내부 유출 방지 위한 보안 정책 절실 … 분실 대비 테이프 보안 시장 기지개
보안은 기업에서 점차 더 중요하게 여겨지고 있는 부문이다. 특히 911 이후 보안의 중요성이 강조되고 있는 미국의 경우, IT 예산의 절대 다수가 보안에 할애되고 있다. 업계 관계자에 전언에 따르면, “미국에서는 제품 설명에 보안(Security)란 말이 없으면 물건을 팔 수 없다”는 말이 나돌 정도다. 보안은 방화벽 등 전통적인 영역을 넘어 기업 인프라 전반으로 확대되고 있는데, 스토리지 분야 역시 보안 적용에 있어 예외가 아니다. 국내 스토리지 보안 시장을 살펴 본다.
오현식 기자·hyun@datanet.co.kr
스토리지 분야에서도 보안은 떠오르는 분야다. 네트워크컴퓨팅, 바이트앤스위치 등 주요 외국 IT전문지들은 한결같이 올해 스토리지 네트워크 분야에서 떠오를 주요 이슈 중 하나로 보안을 예상하고 있다. 스토리지 분야의 대표적인 시장 조사기관 중 하나인 엔터프라이즈스트래티지그룹(ESG)은 스토리지 시장의 3대 트렌드로 ‘네트워크 기반 지능화 및 가상화’, ‘전통적 테이프 기반 백업에서 디스크 백업의 도입’ 등과 함께 스토리지 보안을 꼽고 있다.
시만텍 등 기존 보안 업체가 제공하는 전통적 의미의 보안 솔루션과는 별개로 스토리지 보안이 필요한 이유는, 공격자가 스토리지 네트워크에 존재하는 호스트로의 액세스를 확보하면, 이 호스트가 볼 수 있는 모든 데이터의 액세스가 가능해지기 때문이다. 즉, 공격자에 의해 방화벽이 뚫렸을 때, 또는 기업 내부자에 의한 데이터 유출 방지 등을 위해 스토리지 보안이 요구되는 것이다.
스토리지 보안, 국내 수요 ‘전무’
보안을 중시하는 전세계적인 조류에 발맞춰 국내 역시 보안에 대한 관심과 투자가 계속 증가하는 상태에 있다. 본지가 지난 3월에 개최한 ‘제5회 Next Generation Network Security Vision 2006’에는 500여명 이상이 IT종사자들이 참석해 보안에 대한 시장의 높은 관심을 증명했으며, 참석자들을 대상으로 한 설문조사에서도 대다수 참석자들이 지난해에 비해 올해 보안관련 예산이 더욱 증가했다고 답한 것이 좋은 사례다.
그렇지만, 스토리지 보안은 예외다. 국내에서도 보안에 대한 관심과 투자가 진행되고 있지만, 스토리지 보안과 관련된 수요는 발생하고 있지 않은 것이다. 국내에서 스토리지 보안에 대한 관심이 거의 없는 까닭은 스토리지 인프라의 주류인 SAN의 폐쇄성 때문이다. SAN 시스템은 일반적인 데이터 네트워킹과 분리돼 있으며, 따라서 보안에 대한 요구가 상대적으로 적다는 것. 맥데이터의 서범석 차장은 “SAN은 물리적으로 네트워크에 연결돼 있지만, 실제로는 하나의 ‘고립된 섬’처럼 여겨지고 있다”고 지적했다. ‘SAN은 칩입이 발생치 않는 폐쇄적 네트워크’란 인식으로 인해 국내 사용자들의 관심이 적다는 것이다.
하지만, 생각보다 스토리지 시스템은 여러 부문에서 취약하다. 애플리케이션, 호스트, 스위치 및 LUN 등 모든 지점에서 공격받을 수 있다. 대다수의 사용자가 안전하다고 여기는 FC 스위치의 경우에도 다른 부분과 마찬가지로 다양한 공격이 가능하다. WWN 스푸핑(World Wide Name spoofing ; 액세스 가능한 호스트의 WWN을 복사해 유효 호스트인 것처럼 가장하는 공격방식)은 물론, IP 포트가 공격을 당할 수도 있으며, 나아가 관리포트를 통해 스위치에 대한 관리자 액세스를 확보할 경우 SAN 영역 전체가 공격에 무방비로 노출되게 된다.
