[데이터넷] 네트워크 및 보안 솔루션 관련 뉴스에서 자주 등장하는 표현 중 하나는 ‘급변하는 주변 환경에 따른 기술의 변화’다. 이러한 표현은 관용구처럼 사용되기 때문에 새롭게 느껴지지 않을 수 있으며, 기술에만 집중하다 보면 기업의 비즈니스 요구사항에 맞춰 기술을 적용해야 한다는 사실을 간과할 수 있다. 이로 인해 보안 기술과 정책은 앞서 있지만 비즈니스 경쟁력은 뒤쳐질 수 있다.

기술을 도입하기에 앞서 이를 비즈니스에 어떻게 적용해야 하는지 파악해야 한다. IT 관리자는 기업이 처한 경쟁 상황을 이해하고 기업의 비즈니스 전략에 맞춰서 직원들이 최적의 기술을 수용하고 적용할 수 있는 환경을 만들어야 한다.

가트너는 디지털 엔터프라이즈 환경의 변화에 대해서 다음과 같이 설명한다.

SASE, 클라우드 동적 엣지 사용 서비스 제공

IT 환경의 변화에 맞춰 가트너는 네트워크와 보안을 통합하는 SASE(Secure Access Service Edge) 모델을 제안했다. SASE는 단일 글로벌 분산형 클라우드 네이티브 플랫폼에서 통합된 네트워크와 보안 서비스를 제공하는 것을 말한다. 즉, 위치를 기반으로 기업의 경계를 정하는 것이 아니라 클라우드에서 동적인 엣지 처리 능력을 통해 필요한 서비스를 제공해야 한다는 것을 의미한다.

SASE는 어떤 유형의 사용자가 네트워크에 접속하려고 하는지, 어떤 유형의 인프라가 현재 구성돼 있는지 파악하고 향후 계획을 수립하도록 한다. 사용자의 유형에 따라 인프라에 접속하는데 필요한 솔루션의 사용 사례는 다음과 같다.

• 직원과 파트너사가 관리되지 않는 디바이스로 접속할 가능성이 있고, 온프레미스 데이터센터에서 호스팅되는 엔터프라이즈 애플리케이션에 접속해야 할 때가 있다. 이러한 경우 SASE는 제로 트러스트 네트워크 액세스(ZTNA) 솔루션을 통해서 특정 지역에서의 접근 제어, 웹 애플리케이션 및 API 공격에 대한 차단 서비스, 암호화된 트래픽 검사를 통한 민감한 데이터 유출 방지 등을 고려해야 한다.

• 모바일 사용자가 업무 시간 이후 혹은 이동중에 기업의 관리를 받는 디바이스로 세일즈포스와 같은 SaaS 기반 CRM에 접속하는 동시에 브라우저에서 인터넷을 사용하는 경우가 있다. 이때, SASE는 DLP, 멀웨어 검사, UEBA, 와이파이 보호 등의 서비스와 함께 최적화된 QoS 서비스 및 SaaS 가속 서비스를 고려해야 한다.

• IoT 디바이스 센서 데이터는 분석의 목적으로 엣지 컴퓨팅 기반의 네트워크 및 컴퓨팅에 접속해야 하고 해당 정보는 클라우드 네트워크로 전송돼야 한다. 여기서 SASE는 IoT 디바이스에 대해서 지연시간이 낮은 ZTNA를 제공하고, IP 주소 정보를 난독화하거나 API 보안을 통해 신속하게 암호화된 클라우드 플랫폼과 연결해야 한다. 그리고 엣지 컴퓨팅의 위치는 SASE에서 제공하는 FWaaS를 통해 인바운드 공격을 차단해야 한다.

전 세계 직원에 안전한 업무 환경 지원

SASE 모델을 기반으로 아카마이가 고객에게 필요한 기능을 제공한 사례는 다음과 같다.

• 글로벌 자동차 제조사 A사

A사는 전 세계에 위치한 데이터센터와 클라우드 서비스를 하이브리드 형태로 사용하고 있었는데 기존의 온프레미스 솔루션의 기술적인 제약과 비효율성 때문에 고민하고 있었다. 이러한 도전 과제를 극복하기 위해 제로 트러스트 네트워크 보안 모델로의 이전을 고려했다.

