네트워크 단순화·비용절감과 함께 성능·보안 ‘극대화’
애플리케이션 보안·가속 ‘필수’ … 통합 솔루션으로 문제 해결
오늘날 비즈니스와 기술 발전은 기업들로 하여금 애플리케이션 보안과 성능 향상에 대한 경각심을 일깨우고 있다. 이번 글에서는 이러한 최신 동향에 대한 현상 분석과 더불어 애플리케이션의 성능과 보안을 높일 수 있는 요인을 점검한다. 더불어 가속과 보안이라는 두 가지 목적을 단일 제품으로 사용함으로써 오는 이점에 대해 살펴본다. <편집자>
김종덕 // 블루코트코리아 지사장
jd.kim@bluecoat.com
오늘날의 비즈니스와 기술 동향들은 다음과 같은 이유를 근거로 기업들로 하여금 애플리케이션 보안과 성능 향상에 대한 경각심을 일깨우는 등 시장 계몽에 주력하고 있다.
· 애플리케이션의 응답 속도를 보장하고, 가격을 통제하면서 근본적인 인프라를 민첩하게 운영하는 기업만이 경쟁에서 살아남을 수 있다.
· 해커의 활동이 지속적으로 성장함에 따라 ‘적합하고 받아들일 수 있는 수준의 보안’을 지원할 수 있는 기준에 대한 지속적인 성장이 요구된다.
· 동시에 애플리케이션 트래픽 양이나 특성에 따라 극적인 변화를 경험할 수 있다.
이번 글에서는 이러한 동향에 대한 현상 분석과 더불어 애플리케이션의 성능과 보안을 높일 수 있는 요인에 대해 얘기해본다. 그리고 가속과 보안이라는 두 가지 목적을 단일 제품으로 사용함으로써 오는 이점에 대해서도 살펴본다.
애플리케이션 가속 필요성
비즈니스 특성의 변화, 애플리케이션 성능 향상의 필요(특히 왠(WAN) 접속에 있어서) 등 이 두 가지는 오늘날 비즈니스에 있어서 큰 부분을 차지하고 있다고 해도 과언이 아니다. 이에 대한 시작은 경영진에 대한 ‘비즈니스 가속화’라는 압박으로부터 비롯됐다. 비즈니스 주요 부분에서부터 세세한 부분에 이르기까지, 예를 들면 제품 개발, 공급 경로 관리 등은 반드시 빠른 시간에 보다 정확하게 완료돼야만 한다. 결국 애플리케이션은 이런 일련의 과정을 빠른 속도로 처리해야만 한다는 것이다.
게다가 관련 시스템들도 이에 맞게 신속한 속도를 가져야만 한다. 충분한 여유 공간과 유연성은 비즈니스의 방향, 계획 그리고 목적의 변화에 보다 발 빠르게 대처할 수 있도록 해준다. 지금까지는 부품 제조와 이를 잇는 직접 판매 방법만이 전부였지만 향후에는 웹 2.0 기반에서 17개의 다른 비즈니스 파트너와 협력으로 우주정거장 건설을 위한 DIY 키트도 제공이 가능해질 것이다.
그리고 절대 가격 부분을 무시해서는 안 된다. 가격 통제는 분명히 모든 기업에게 가장 중요한 이슈 중에 하나다. 그런 면에서 IT가 생산성을 높이고 자원 활용을 극대화하는 것은 기업으로써는 쌍수를 들고 환영할만한 일이다. 사실 비용 절감은 컴퓨팅 리소스를 중앙 데이터센터로 통합시키는 중앙집중화 트렌드와 함께 가장 중요한 트렌드다.
중앙집중화 트렌드는 컴플라이언스와 널리 퍼져있는 규제를 통합하는데 들어가는 추가 비용을 절감할 수 있도록 해준다. 장기적으로 기업이 중앙 집중화되면 될수록 지사에 있는 사용자들은 광대역 연결을 통해 더욱 더 많은 애플리케이션에 접속하게 될 것이다. 이런 흐름을 고려해보면 그들이 현재 지역의 데이터센터로 접속할 때보다 네트워크가 지연될 것이라는 것은 당연하다.