또 일반적으로 SAN 레벨에서 데이터는 암호화되지 않은 상태에서 호스트와 SAN 스위치, 스토리지 어레이 사이를 이동케 된다. 이는 파이버채널 SAN에서의 데이터 또한 IP에서의 데이터만큼 쉽게 읽힐 수 있다는 것을 의미한다. 즉, 안전하다고 여기는 파이버채널 SAN 레벨에서 암호화되지 않은 데이터가 취약하다는 인식으로 각종 보안기제가 적용된 IP 데이터 보다 오히려 더 정보 유출 가능성이 높다고 말할 수 있는 것이다.
넷앱코리아의 이종혁 차장은 “정보 유출사고가 방화벽 내부에서 발생될 확률이 50~80%에 달한다는 조사결과가 있다”며 스토리지 보안의 필요성을 역설했다. 특히 “일반적인 IT 보안이 방화벽인 VPN 등을 이용한 네트워크적 보안, 출입관리 등에 대한 물리적 보안에 국한된 반면, 스토리지 보안은 사용하는 데이터 자체를 보안하는 것”이라고 설명한 이종혁 차장은 “스토리지 보안 적용으로 네트워크 또는 물리적 보안이 침해되는 최악의 경우에도 데이터 자체에 대한 외부유출을 방지할 수 있다”고 강조했다.
데이터 암호화, 시스코 ‘유일’
시스코, 브로케이드, 맥데이터 등 SAN 스위치 기업들은 스토리지 네트워크 단에서 기업 데이터를 보호하기 위한 방법을 제안하고 있으며, 네오스케일, 데크루(넷앱 인수)와 같이 별도의 어플라이언스를 통해 데이터 암호화 등을 수행하는 장비도 출시돼 있다.
시스코, 브로케이드, 맥데이터 등 SAN 스위치 업체들이 제공하는 스토리지 보안을 살피면, 주요 기능으로는 RBM(Role Based Management), RBAC(Role Based Access Control)과 같은 역할에 따른 인증 및 액세스 제어, 조닝, 래디우스 지원, 포트잠금, 암호화 등을 SAN 스위치 영역에서 제공할 수 있다. 3사의 장비 모두 역할 기반 관리 기능 지원이 가능했는데, 차이가 나는 것은 암호화 기능이다. 3사 중 시스코만이 유일하게 암호화를 지원한 것. 시스코 스위치는 FC-IP 암호화와 iSCSI 암호화를 기본 지원한다.
앞서 살펴본 이종혁 차장의 언급처럼 스토리지 보안이 물리적 보안이 침해되는 경우에도 데이터 유출을 방지할 수 있도록 하는 솔루션이란 점을 고려하면, 시스코의 암호화 지원은 큰 이점 중 하나다. 하지만, 넷앱의 데이터포트나 네오스케일 크립토스토 등 써드 파티 솔루션을 이용, 암호화를 수행할 수도 있다. 별도 어플라이언스 도입이 비용 상승을 발생시키지만, 그만큼 성능 저하의 우려 없이 데이터 암호화를 수행할 수 있는 장점을 갖게 된다.
시스코가 제공하는 보안 기능의 독특한 점은 VSAN (Virtual SAN) 기능이다. VSAN 역시 시스코 스위치 전 제품군에 기본 탑재돼 있으며, 조닝을 통한 보안과 래디우스 서버를 통한 인증 및 액세스 제어를 제공해준다. 인가되지 않은 장비가 연결됐을 때 임의의 파티션을 생성해 SAN 인프라 접근을 차단하는 것도 시스코가 자랑하는 VSAN 기능 중 하나. 시스코코리아 김민세 차장은 “시스코는 VSAN으로 침입 등 전통적 보안만이 아니라, SAN 통합 시 충돌로 발생하는 데이터 및 서비스 손실까지 방지하는 스토리지 보안을 실행한다”고 강조했다.