아카마이는 A사에게 애플리케이션에 안전하게 접속하면서 보안 포스처(Security Posture) 기능을 사용하는 것을 제안했다. A사는 내부 사용자에게 안전한 사용자 경험을 제공할 수 있었으며 웹 사이트의 보안 및 속도 가속 기능을 통한 디지털 트랜스포메이션으로 생산성과 매출을 강화할 수 있었다.

• 글로벌 제조사 B사

B사는 멀웨어 공격으로 인해 비즈니스 운영에 악영향을 받은 후 보안 침해 복구 서비스 기업과 협력해 IT 환경의 보안을 복원하고 개선하고자 했다. 직원의 노트북에서 시작된 공격은 기업의 백업 서버에 침투했을뿐 아니라 빠르게 확산하면서 대부분의 운영 위치에 영향을 미쳤다.

방화벽 전체에 인터넷 접속 제한 룰을 적용하는 등의 초기 방어 방법은 빠르게 악화되는 보안 침해를 막기엔 너무 느렸다. 환경의 복잡성과 분산된 엔터프라이즈 네트워킹으로 인해 제한 룰 구현 및 적용이 느리고 효과가 없었다. 또한 레거시 컴퓨터에 대한 가시성은 보안 침해를 조사하고 방어하는 업무를 담당하는 인시던트 대응 담당자에게 중요한 문제였다.

보안 침해 복구 서비스 기업은 멀웨어가 더 많은 자산으로 측면 확산하기 전에 세그멘테이션을 신속하게 가속해야 할 필요성을 느끼고 아카마이 가디코어 세그멘테이션(AGS)을 추천했다. 단계 별 복구 과정에서 도입한 내부 데이터센터 세그멘테이션 덕분에 공격면이 크게 축소됐이다. 현재 이 기업의 보안 체계는 크게 개선됐고 향후 보안 침해의 영향이 줄었다.

• 대형 은행 C사

C사는 미국의 중서부의 30여 곳에서 자산 보호를 책임지고 있는 대형 은행으로 모든 금융 기관과 마찬가지로 해당 업계의 중요한 컴플라이언스 요구 사항이 적용되는 곳이다. 은행은 상당한 양의 금융 및 개인 식별 정보를 처리하고 저장한다. 공격자들은 종종 은행 환경을 표적으로 데이터 탈취를 시도하는데 네트워크가 지나치게 평면적이면 보안과 컴플라이언스가 모두 위험해질 수 있다.

이러한 리스크를 인지한 C사의 IT 보안팀은 중요한 10개의 애플리케이션들을 보호하기 위한 프로젝트에 착수했다. 팀의 궁극적인 목표는 IT 자산이 감염되는 경우 기존 공격면을 축소하고 측면 이동 공격을 방지하는 데 있었다. 아울러 C사는 서비스 제공업체 및 기타 써드파티가 각각의 기능에 필요한 부분에만 접속하도록 제한하는 것을 2차 목표로 삼았다.

이러한 상황에서 관련 팀은 애플리케이션을 세분화된 세그멘테이션으로 보호하는 것이 가장 좋은 방법이라고 판단했다. 이렇게 하면 비즈니스 연속성 및 브랜드 평판에 대한 향후 보안 침해의 영향을 크게 줄일 수 있고 애플리케이션 접속을 엄격하게 관리할 수 있다.

더욱이 클라우드 도입이 임박하고 여러 애플리케이션을 마이크로소프트 애저로 마이그레이션하려고 계획하고 있는 상황에서 기업이 선택한 모든 솔루션은 클라우드를 지원해야 했다.

4명의 보안 관리자가 쉽게 클라우드 보안 운영

C사는 처음에 VLAN과 레거시 방화벽으로 애플리케이션을 보호하려고 했다. 그러나 기업 전체의 수많은 필수 네트워크 변경 조정은 더디게 진행됐다. 이러한 과제에 더해 환경 전반의 가시성은 지극히 제한적이었다. 이 때문에 프로젝트의 범위 지정과 계획 수립이 어려워졌다. 기존의 접근 방식으로는 진척이 너무 느려서 결국 다른 솔루션을 검토하기 시작했다.

IT 보안팀은 자산 가시성을 제공하는 아카마이의 ASG를 선택했다. ASG 도입으로 C사는 4명의 보안 관리자로 구성된 소규모 팀이 추가 솔루션 없이 정책 생성 및 적용을 손쉽게 관리할 수 있었다. 더불어 아카마이의 솔루션은 C사가 원하는 미래 전략에 부합했고, 새로운 하이브리드 클라우드 환경에서 세그멘테이션 정책을 적용할 수 있는 능력과 가시성을 동시에 제공할 수 있었다.