기업의 중앙 집중화와 함께 사용자의 분산이 동시에 일어날 것이다. 이는 기업에게 천천히 그러나 분명히 비즈니스가 확장하고 있다는 메시지와 함께 사용자의 이동성에 대해 보다 높은 지원이 필요하다는 것을 인식시켜 줄 것이다. 이러한 인식에도 불구하고 생산성 증가와 주요 고객층에 대한 주요 활동의 촉진 때문에 실제로 기업의 입장에서 이를 현실화하기란 쉽지 않다.
하지만 모든 사용자(고객, 파트너, 직원, 대중)에게 어떤 지역에서든 컴퓨팅 서비스에 접속할 수 있도록 지원하는 것에 대한 필요성은 꾸준히 증가하고 있다. 요지는 자원의 집중화 효과에 반해 이에 대한 관리 문제는 아직까지 작은 부분을 차지하고 있기 때문에 주목 받지 못하고 있지만, 이 부분은 분명히 빠를 속도로 성장하고 있다. 사실 현재 기업의 사용자의 50~90%는 적어도 일부라도 애플리케이션을 원격으로 사용하고 있다.
기업은 기존에 구축돼 있는 왠 상에서 애플리케이션 세션의 비중을 늘리기를 원한다. 그러나 네트워크 엔지니어들이 이미 알고 있는 것처럼 장거리 링크는 상대적으로 서비스 지연 이슈를 가지고 있다. 대역폭 문제는 제쳐두고, 문제는 네트워크가 아니다. 보다 큰 문제는 많은 애플리케이션의 타고난 특성과 그들의 근본적인 프로토콜 문제다.
간단히 말해 많은 애플리케이션들은 랜 이상을 염두에 두고 제작되지 않았다. 특히 그들은 클라이언트와 서버 사이에서 단일, 사용자 레벨의 업무 처리를 위해 무수히 많은 횟수를 왔다 갔다 한다. 이런 특성은 랜과 같은 매우 낮은 서비스 지연 환경에서는 그다지 문제가 되지 않는다. 그러나 랜 환경을 제외한 대부분의 다른 환경에서 누적된 현상은 단적으로는 매우 느린 속도를 내거나 잠재적으로 애플리케이션을 완전히 무용지물로 만들어 버린다.
애플리케이션 특성 변경
앞서 얘기한 것처럼 애플리케이션의 성능은 역으로 비즈니스의 특성이나 전통적인 애플리케이션의 특성을 변화시킨다. 만약 이런 문제들이 충분치 돌출되지 않았다 하더라도 기업들은 반드시 애플리케이션의 특성 변화를 모색해야만 한다.
비즈니스 가속으로 인해 예상되는 이익은 중요하거나 시간이 많이 걸리는 비즈니스 프로세스의 자동화로 이뤄지는 이익 그 이상이다. 이는 결과적으로 기업의 네트워크가 더 많은 트래픽과 더 많은 애플리케이션을 소화하게 될 것이라는 것을 의미한다. 물론 트래픽 양의 증가는 사용자 중심의 애플리케이션(대다수는 불필요한 애플리케이션)에 의해 더욱 악화될 것이다.
RIA와 소셜 네트워킹 사이트(마이스페이스, 유튜브 등)는 많은 양의 네트워크 부하를 생산해낼 뿐 아니라 기업을 잠재적인 위협에 노출시킨다. 중요한 정보 유출과 다른 보안 문제들은 단지 대표적인 가능성일 뿐이다. 가장 중요한 문제는 제한된 인프라(왠 대역폭)에 대해 늘어나는 회선의 다툼과 중요하지 않은 애플리케이션의 사용으로 인해 중요한 애플리케이션의 전달 속도 저하다.
두 가지 다른 변화는 노트에 적어둘 만한 가치가 충분하다. 첫째, 웹 애플리케이션과 기초적인 웹 프로토콜에 대한 의존도 향상 이다. 이는 대부분의 뛰어난 공격자들이 선호하는 성향이기 때문에 매우 중요하다. 둘째, 애플리케이션은 더욱 복잡해지고 있다. 현재 그리고 차세대 애플리케이션은 실시간 인터랙션과 그래픽, 비디오 그리고 음성과 같은 리치 콘텐츠를 포함하고 있다. 결과적으로 대역폭에 대한 요구가 증가하고 있는 것과 동시에 서비스 지연은 보다 보편적이고 민감한 문제로 자리를 잡았다.