맥데이터는 ‘샌티그리티 시큐리티 스위트’ 소프트웨어를 통해 스토리지 네트워크의 보안을 수행한다. 암호화를 제외하면 시스코와 거의 동일한 기능을 제공한다. 래디우스, 스위치에서의 인증 및 액세스 제어, 조닝, 관리 로깅 등을 수행할 수 있는 것.
맥데이터코리아 서범석 차장은 “SAN 인프라를 종합 관리해주는 유일한 솔루션인 샌내비게이터(SANavigator)와 연동해 편리한 보안 관리를 지원하며, 포트 기반, 스위치 기반, 페브릭 기반의 3단계 보안을 제공해 보다 강력한 스토리지 보안을 실현할 수 있다”고 설명했다. 서범석 차장은 “샌내비게이터와 센티그리티는 올해 말 통합될 예정”이라며, “센내비게이터와의 통합으로 보다 편리하고 강력한 스토리지 보안 기능을 제공할 수 있게 될 것”이라고 덧붙였다.
테이프 보안 ‘기지개’
최근 스토리지 보안과 관련, 가장 눈에 띄는 움직임은 지난해 9월 넷앱의 데크루 인수다. 데크루는 스토리지 보안 전문업체로 대표 제품 ‘데이터포트(DataFort)’는 암호화, 인증, 키 관리, 구획화 등 스토리지 네트워크를 보호하는 다양한 기능을 제공한다. 넷앱의 데크루 인수는 스토리지 하드웨어 기업과 스토리지 보안 솔루션 기업의 결합으로 관심을 모은다.
넷앱은 데크루 인수 후 자사 스토리지와의 통합을 통해 데이터 보안 솔루션의 강화를 꾀하고 있다. 올해 초 넷앱은 데크루 데이터 보안 솔루션을 옵션화해 니어스토어VTL (NearStore VTL) 시리즈 등 디스크 백업 제품군에서 옵션 선택이 가능하도록 함과 동시에 NAS와 iSCSI를 통합 지원하는 데크루 데이터포트 E시리즈(DataFort E-Series)도 출시했다. “CIFS, NFS, iSCSI를 모두 지원하는 데이터포트 E시리즈는 IP 기반 스토리지 환경을 위한 통합 스토리지 보안 플랫폼”이라고 넷앱코리아 측은 설명했다.
데이터포트는 디스크 스토리지 앞단에 설치, 암호화를 통한 SAN 환경에서의 보안이 가능하다. 반면, 디스크 스토리지 뒷단에 설치하게 되면, 테이프 또는 디스크 백업 시의 암호화 용도로 사용할 수도 있게 되는데, 넷앱코리아는 국내 스토리지 보안 수요가 적다는 점을 감안, 우선은 테이프 보안 시장을 적극 공략할 예정이다.
미국의 씨티그룹, 타임워너, 뱅크오브아메리카 등이 이송 도중 백업 테이프를 분실하는 사례가 종종 보고 되고 있어 국내에서도 테이프 보안은 높은 관심을 받고 있다. 1천200만 연방정부 직원들의 계좌 정보가 담긴 테이프를 잃어버린 미국 뱅크오브아메리카의 경우가 대표적인 사례. 물리적으로 테이프 유실할 경우, 정보가 무방비로 노출되기 때문에 테이프 보안은 물리적인 유출에도 데이터 보안을 실행하기 위한 방법이 주류를 이룬다.
테이프 보안을 제공하는 또다른 기업은 퀀텀이다. 퀀텀코리아가 지난 3월 발표한 DLT-S4에는 테이프 보안을 위한 ‘DLT세이지(DLTSage)’가 번들 제공된다. DLT세이지에서 제공하는 ‘테이프 보안 쓰기’ 기능을 선택하면, 미디어가 분실되더라도 다른 사람이 테이프 안의 데이터를 볼 수 없도록 만들어 준다. DLT세이지에서 제공하는 테이프 보안 기능은 키 로깅 방식으로 볼 수 있다. DLT세이지가 액세스 키를 생성하고, 이를 통해 저장된 데이터 접근을 통제하는 것이다.