불과 이틀만에 은행 인프라와 IT보안팀의 의사결정자들은 아카마이의 기술이 마이크로 세그멘테이션에 이르는 가장 빠르고 간단한 경로를 제공한다는 데 의견이 일치했다. 아카마이와 협력하기 전에 이 은행은 세그멘테이션 프로젝트 추진을 위해 막대한 인프라 교체 및 기존 방화벽 비용을 지출할 것으로 예상했지만 아카마이 솔루션을 통해서 예전에 부족했던 이스트 웨스트(East-West) 트래픽 가시성을 즉시 확보했다. 이러한 명확성을 통해 환경 내 애플리케이션 종속성을 매핑하고 파악할 수 있었다.

이제 C사는 기존의 비즈니스 크리티컬 애플리케이션 10개를 신속하게 보호하고 써드파티의 환경 접속을 제한할 수 있다. 이와 더불어 새롭게 확보된 가시성을 통해 애플리케이션을 원하는 클라우드로 안전하고 원활하게 마이그레이션하면서 새로운 환경 전반에서 발생할 수 있는 위협을 탐지할 수 있다.

분산환경에서도 단일 보안·접근제어 필요

네트워크 경계 및 위치를 기반으로 하는 기존의 온프레미스 서비스의 한계를 극복해야 한다. 네트워크 및 보안팀은 사용자를 보호하고 기업용 애플리케이션에 대한 접속을 제공하는데, 한정된 자원으로 리스크를 줄이고 비즈니스 요구사항에 부합하기 위해서는 단일 보안 및 접근 제어 솔루션이 필요하다. 또한 대규모 혹은 정교한 DDoS 및 웹 애플리케이션 공격으로부터 애플리케이션을 보호하면서 동시에 빠르고 안정적이며 안전하게 애플리케이션에 접속할 수 있도록 해야 한다.

네트워크 및 보안 엔지니어는 기업에서 SASE 네트워크 및 SASE 보안으로 가기 위한 우선순위를 확인하고 이에 맞는 새로운 기술의 적용 계획을 세워 급변하는 환경에 신속하게 대응할 수 있기를 바란다.

아카마이는 안전한 애플리케이션과 인터넷 접속을 위해 참고할 수 있는 네트워크 아키텍처를 다음 그림과 같이 제안한다.

1. 사용자는 아카마이 지능형 에지 플랫폼을 통해 기업용 애플리케이션과 웹에 접속한다.
2. 온프레미스, 클라우드 기반 또는 아카마이의 ID 저장소를 사용해 사용자의 계정을 설정한다.
3. 기업용 애플리케이션을 위한 멀티 인증은 이메일, SMS, TOTP, 아카마이 MFA, 또는 듀오 시큐리티와 같은 서비스와의 원활한 통합을 지원한다.
4. 위협 보호는 기업에 대한 가시성을 제공하면서 멀웨어, 피싱 및 악성 웹 콘텐츠로부터 사용자를 보호한다.
5. 기업용 애플리케이션의 경우 프로토콜 및 경로 최적화를 통해 트랜잭션이 가속화되고 캐시에서 콘텐츠를 제공해 성능을 개선하고 클라우드 대역폭 비용을 줄일 수 있다.
6. 엣지 서버는 네트워크 레이어 DDoS 공격을 자동으로 차단하고 웹 요청을 검사해 SQL 인젝션, XSS 및 RFI와 같은 악성 위협을 차단한다.
7. 사용자의 신원 및 위협 신호를 포함한 기타 신호를 기반으로 회사 전체 네트워크가 아닌 필요한 애플리케이션에만 접속 권한을 제공한다.
8. 아카마이 지능형 엣지 플랫폼은 승인 및 인증된 사용자를 기업용 애플리케이션으로 라우팅한다.
9. 고객 자산의 위치와 상관 없이 내부 자산에 대한 가시성과 마이크로 세그먼테이션 기반의 정책을 통해서 랜섬웨어 등의 공격에 대한 즉각적인 방어를 통한 측면 공격을 방어한다.

<박영열 아카마이테크놀로지스 상무>