애플리케이션 보안 필요성 대두
왠 상에서의 애플리케이션 성능 향상만이 오늘날 기업이 직면하고 있는 문제는 아니다. 보안은 모든 기업에 있어서 또 다른 중요한 문제다. 이런 배경을 보면 지사는 가장 많은 관심이 요구되는 부분이다. 지역의 대규모 시설들은 이미 보안 대책이 구축된 상태다. 최소한 방화벽, 안티바이러스 소프트웨어 그리고 침입 방지 기술 정도는 구축돼 있을 것이다.
보다 보안에 신경을 많이 쓴 시설들은 또한 웹 시큐리티 게이트웨이, 이메일 보호 기술, 웹 애플리케이션 방화벽 그리고 서버와 데스크톱 기반의 보안 도구를 완벽하게 보충하고 있다. 이와 대조적으로 대부분의 지사는 단지 기초적인 보안과 흔히 중앙 사이트 보호를 위해 구축된 보안책에 의존할 뿐이다. <그림>과 같은 구성은 백홀이라고 부른다. 백홀은 보안 인프라 인력과 관련된 비용 절감과 정책들의 지속적인 실행을 분명히 하기 위해서 구성된 것이다.
백홀 몰락
불행하게도 대부분의 기업에서 백홀은 쇠퇴하고 있다. 이와 관련된 작은 이슈로는 연결 지연이 있다. 이에 대한 가장 보편적인 시나리오는 반자발적으로 지사의 개인이 스스로 인터넷에 직접 접속하는 것을 들 수 있다. 이런 행위는 아마 그들의 ‘각자의 요구’를 만족시킬지는 모르지만 기업을 엄청난 위협에 내놓는 것과 다름이 없다.
더 큰 약점은 비즈니스와 애플리케이션 둘 다의 본성 변화와 밀접하게 관련돼 있다는 것이다. 웹 프로토콜과 기술을 사용하는 애플리케이션 트래픽양의 증가뿐 아니라 인터넷 사용 위치 또한 다양해지고 있다. 특히 SaaS의 증가를 눈 여겨 볼만 하다. 소규모 기업에서 사용하는 SaaS는 아마 단순히 웹 메일이나 구글 애플리케이션 정도일 것이다. 다른 것들로는 세일즈포스닷컴, 웨덱스 그리고 보안 관리 서비스 정도가 있을 것이다.
컴플라이언스 요소
규정에 대한 요구는 분명히 더욱 더 많은 보안을 요구하게 되는 요소 중에 하나다. 결제카드 산업 데이터 보안 기준을 비롯 다양한 관련 규정들을 보면 이들은 기업에게 가장 최신의 포괄적인 정보보안 프로그램을 쓰는 것을 권장하고 있다. 원격 사용자에 대한 보안의 향상은 다음과 같은 기능을 고려해야만 한다.
· 위협 감지와 필터링 기능은 내부로 연결된 다른 지역으로의 전염(예: 바이러스나 웜)을 예방
· 암호화 기능은 사이트 대 사이트 커뮤니케이션 보안성 확보
· 사용자 레벨 관리 기능은 사용자가 위험에 노출되는 것과 사용자에 의해 민감한 데이터가 유출되는 것을 방지하기 위한 최소한의 원칙 수행의 지원
통합 솔루션 이점
지금까지 말한 것처럼 오늘 날의 기업들은 애플리케이션 가속과 애플리케이션 보안에 대해 분명히 필요성을 느끼고 있다. 그러나 이런 필요성을 어떻게 만족시킬 수 있을까. 하나의 방법은 각각의 목적에 맞는 여러 개의 장치를 구축 하는 것이다. 그러나 이 모든 조건을 만족시킬 수 있는 하나의 장치를 구성하는 것이야 말로 보다 이상적인 접근일 것이다. 통합 솔루션의 이점은 다음과 같다.
· 잠재적인 복잡성을 제거한다. 예를 들어, 만일 가속 기능이 보안 기능보다 우선시 된다면 트래픽에 대한 문제가 해결되는 대신에 정책의 집행이나 보안 감지 기능이 떨어질 수 있다. 반대로 보안 기능이 최우선 순위라면 완벽한 암호화를 지원하겠지만 가속 기능에는 부정적인 영향을 미칠 것이다. 가속이나 보안 이 모든 부분이 최대의 성능을 발휘할 수 있도록 통합됐을 때만 통합의 의미가 있는 것이다.