퀀텀코리아의 관계자는 “데이터 전체에 대한 암호화가 아닌 키 생성 방식이기 때문에 암호화 및 복호화 과정 추가로 인한 백업시간 증가가 발생치 않는다”고 설명했다. DLT세이지는 일반 미디어를 이용한 WORM 기능도 제공한다. 그동안 테이프 백업 시 WORM을 사용하기 위해서는 특수 미디어를 사용해야 하는 불편을 해소한 것.
퀀텀코리아는 “50% 이상의 고객이 테이프 보안에 대한 관심을 보였다”는 설문조사 결과를 전하며, “스토리지 보안 영역 중 테이프 보안은 다른 분야와 달리 국내 수요가 기대되고 있으며, DLT-S4 만의 테이프 보안 제공 기능을 통해 DLT 영역을 확장할 것”이라고 밝혔다.
스토리지텍을 인수한 썬은 “올 여름 테이프 암호화 기능을 추가할 예정”이라고 밝혔다. 스토리지텍 9840, 9940 모델을 잇는 T10000에 암호화 제공 기능을 탑재시킨다는 것. 기존 9840, 9940에서는 암호화 기능을 이용하기 위해서는 ‘볼 세이브(VOL Safe) 기능을 갖춘 별도 미디어 카트리지가 필요했지만, 이를 개선해 T10000은 드라이버 자체에서 암호화 기능을 제공하도록 할 계획인 것이다. 한국썬은 “암호화 기능이 추가되면 차별화 요소로 대기업 시장을 적극 공략할 방침”이라고 밝혔다.
이 외에 스펙트라로직의 국내 총판인 씨디데이타 또한 테이프 라이브러리 자체에서 암호화를 수행하는 ‘블루스케일 인크립션 스탠다드 에디션’을 출시했다. 이 제품은 데이터를 암호화한 후 테이프 미디어에 저장하는 방식을 이용해 테이프 보안을 구현한다. 씨디데이타 측은 “서버 자원을 활용하는 기존 암호화 방식은 처리 속도가 늦어지는 단점이 있지만, 블루스케일은 하드웨어 모듈을 이용함으로써 속도 저하가 발생하지 않는다”고 설명했다.
보안차별화, 시장 공략
아직 국내 스토리지 보안 시장은 영글지 않은 상태라는 것은 주지의 사실이다. 이에 퀀텀코리아 등은 보안 수요의 직접 공략보다는 이를 차별화 요소로 활용해 자사 주력 솔루션 확대에 활용할 계획이다. 시장이 활성화되지는 않았지만, 경쟁사보다 발 빠르게 보안 기능을 추가했다는 이점을 적극 활용해 나가겠다는 전략인 것이다.
보안 기능을 기본 탑재해 무상 제공하는 퀀텀코리아, 씨디데이타 등이 대표적인 사례다. 퀀텀코리아의 경우, DLT 방식 테이프 시장 확대를 위해 암호화 기능을 적극 활용한다는 전략을 세우고 있다. 테이프 보안을 제공하는 DLT세이지는 DLT-S4 고객에게 무상 제공되는데, 이를 적극 활용해 DLT 시장 확대를 꾀하겠다는 설명이다.
DLT-S4에 적용된 4세대 DLT 기술은 LTO-3 방식 보다 두 배 많은 1.6TB(압축) 용량을 제공하며, 기존 제품과 동일한 가격대에 출시돼 GB당 비용은 6센트에 불과하다는 장점도 갖고 있다. 퀀텀코리아 조영일 사장은 “DLT-S4 고객은 무상 제공되는 DLT세이지를 통해 가격적인 부담없이 테이프 보안을 실현할 수 있게 됐다”며 “단일 프레임에서 1PB의 대용량 제공과 더불어 번들 제공되는 DLT세이지를 무기로 DLT 시장 확대에 주력하겠다”고 밝혔다.
시스코코리아 또한 보안 기능을 차별화 요소로 활용해 시장 공략을 가속화할 전략이다. 시스코코리아 김민세 차장은 “시스코의 SAN 스위치 설계는 처음부터 보안을 염두에 두고 있으며, VSAN 등 대부분의 스토리지 보안 기능이 기본 탑재돼 추가 비용 발생없이 사용할 수 있다”고 강조했다.
