“SDN, 보안 기술 패러다임 바꾼다”
상태바
“SDN, 보안 기술 패러다임 바꾼다”
  • 데이터넷
  • 승인 2014.09.19 11:58
  • 댓글 0
이 기사를 공유합니다

SDN 기술로 악성코드 탐지·지능형 네트워크 보안 강화

네트워크의 컨트롤 플레인을 별도로 분리시켜 중앙에서 관리하도록 하는 소프트웨어 정의 네트워크(SDN)의 패러다임을 보안 기술에도 적용하면 보안의 패러다임을 바꿀 수 있다. 네트워크를 중앙집중적으로 관리할 수 있어 네트워크 전반의 보안위협 가시성을 확보할 수 있으며, 방대한 범위에서 정보를 수집해 빅데이터 기술로 분석하면 알려지지 않은 보안위협을 찾아낼 수 있다. SDN 기술을 이용한 보안 기술의 진화 방향을 살펴본다.<윤성업 콤텍시스템 ICT지원사업부 금융기업팀 이사>

인터넷 사용이 폭증하면서 이동성, 보안, 품질보장 한계 등의 기존 인터넷에 내재된 구조적인 문제점이 드러나게 됐다. 이를 해결하기 위해 다양한 미래 응용서비스를 빠르고 안전하게 사용할 수 있도록 하는 미래지향적 네트워크 및 서비스 인프라 구축이 요구된다.

정부에서도 스마트 인터넷을 미래 인터넷의 초기 보급모델로 정의하고 개방화, 지능화, 가상화 기반의 네트워크로 대변되는 프로그래머블 네트워크를 조기에 구축할 계획을 추진하고 있다. 이에 따라 장비업체, 통신업체, 인터넷업체, 연구소 등이 협업형 R&D 추진을 통해 관련 산업 활성화 및 기술경쟁력을 높이기 위해 매진하고 있다. 또한 네트워크의 개방화와 가상화를 위해 소개된 소프트웨어 정의 네트워킹(SDN) 기술과 네트워크 기능 가상화(NFV) 기술 연구개발에 초점을 맞추고 있다.

중앙집중 관리 가능한 SDN
SDN은 네트워크 자원의 개방화 및 가상화를 통해 네트워크 설정을 소프트웨어적으로 제어할 수 있도록 하는 기술이다. 기존 네트워크 기술은 분산된 하드웨어에 제어기능이 개별 관리되는 비유연성 구조를 기반으로 하는데 반해, SDN 기술은 제어기능을 별도로 분리해 중앙집중식으로 관리해 데이터 전송만 담당하는 분산 하드웨어를 적시에 제어 가능한 유연한 네트워크 구조를 제공한다.

SDN 기술을 이용하면 서비스 제공자가 가상적으로 분리된 네트워크 자원을 서비스의 특성과 상황에 따라 동적으로 제어할 수 있다. 이를 통해 고품질 서비스를 제공할 수 있고, 통신망사업자와 서비스 제공자 간의 새로운 비즈니스 생태계가 창출될 수 있다. 뿐만 아니라 통신망 사업자로 하여금 능동적이고 자동화된 네트워크 자원 통제·관리를 가능케 해 통신망의 관리비용 절감과 함께 돌발상황 대응에 따른 민첩성 향상 효과를 얻을 수 있다.

SDN이 캠퍼스 네트워크를 타깃으로 시작해 현재는 클라우드형 데이터센터를 위한 미래 네트워킹 기술로 확장되고 있는 반면, NFV 기술은 통신사업자들이 사용하고 있는 네트워크 장비 내의 여러 기능들을 분리시켜 소프트웨어적으로 제어 및 관리가 가능하도록 가상화시키는 방향으로 발전하고 있다.

NFV를 구현하는 방식은 다양하지만 일반적으로 네트워크 장비 내 기능을 데이터센터 내에 위치하는 대용량 서버, 대용량 저장장치, 그리고 대용량 스위치로 분리한다. 그 다음 표준적인 방법으로 액세스할 수 있도록 하고, 이 장비에 소프트웨어적으로 개발된 네트워크 기능을 자동적으로 설치·동작되도록 하며, 이동할 수 있도록 하는 네트워크 구조를 만든다.

