능을 통해 다양한 성능향상 효과를 누릴 수 있게 해준다. 이와 같은 프록시의 장점은 다음과 같다.
- 보호
프록시를 통해 스파이웨어, 피싱, 파밍 공격으로부터의 보안 기능을 제공한다. 블루코트의 프록시AV 어플라이언스는 프록시SG와 함께 애플리케이션 성능에 영향을 미치지 않으면서 웹 트래픽 상의 위협을 스캔할 수 있다.
- 통제
HTTP, FTP, 스트리밍, P2P, IM, 텔넷, DNS 등과 같은 모든 지원 가능한 애플리케이션 트래픽에 대해 차단 및 재개 작업을 실시하므로, 사용자와 애플리케이션 간의 커뮤니케이션에 대한 완벽한 분석이 가능하다. 500개 이상의 트리거 및 액션에 포함돼 있는 트래픽 허가, 거부, 제한 기능을 통해 사용자와 애플리케이션 간의 커뮤니케이션을 완벽히 통제할 수 있다.
SSL 프록시
온라인 금융 서비스, 공급망 애플리케이션, ERP, CRM 등과 같은 웹 기술을 활용한 애플리케이션들이 등장함에 따라, SSL 암호화를 사용하는 웹 트래픽의 비율도 함께 증가하고 있다. 그러나 SSL을 이용해 통신보안을 강화시키게 되면 이전의 일반적인 웹 트래픽에 적용하던 것과 동일한 수준의 통제 기능은 기대하기 힘들어진다. 이에 따라 SSL 프록시는 현재 암호화되지 않는 트래픽에 적용하는 것과 동일한 수준의 정책을 암호화된 트래픽에도 적용시킬 수 있도록 해 준다.
인증
프록시는 다양한 기업 인증 메커니즘을 지원함으로써 사용자의 신원 확인을 확실히 해주며 기업의 기존 정책구조에 자연스럽게 통합된다. 또한 정책보완 서비스를 지원함으로써, 사용자 인증을 재차 실시하는 번거로움을 없앴다. 다시 말하면, 관리자들은 확실한 신뢰성을 확보한 인증 메커니즘을 통해 인증된 사용자를 신뢰할 수 있게 되는 것이다.
- 가속화
블루코트의 MACH(Multiprotocol Accelerated Caching Hierarchy)는 왠 인프라 상의 인터넷 애플리케이션 성능을 향상시켜주는 포괄적 프레임워크다. 보통 MACH는 6개의 레이어로 구성돼 있으며, 각 레이어들은 각기 세분화된 정책의 적용을 받는다. 따라서 기업은 각각의 애플리케이션에 가장 적합한 가속화 기법을 적용할 수 있다.
MACH1: 대역폭 관리
대역폭 관리 기능에 제어 및 조정 옵션을 추가함으로써 기업이 500여개 이상의 각기 다른 속성에 따라 대역폭을 제한하거나, 보장하는 결정을 내리도록 도와준다. 기준이 되는 속성에는 애플리케이션, 웹사이트, URL, 사용자 및 그룹, 시간 등을 포함해 500여 개가 있다
MACH2: 압축
HTTP와 포인트-투-포인트의 두 가지 압축 방식을 지원하며, 모든 임의 프로토콜에 대한 포인트-투-포인트 압축은 두 가지 프록시 사이에서 구현된다. 압축은 네트워크 상으로 전송되는 콘텐츠의 규모를 줄이는 기술로서 대역폭 활용도 및 최종 사용자 응답시간을 최적화시켜 준다.
MACH3: 프로토콜 최적화
현재 운영되는 대다수의 프로토콜은 랜상에서 구현되도록 제작됐거나, 꼭 그렇지 않다 하더라도 효율성을 기대하기는 어려운 것들이 대부분이다. 이러한 프로토콜은 매우 복잡해 한 번의 트랜잭션을 위해 왠상을 적게는 수백 번에서 많게는 수천 번의 전송이 왕복되곤 한다.
이 때문에 사용자들은 큰 불편을 겪게 되며, 오브젝트 파이프라이닝(Object Pipelining: 요청 페이지와 링크된 모든 웹 오브젝트를 병렬적으로 인출함), 로컬 인증, DNS 캐싱 등 몇 가지 유형의 프로토콜 최적화 기법을 통해 이런 불편을 덜어준다. 특히 블루코트는 SGOSTM 신규 버전에 완벽한 프록시 기능과 함께 위와 같은 최적화 기법을 CIFS나 MAPI에도 적용시킬 예정이다.
MACH4: 딕셔너리 캐싱
딕셔너리 캐싱은 트래픽을 극소 비트 단위로 분할시킨 후, 왠을 통해 기존 내용과 다르거나 업데이트된 내용의 비트만을 전송시키는 기능이다. 다른 MACH 레이어가 단일 박스로 구성된 비대칭 배치를 지원하는 반면,
딕셔너리 캐싱을 하기 위한 레이어에서는 대칭적 배치가 필요하다. 딕셔너리 압축은 특정 애플리케이션만이 아닌 모든 애플리케이션에 적용되기 때문에 딕셔너리 캐싱은 동일하거나 유사한 콘텐츠가 여러 곳에 분산저장돼 있는 경우 또는 다이나믹 콘텐츠에 대해 탁월한 성능을 보인다.
MACH5: 애플리케이션 오브젝트 캐싱
애플리케이션 오브젝트 캐싱은 웹, 이메일 첨부, 파일의 모든 오브젝트에 대해 캐싱 기능을 지원한다. 애플리케이션 오브젝트 캐싱은 웹 애플리케이션, CIFS, MAPI 등의 특정 애플리케이션만을 지원하며, 웹 오브젝트 캐싱 수준은 대상 애플리케이션에 따라 30~70%까지 다양하다.
MACH6: 예측 캐싱
예측 캐싱은 몇 가지 기법을 적용해 기업이 수요 발생 이전에 사용자에게 콘텐츠를 제공할 수 있도록 해 준다. 어댑티브 리프레쉬는 잦은 요청이 있는 오브젝트에 대한 예측 리프레쉬로써 최종 사용자 요청과 오브젝트 캐쉬 리프레싱 활동을 분리시켜주기 때문에 다수의 사용자가 동일한 오브젝트를 요청할 경우, 프록시는 대상 오브젝트에 대한 리프레쉬 횟수를 늘리게 된다.
애플리케이션 웹 모델이 보편화되면서, 많은 기업들이 평등성이나, 보편성, 민첩성 향상 측면에서 큰 이익을 얻고 있는 반면, 그에 따른 보안, 통제, 성능 문제로 어려움을 겪고 있기도 하다. 어떤 하나의 이슈에만 초점을 맞춘 제품들은 한 가지 문제를 해결하는 대신 다른 문제들을 더욱 악화시키는 결과를 낳을 수밖에 없는 것이다.
그러나 프록시는 애플리케이션 트래픽의 종료를 통해 사용자와 애플리케이션 간 상호작용의 특성을 정확히 파악해 사용자와 애플리케이션간 커뮤니케이션의 보호, 통제, 가속화를 위해 꼭 필요한 가시성을 제공함으로써 위와 같은 문제들을 해결해 준다.