넷앱코리아 역시 데크루 데이터포트를 이용해 취약분야인 금융권 공급의 활로를 개척하겠다는 의지를 표명하고 있다. 넷앱코리아는 보안에 대한 수요가 높은 금융권에 스토리지 보안을 위한 별도 어플라이언스 제품으로 데크루 데이터포트를 제안하고 있을 뿐 아니라, 자사 스토리지에서 데크루 보안 솔루션을 옵션 제공할 수 있게 만듬으로써 스토리지 보안 구축을 위한 다양한 방법을 마련해 놓고 있다. 더불어 넷앱코리아는 니어스토어VTL과 데크루 보안 솔루션의 동시 구매 시 가격을 할인해주는 프로모션을 진행하는 등의 활동도 펼쳐 나가고 있다.
이와 관련, 넷앱코리아 이종혁 과장은 “써드파티 솔루션으로 보안을 제공하는 경쟁사와 달리 넷앱은 스토리지 보안 솔루션을 자체 공급하는 유일한 스토리지 하드웨어 공급 업체”라며 스토리지 하드웨어와 보안 솔루션을 함께 갖춘 차별점을 강조했다.
국내에서 이제 막 테이프 보안 시장이 기지개를 켜고 있고, SAN 등 스토리지 네트워크 시장에 대한 관심은 거의 전무한 상태다. 하지만, 스토리지 보안은 기업이 반드시 갖춰야할 수요로 평가받는다. 스토리지 네트워크가 외부 접근이 까다롭다는 것에 안심해 데이터 보안을 구축하지 않을 경우, 더 큰 비용발생을 발생시킬 수 있기 때문이다. 국내의 사례는 아니지만, 고객 정보를 유실한 미국 초이스포인트의 주주들은 주가 하락의 원인이 회사의 데이터 보안 유지 실패에 있다며 소송을 제기하기도 했다.
데이터 보관에 관한 컴플라이언스 이슈가 국내에서 점차 고개를 들고 있는 것처럼, 스토리지 보안에 관한 이슈 역시 시장의 화두로 떠오르게 될 것으로 업계는 전망하고 있다. 국내에서도 금융기관, 공공 기관 등 보안을 중시하는 분야에서 고객의 문의가 점차 늘어나고 있다는 소식도 들려온다.
국내 한국산업기술진흥원에 따르면, 데이터 유출 및 악용 사고의 대부분이 내부자의 소행으로 나타났으며, 이는 전통적 의미의 보안 솔루션(방화벽 등 외부 침입 방지)으로는 방지할 수 없는 부문이다. 데이터 접근 권한을 가진 사람들이 소수의 핵심 관리자와 일반 직원으로 확대된 상황에서 스토리지 보안은 필수적인 것으로 IT 관리자들의 의식 전환이 요구된다고 할 수 있다.
NAS·iSCSI에 대한 오해와 진실
●● SAN에 대해서는 안전하다고 여기지만, 이더넷 기반의 NAS나 iSCSI 환경에서는 스토리지 보안이 더 필요하다고 말하는 이들이 많다. 그러나 결론부터 얘기하자면, 이더넷 기반 스토리지 환경과 파이버 채널을 활용한 스토리지 네트워크 사이의 안전성은 크게 다르지 않다.
IP 네트워크를 이용하는 iSCSI는 IP에서 볼 수 있는 모든 취약점을 갖고 있다고 말할 수 있지만, SAN과 마찬가지로 백본이 아닌 별도의 네트워크로 구성되기에 일반적인 사용자들이 직접적으로 접근할 수 있는 통로는 기본적으로 차단돼 있게 된다. SAN에서와 마찬가지로 스토리지의 연결도 인증된 서버 권한을 갖고 있는 사용자들만 접근 가능하도록 제어할 수 있다. 나아가 이더넷 기반에서 방어하는 다양한 보안 기제가 적용되기 때문에 보안문제에 둔감한 SAN 네트워크 보다 오히려 NAS나 iSCSI 환경이 더 안전하다는 역설도 가능하다.