NFV 기술을 이용하면 네트워크 장비 비용과 전력손실 절감으로 인한 자본투자(CAPEX) 와 운영비용(OPEX)을 감소시킬 수 있다. 또한 새로운 네트워크 서비스 시장 투입에 필요한 시간을 단축하고, 투자비용 회수를 촉진하며, 유연한 서비스를 보장받을 수 있다. 더불어 스케일 관리가 용이해지고, 가상 기기와 순수 소프트웨어 참여 시장 개방, 새로운 혁신적 서비스개발 기회 증대 등의 효과도 기대할 수 있다. 이 기술은 네트워크의 개방화를 실현하기 위해 표준화 활동을 중심으로 연구 및 개발이 각각 진행돼 왔으며, 산업 및 시장이 요구하는 기술적 지향점이 모두 표준에 반영되고 있다.

SDN 기술은 폐쇄적이었던 네트워크 장비들을 열린 구조로 바꾸고 소프트웨어로 제어할 수 있는 가능성을 통해서 네트워크 구조의 새로운 패러다임을 이끌고 있다. SDN이 시작한지 얼마 안되는 짧은 시간 동안에도 네트워크의 관리적인 측면에서 많은 발전을 이루고 있다. 트래픽의 미세흐름 조정을 통해 네트워크의 효율성을 높이고, 지금까지 어려웠던 QoS 보장 기술을 확보하며, 손쉬운 장비 관리 등 네트워크의 성능과 관리성을 향상시킬 수 있다.

SDN을 이용하면 IDS/IPS의 대응 범위를 게이트웨이부터 네트워크 전체로 확대해 대응 범위를 더욱 확장시킬 수 있고, 또한 다양한 네트워크 환경에 대응할 수 있도록 분산성을 강화할 수 있다. SDN의 분산성을 강화해 게이트웨이뿐만 아니라 엔드포인트까지 기업의 네트워크 전역에서 멀웨어, 스파이웨어, 봇넷의 위협으로부터 보호할 수 있는 능력을 갖출 수 있다.

▲오픈플로우 통한 네트워크 보안 구성 전후 비교

오픈플로우와 SDN 통한 네트워크 보안
오픈플로우 기반 SDN의 장점은 네트워크의 안정성과 보안성이다. 즉 오픈플로우를 이용해 불법 트래픽을 자동으로 감지하고 이에 대한 처리가 가능하다. 또한 악의적 트래픽이 발생 했을 때 IDS/IPS를 반드시 경유하도록 경로를 변경할 수 있다.

기존 네트워크 환경에서는 IDS/IPS를 이용해 내부망에서 악의적 트래픽 발생 시 감지하기가 어려웠다. 하지만 오픈플로우 망 내에서는 관리자의 정책에 따라 악의적인 트래픽을 동적으로 IDS/IPS를 경유하도록 경로 변경이 가능하다.

이외에도 DDoS, 내·외부에서 행해질 수 있는 공격, 멀웨어 탐지를 통한 엔드포인트 보안, 가상화 서버 보안을 위한 네트워크 보안가상화 등을 통해 오픈플로우 망 내 위해를 일으킬 수 있는 모든 트래픽에 대한 파악과 처리가 가능하다는 점도 오픈플로우 기반 SDN의 장점이다. 이를 기반으로 네트워크 망의 안정성을 확보할 수 있다.

네트워크 보안 가상화는 기존의 정적인 규칙을 통해 관리되던 가상 방화벽과는 달리 네트워크 보안 정책 뿐만 아니라 실시간 세션 상태를 확인해 자동으로 네트워크 패킷을 분산함으로써 병목현상을 해소할 수 있다.

네트워크를 중앙 집중화해 관리할 수 있기 때문에 네트워크 전체에 걸친 접근제어(Access Control)나 보안정책 관리를 자동화해 관리자가 편리하게 보안 관리를 할 수 있도록 도와준다. 최근에는 이러한 오픈플로우 기술을 기반으로 하는 상용 컨트롤러 기술 벤더들이 보안 시장으로 진입하고 있다.