· 인프라를 분류하라. 적은 수의 장치를 구축, 실행하고 관리함으로써 복합성, 투자, 관리 비용을 절감할 수 있다.
· 정책 관리를 단순화, 통합화하라. 두 가기 기능에 대한 정책은 동시에 같은 방향으로 설정될 수 있고, 보다 높은 효율성과 생략이나 충돌의 위험을 줄여준다.
· 이중 프로세스와 관련된 서비스 지연 이슈를 제거하라. 패킷 관리, 심지어는 네트워크와 레이어 전환에 있어서도 시간은 걸리게 마련이다.
· 암호화된 트래픽을 가속할 수 있어야 한다. 사무실 내부의 평균 트래픽은 보통 30%에서 높은 곳은 약 70% 정도가 암호화돼 있다. 그리고 이런 비율은 계속 성장하고 있는 추세다. 암호화된 트래픽을 가속화할 수 있는 능력이 없는 솔루션은 더 이상 솔루션이라 말할 수 없는 상황이 오게 될 것이다.
· 감시와 필터링 프로세스를 통해 서비스 지연 이슈는 더욱 부각된다. 보안 감시와 정책 집행에 시간이 걸리는 것이 당연하다. 가속 기술을 이 두 가지와 결합시킴으로써 서비스 지연이라는 불이익을 받게 된다.
· 정크 트래픽은 가속할 필요가 없는 불필요한 트래픽이다. 위협 감시와 미세한 사용자 레벨의 통제를 우선순위로 함으로써 부적절하거나, 불필요하거나 안전하지 않은 트래픽은 왠 파이프에서 한꺼번에 제거될 수 있다. 가속에 걸리는 부하도 당연히 감소될 것이다. 이런 상황이 현실화될 때, 기업은 효과적으로 ‘불필요한 것은 중단시키고, 필요한 것만을 가속시킬 수 있다.
명백히 마지막 두 가지 아이템은 다수의 장치로써 접근이 가능하다. 그러나 통합 솔루션은 여전히 정책 관리와 구성 세팅과 관련해 들어가는 노고를 덜어줄 수 있는 것이 사실이다.
기업 문제와 정치 분리
몇몇 기업들에 있어서 통합 솔루션을 사용하는 것은 그들의 기업 역동성에 잠재적이 방해가 될 수도 있다. 네트워킹 업무는 네트워크 팀에 의해 관리되고, 보안 업무는 디자인, 투자, 그리고 관리까지 보안 팀이 담당한다. 팀 간의 기본 구성은 끊임없이 ‘진행 중’이다. 이와 같이 협업과 업무의 통합은 더욱 가망이 없는 것이다. 아이러니하게도 기업은 이로부터 헤어나오기 위해 엄청난 노력을 하고 있다.
네트워크 전문가로써 통합 솔루션의 가장 중요한 이점은 최대한의 성능을 이끌어 내는 것에 있다. 특히 통합 솔루션은 암호화된 트래픽 가속과 중복되는 과정을 제거를 보장한다. 결과적으로 애플리케이션 가속화 프로젝트는 완전한 성공으로 이어질 수 있다. 물론 통합 솔루션은 네트워크의 복잡성, 투자와 운영비용을 낮출 수 있다는 장점이 있다.
비록 동기는 다를 지라도 보안 전문가에게 주는 이점은 같아야 한다. 필수 보안 기능이 성능의 최적화에 영향을 미치지 않는 범위에서 최대의 성능을 끌어낼 수 있어야 한다.
통합 솔루션 기준
가속과 보안이 합쳐진 솔루션은 분명히 매력이 있음에는 분명하다. 그러나 이런 매력 때문에 솔루션을 구축하는 것은 반쪽짜리 구축에 불과하다. 완벽한 통합 솔루션 구축은 두 가지 목적을 효과적으로 충족시킬 수 있어야 한다.
1) 애플리케이션 가속 주요 기능
좋은 애플리케이션 가속 솔루션은 광범위한 애플리케이션을 커버할 수 있어야 하고, 애플리케이션 트래픽 최적화를 위한 다양한 기술을 포함하고 있어야 한다. 최소한 애플리케이션에 대한 지원은 다음의 조건을 최소 하나 이상은 만족시켜야만 한다. 그들은 비즈니스에 매우 큰 영향을 미치며, 네트워크 트래픽에서 상당 부분을 차지하거나, 형편없는 성능으로부터 분명히 고통 받고 있다.