· DDoS 보안
SDN 기술을 이용한 보안 제품은 네트워크 전반에 걸친 공격 차단 서비스와 DoS 및 DDoS 방어가 가능하다. SDN 제어장치의 노스바운드(Northbound) API를 이용해 기본적인 DDoS 방어 서비스를 프로그래밍할 수 있다.

SDN 컨트롤 플레인을 활용해 데이터 플레인을 수집하고 제어함으로써 DDoS 방어를 장비 기반에서 네트워크의 전반적인 서비스로 옮겨와 매우 낮은 비용으로 네트워크 증가 값을 지능적으로 추출해 실시간으로 네트워크 공격을 탐지할 수 있다. 이렇게 SDN 기술의 프로그래밍을 사용해 DoS와 DDoS 네트워크 플러딩 공격을 적극적으로 방어할 수 있다.

오픈플로우에 기초하는 네트워크 전반에 걸친 통계 자료를 수집해 기업 인프라의 과거 데이터와 종합해 임계치를 설정해 자동으로 공격에 대응할 수 있도록 마이그레이션 할 수 있다. 정상 트래픽 기준을 설정하게 되면 DDoS 공격으로 판단되는 비정상 트래픽을 식별하기 위해 통계 자료를 이용할 수 있다.

전통적인 DDoS 공격 방어 솔루션이 순수한 속도 기반이었다면, SDN 기술을 이용해 속도 기반 파라미터와 속도와 관계없는 파라미터 둘 사이의 상관관계를 통해 공격의 정도를 결정할 수 있다. 공격이 탐지되면 의심스러운 트래픽을 우회할 수 있도록 네트워크를 프로그래밍하면 된다. 이때, 노스바운드 API를 이용해 공격으로부터 개체를 보호하기 위해 트래픽 경로를 재설정할 수 있다.

· 악성코드 보안
네트워크상의 유저가 웹사이트에 접근할 때 DNS 요청이 생성된다. 생성된 요청과 보유하고 있는 멀웨어 배포원 리스트와 일치했을 경우, 오픈플로우 프로토콜을 이용해 네트워크 전체에 걸쳐 대응 방법을 마련한다. 세부적으로는 멀웨어 배포원의 요청을 리디렉션할 수 있는 것 외에 유저에게 경고 송신 등의 조치도 할 수 있다.

예를 들어 기업의 사용자가 이메일에 포함된 링크를 클릭했을 경우 다음과 같은 동작이 실행된다.

- 사용자의 DNS 쿼리가 로컬에 존재하는 오픈플로우 기반의 액세스 스위치로 전송된다.
- 오픈플로우 정책에 따라 SDN 컨트롤러에 해당 트래픽을 전달한다.
- SDN 컨트롤러가 쿼리를 수신하면, 멀웨어 배포원 DB의 호스트네임과 일치하는지 확인한다.
- 해당 사이트가 합법적이라고 판단하면 쿼리는 제어 계층의 스위치를 통해 전달된다. 반면 해당 사이트가 문제가 있다고 판단되거나 위협을 감지하면, 클라이언트에게 해당 패킷을 돌려보내고 로그관리 시스템에 로그를 남기는 등의 조치를 취해 사용자가 위협에 접근하는 것을 방지한다.

이러한 동작은 웹트래픽 전체가 아닌 DNS 트래픽만을 캡처하고, 처리하기 때문에 높은 효율성을 갖는다.

· 가상화 보안
SDN 기술을 이용하면 자동화된 워크로드 프로비저닝의 광범위한 채택과 데이터센터의 가상화 확산으로 인해 야기되는 특수한 문제점과 기회에 맞게 설계된 새로운 형태의 네트워크 보안 솔루션을 제공할 수 있다. 가상화는 초기에는 서버 통합과 같은 주로 전략적인 이익을 위해 배치됐으나 현재 가상화는 IT가 비즈니스에 더욱 적합하고 즉각적인 반응을 위한 동적 할당과 워크로드 프로비저닝을 위한 기술의 사용이 점차 증가하고 있다.

이처럼 가상화는 현재 컴퓨팅을 위한 주류다. 소프트웨어 정의 스토리지(SDS)와 SDN을 통해 스토리지와 네트워킹의 가상화가 가능하다. 또한 소프트웨어 정의 보안(SDSec)이라는 새로운 종류의 솔루션을 개척해 가상화를 네트워크 보안 영역으로 확장시키고 있다.