이에 대해 웹 애플리케이션과 관련 기술은 형편없는 성능으로 악명 높을 뿐만 아니라 점점 널리 보급되고 있다. 게다가 지사를 위한 ‘킬러 애플리케이션’이라 불리는 것들은 파일 관리나 이메일 기능을 포함하고 있다. 이런 코어 세트들에도 불구하고, 직원들은 궁극적으로 더욱 더 광범위한 애플리케이션에 접속하게 된다. 비디오, 그리고 멀티미디어 솔루션과 같은 가정용 유틸리티와 복잡한 비즈니스 소프트웨어는 서비스 지연과 대역폭을 잡아먹는 애플리케이션도 성능 향상으로 모두 이익을 볼 수 있다.
트래픽 최적화를 위해 최종 목적은 2가지라는 것을 인식하는 것이 중요하다. 게다가 서비스 지연을 최소화하기 위해 대역폭 사용을 절감해야 된다. 적어도 애플리케이션의 성능 향상은 기업이 네트워크 서비스 제공 기업에게 매달 제공하는 금액을 조절할 수 있도록 도와준다. 일반적으로 최적화 기술은 세 가지의 카테고리로 분류할 수 있다.
압축과 캐싱 기술. 이는 데이터 전송량을 감소시키고, 대역폭과 병목 현상을 조금이라도 완화시켜준다. 기본적으로 일반적인 압축 알고리즘은 분명히 한계가 있다. 인식, 캐싱 그리고 IP 트래픽의 연속적인 반복에 따라 광범위게 적용될 수도 있다. 결과는 메모리(약 10%의 감소)나 디스크(약 100%)를 감소시킬 수 있다는 것을 보여준다. 전통적인 캐싱 기술과 차이점은 데이터 차단 리스트와 부합하는 개인적인 오브젝트나 파일 전체를 차단한다는 점이다. 만일 파일이 수정된다면 데이터 차단 리스트를 업데이트하기만 하면 된다.
· 가속 기술 - 이는 한 번의 트랜젝션을 위해 ‘복잡하게’ 여러 번 데이터를 주고받는 애플리케이션의 행태에 영향을 줌으로써 대역폭을 감소시킨다. 이 부분에서 기본적인 수용성은 TCP 실행을 향상 시킨다. 예들 들어 받는 창이 보다 효율적으로 대역폭을 사용하고 에러 수정 기능을 통해 프로토콜 상의 선천적인 부하를 감소시킨다. 그러나 프로토콜과 특정 애플리케이션 최적화에 있어서도 필수 요소로 자리 잡았다. 일반적으로 가속화는 오브젝트 캐싱과 데이터 교환의 횟수를 줄임으로써 가능하다.
· 통제 기술 - 이는 효과적으로 엔드 투 엔드 서비스 지연을 줄여준다. 이 분야에서의 기본적인 기능은 전통적인 서비스의 질과 대역폭 관리 메커니즘으로 연장되고 있는 중요한 트래픽이 네트워크를 빨리 지나칠 수 있도록 도와준다. 일반적으로, 트래픽 우선순위는 대역폭이 경직되거나 엔드 투 엔드 경로가 트래픽 포화 상태나 과부화가 걸린 상태일 경우, 최대의 이점을 가질 수 있다. 두 번째 통제 기술은 바로 경로 최적화다. 이것은 데이터센터 교체를 통해 다이내믹한 라우팅 세션을 포함하거나 실시간 구동 상황의 평가를 기반으로 하는 엔드 투 엔드 경로에 포함함으로써 최적화를 시킬 수 있다.
이상적인 솔루션은 선천적인 인텔리전스 레벨을 포함하고 있어야 한다. 이는 특정 최적화 기술이 주어진 트래픽과 구성에서 반드시 이익을 제공할 수 있어야 한다. 어떤 경우에는 기본적인 압축 알고리즘과 연계돼 서비스 지연 문제가 구축 후 얻어지는 이익보다 큰 경우도 있을 수 있다.
2) 애플리케이션 보안 주요 기능 기준
애플리케이션 보안과 애플리케이션 가속 간의 연관성은 매우 중요하다. 포괄성이 성공의 열쇠다. 여기에서의 중요한 포인트는 모든 기능이 반드시 사내 커뮤니케이션과 인터넷 직접 연결을 안전하게 지원해야 하는 것이다. 기업은 다음의 특별한 보안 기능을 요구하고 있다.
· 사용자와 애플리케이션에 대한 세밀한 통제 - 사용자에 대한 인증과 그들을 주어진 역할에 기반해 적합하지 않은 애플리케이션에 대한 통제를 할 수 있어야 한다. 추가로 통제는 단지 포트와 프로토콜에 대해서만 집행되는 것이 아니라 개인적인 애플리케이션의 레벨에 대해서도 집행돼야 한다.
· 진보된 URL 필터링 - 정기적으로 업데이트되는 URL 데이터베이스를 기반으로 웹 사이트 접속을 통제하는 것만이 실시간으로 생겨나는 웹사이트에 대해 이상적으로 대처할 수 있는 방법이다.
· 진보된 위협 필터링 - 다중 프로토콜 보호는 바이러스나 웜에 대한 것뿐 아니라 스파이웨어와 같은 다른 유형의 위협에 대해서도 대응할 수 있어야 한다. 게다가 스크리닝은 알려진 위협뿐 아니라 탐지 메커니즘에 의해 인공 지능적으로 차단할 수 있어야 한다.
· SSL 탐지와 암호화 - 구성된 정책에 기반해 최적화나 탐지를 위해 정해진 트래픽에 대한 해독하고자 할 때 해독이 가능해야 하고 이를 다시 암호화해서 전송할 수 있어야 한다.
· 프록시 아키텍처 - 반드시 필요한 것은 아니지만 모든 프록시 기반의 제품은 다른 형식의 아키텍처에 비해 중요한 이점을 가지고 있다. 특별 프록시는 정밀 검색과 필터링 그리고 차단 기능에서 탁월한 성능을 보여준다.
모든 것을 하나로
애플리케이션 가속과 보안 능력을 모두 갖춘 완벽한 세트를 가지는 것은 반드시 필요하지만 충분하지는 않다. 앞서 언급한 통합 솔루션에 대한 이점은 만일 개인 기기의 성능이 뒷받침되지 않으면 무용지물이다. 이와 관련해 추가적으로 다음 사항을 포함해야만 한다.
· 관리의 중앙화·통합화·단일화 - 이는 기업의 능력과 높은 직관력과 주기 관리 기능까지 모든 것을 관장하는 여러 개의 디바이스를 하나로 통합, 관리할 수 있는 능력을 필요로 한다.
· 진정한 통합 - 만일 개인이 함께 있다 할지라도 확실히 통합돼 있지 않다면 기존 관리 시스템의 효율을 오히려 떨어뜨릴 것이다.
· 투명성과 호환성 - 일반적으로 보안과 가속 기능은 커뮤니케이션 트래픽을 투명하게 관리할 수 있어야 한다. 다른 말로 하면 그들은 트래픽(예를 들면 패킷 헤더)을 다른 네트워크나 시스템으로 관리가 가능하도록 변환해서는 안 된다. 호환성에 대해서는 그들은 사용자 인증, 로깅, 네트워크 인터페이스와 같은 주요 서비스에 대해 다양한 옵션을 가지고 있어야만 새로운 시스템이나 기술이 도입됐을 때 원활한 운용이 가능하다.
성능·보안 향상 방법 강구 ‘필수’
컴퓨터 자원의 집중화, 사용자의 분산화, 애플리케이션의 복잡성, 그리고 정보보호를 요구하는 기업에게 선택의 여지는 그다지 많지 않다. IT는 반드시 애플리케이션, 특히 지사나 원격 사용자들에 대한 성능과 보안 향상을 위한 방법을 강구해야만 한다.
이런 여러 요건을 충족시키는 단일 장치의 운영은 각각의 기능을 위해 구축된 여러 개의 장치를 운영할 때보다 몇 가지 장점들을 가지고 있다. 암호화된 트래픽 가속이나 중복되는 프로세스 제거 등 비용 절감이나 네트워크 구성 단순화뿐 아니라 성능과 보안성을 극대화시켜 줄 수 있다.