SDN은 전달 플레인(Forwarding plane)으로부터 네트워크 컨트롤 플레인을 추출한다. 즉 보안 컨트롤 플레인(Security Control plane) 또한 분리가 가능하다. 그 결과 어떠한 환경에서도 단일 시스템처럼 동작하고, 가상 머신처럼 밀접하게 결합할 수 있는 동적인 분산시스템이 된다.

SDN을 이용하면 동적이고 민첩한 가상 환경에 적용돼 기존 보안 솔루션과 호스트 기반의 가상 보안 솔루션이 가지고 있는 프로비저닝, 토폴로지, 성능, 병목 현상을 해결할 수 있다. 이는 단독으로(Standalone) 동작하는 소프트웨어인 가상 방화벽과는 다른 형태로 동작할 수 있다.

가상방화벽은 다양한 보안 기능을 가지고 동작하지만, 기존의 방화벽처럼 정적인 규칙에 따라서 제어되고 관리된다. SDN을 이용하면 네트워크 보안 정책뿐만 아니라 실시간 세션 상태까지도 컨트롤 플레인에서 파악해 자동적으로 분산처리가 가능하다.

그 결과 컴퓨터와 네트워크 가상화를 통한 데이터센터 가상화를 방해했던 병목 현상을 제거한다. 또한 가상화와 소프트웨어 정의 프로비저닝의 제공으로 데이터센터 설계자와 운영자에게 더욱 유연해지고 효과적인 아키텍처를 제공한다.

기존 보안의 성능과 위상적 제한은 물리적 인프라와 가상 영역에서 같은 상황이다. 가상화는 많은 네트워크의 설계 규칙을 바꿨지만, 네트워크 기반 보안의 필요성을 제거하지는 못했다. 가상화가 변화시킨 것은 언제, 어디서나 위치에 독립적인 네트워크 레벨의 보안 정책 필요성이다. 이는 근본적인 새로운 요구 사항이고, SDN이 해결책이 될 수 있다.

▲SDN 기능 이용한 방화벽 구현

· SDN 이용한 방화벽 구현
방화벽이란 외부로부터 내부망을 보호하기 위한 네트워크 구성요소 중의 하나로, 외부의 불법침입으로부터 내부의 정보자산을 보호하고 외부로부터 불법정보 유입을 차단하기 위한 정책과 하드웨어 및 소프트웨어를 총칭한다.

관리자는 정해진 보안 정책에 따라서 호스트A가 호스트B에 접근하는 것을 차단하기 위해서 방화벽을 설정한다. 이후 정책에 위배되는 패킷을 방화벽에서 차단해 내부로 유입되지 못하도록 한다. 보통 네트워크의 관문단에 설치되며, 외부로부터의 트래픽을 보안정책에 따라 차단한다. 그러나 내부 공격자에게는 여전히 취약하기 때문에 이를 위해서는 분산 방화벽을 사용한다. 즉 다수의 방화벽을 네트워크 내부 곳곳에 설치하는 것이다.

이러한 방화벽 기술은 보편적으로 사용되는 일반화된 기술이지만, 아직도 복잡하고 규모가 큰 네트워크에 적용할 때, 설치 위치 결정의 문제가 있다. 어느 위치에 설치를 해야 모든 패킷을 빠짐없이 검사할 수 있을지를 찾아야 하는데, 네트워크 구조가 복잡하고 트래픽이 유동적인 네트워크에서는 이를 찾기가 쉽지 않다. 네트워크 내부에 분산 방화벽을 구축했다고 할 때, 호스트 1의 공격자가 호스트 4로 보내는 트래픽은 차단할 수 있으나, 방화벽 경로를 우회해 보내는 트래픽이나 호스트 3으로 보내는 트래픽은 차단하지 못한다. 그렇다고 네트워크의 모든 구간에 방화벽을 설치하는 것은 비용적/관리적으로 거의 불가능하다.

이런 경우에 SDN을 이용한 방화벽 구현이 가능하다. 관리자는 방화벽 애플리케이션을 구동하고 보안 정책을 수립한다. 그리고 스위치가 플로우 룰을 요청하면 방화벽 애플리케이션은 플로우 정보를 분석하고 정해진 보안 정책에 따라 패킷을 전달 혹은 폐기 하도록 하는 플로우 룰을 스위치로 전달한다. 스위치는 이 룰에 따라서 패킷을 전달 혹은 폐기한다.

예를 들어 공격자 A가 호스트 B에 패킷을 보냈을 때, 방화벽 애플리케이션이 보안정책에 위배된다고 판단해 차단을 결정하면 스위치는 이 룰에 따라 패킷을 폐기한다. 이 과정은 방화벽에서 이뤄졌던 방식과 동일하게 이뤄진다.

SDN을 사용하면 분산 방화벽도 완벽하게 구현할 수 있다. 네트워크의 모든 스위치에 보안 정책을 매우 쉽게 적용할 수 있기 때문에, 방화벽 설치의 비용문제를 걱정하지 않아도 되고 빈틈없이 네트워크를 보호 할 수 있다. 방화벽 애플리케이션은 보안정책에 따라 각 스위치에서 가져야 할 플로우 룰에 따라서 플로우 요청에 응답하고 플로우 룰을 전달한다. 방화벽 애플리케이션에 의해서 만들어진 플로우 룰을 가진 스위치는 방화벽과 같은 동작을 수행한다.

▲SDN 기능 이용한 침입 탐지/차단 시스템 구현

· SDN 이용한 침입탐지시스템 구현
최근 네트워크 공격은 무작위 공격보다 특정 목표를 정해놓고 매우 정교한 사전 준비작업을 통해서 이뤄지기 때문에 방화벽만으로는 완벽한 대응이 어렵다. 따라서 네트워크에서 발생하는 패킷 정보를 모두 분석해 공격을 찾아내는 방법이 필수적이다. 비인가된 사용자가 보안정책을 위배하는 행위를 하는지 실시간으로 탐지하는 SNORT와 같은 침입탐지 시스템(IDS)을 사용한다. IDS는 네트워크 패킷을 읽어 패킷 헤더와 내부 내용까지 분석 DPI(Deep Packet Inspection) 기술로 공격을 탐지한다.

IDS는 네트워크 장치(스위치 혹은 라우터)에 연결돼 그 장치를 오가는 모든 패킷을 모니터링해 특정 공격패턴이 있는지를 찾아낸다. 이때 네트워크 장치는 복사된 패킷을 IDS로 보낸다. 만약 공격이 탐지됐다면 이를 관리자에게 알린다. 그러나 IDS가 공격을 탐지했다고 경고를 알리는 것만으로는 완벽한 대처가 될 수 없으며, 이 공격을 차단해 네트워크의 피해를 최소화해야 한다. 이를 위해 개선된 시스템이 네트워크 침입 차단 시스템(IPS)이다. IPS는 네트워크 장치에서 복사된 패킷을 받아보는 것이 아니라, 네트워크의 회선 상에 위치해 패킷을 분석하고, 공격이 탐지되면 바로 공격을 차단한다.

하지만 IPS도 네트워크 모든 구간을 보호하기 위해서는 다수의 시스템 설치가 필요한데, 방화벽과 마찬가지로 비용 및 관리의 문제가 있다. 또한 IPS는 회선 상에 존재하는 장비이므로 장비에 문제가 발생하면 네트워크 전체의 장애요인이 될 수도 있다.

이러한 문제점 역시 SDN으로 해결할 수 있다. IDS/IPS 애플리케이션이 콘트롤러 상에서 동작하고 있고, 네트워크 장치는 모든 패킷의 내용을 미러링을 통해서 애플리케이션으로 전달하게 된다. 네트워크 침입탐지기능을 하는 애플리케이션은 패킷들의 내용을 분석해 공격 패턴이 있는지를 확인한다.

공격이라고 판단되면 공격을 차단하기 위해서 네트워크 장비로 플로우룰을 만들어 보내면, 네트워크 장비는 공격 패킷들을 차단하기 때문에 IDS/IPS의 기능을 충실하게 수행할 수 있다. SDN 기능을 사용해 구현을 하게 되면 분산 방화벽과 마찬가지로 분산 IDS/IPS를 손쉽게 구현할 수 있으므로, 비용/관리 측면 모두에서 장점을 갖는다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.