SW 방식으로 네트워크 구성 없이·모든 환경서 적용 가능
[데이터넷] “경계가 사라진 클라우드 환경에서 보안 위협은 경계 내부에 존재한다.”
권중술 굿모닝아이텍 상무는 “기업이 처리하는 전체 트래픽의 15%만이 외부 트래픽이고, 나머지 85%는 내부 트래픽이다. 그리고 이 내부 트래픽을 이용해 공격자는 측면이동으로 감염 범위를 확장하고, 더 중요한 시스템과 데이터로 접근해 피해를 입힌다. 전통적인 경계보안에서 내부 트래픽 제어로 이동해야 할 시점”이라고 주장했다.
권 상무는 ‘제23회 차세대 보안 비전’의 ‘아카마이가 제시하는 제로트러스트 보안전략’ 세션에서 시스코 보고서를 인용하면서 이러한 주장을 펼쳤다. ‘내부 트래픽’이란 물리적으로 기업 네트워크 경계 내부에서 발생하는 트래픽뿐만 아니라 하이브리드 클라우드 환경에서 신뢰된 사람과 애플리케이션, 사물간 통신까지 포함한다.
권 상무는 “물리적 경계가 사라진 환경에서 ‘내부 네트워크’ 보호 문제를 해결하는 방법으로 ‘제로 트러스트’가 제안된다. 제로 트러스트는 새로운 솔루션을 추가하는 것이 아니라, 제로 트러스트 원칙의 접근방법으로 아키텍처를 개선하는 것”이라며 “기존 사용자 인증, 네트워크 구성, 디바이스 관리 정책을 분석해 제로 트러스트 아키텍처 접근 방법에 맞게 마이그레이션하고, 사용자 중심적이고 데이터 기반이며, 최소신뢰 영역을 갖는 제로 트러스트 엔터프라이즈를 구축해야 한다”고 말했다.
네트워크 전체 가시성 제공해 공격표면 감소
권 상무는 제로 트러스트 아키텍처 구현 방법 중 하나인 마이크로 세그멘테이션에 대해 자세히 설명했다. 세그멘테이션은 보안 침해 확산을 방지하기 위한 방법으로, 전통적인 네트워크 환경에서는 VLAN, 방화벽 등을 이용한 네트워크 세그멘테이션을 구성했다. 이는 서비스 중단을 필요로 하는 네트워크 변경이 필요하며, 복잡한 관리와 많은 비용이 발생한다.
가상환경이 확산될 시기에는 하이퍼바이저 세그멘테이션이 등장, 하이퍼바이저를 통과하는 모든 트래픽에 대한 세그멘테이션을 적용했다. 가상환경 안에서만 사용 가능하고, 레거시 환경에서는 결합이 어렵다는 단점이 있다.
굿모닝아이텍이 제공하는 아카마이의 ‘아카마이 가디코어 세그멘테이션(AGS)’는 소프트웨어 방식의 호스트 세그멘테이션을 제공, 네트워크 구성 변경 없이 모든 인프라에 적용 가능하며, 서비스 중단이 불필요하다. 컨테이너·쿠버네티스를 지원하고, 에이전트·에이전트리스 방식을 선택할 수 있다.
권 상무는 “마이크로 세그멘테이션을 구현하면, 네트워크 환경에 대한 완벽한 가시성을 확보할 수 있으며, 자산과 통신에 대해 완벽하게 이해할 수 있다. 그래서 제로 트러스트 정책에 위배되는 모든 위협과 위반사항을 모니터링하고, 측면이동을 탐지하며, 공격표면을 감소시키고, 중요 애플리케이션을 보호할 수 있다”고 말했다.
핀셋 보안 정책으로 하이브리드 클라우드 보호
마이크로 세그멘테이션은 네트워크 구성 환경에 따라 네트워크를 그룹화 해 관리할 수 있으며, 중요 애플리케이션을 중점 관리할 수 있다. ID 기반 접근제어와 서드파티 액세스 컨트롤, 중요 애플리케이션에 대한 최소권한 접근통제가 가능하다.
굿모닝아이텍은 마이크로 세그멘테이션 구현 시 단계별 적용을 강조한다. 기존의 네트워크 세그멘테이션 환경에서 LAN 내 추가 보안 적용을 위한 애플리케이션 기반 세그멘테이션을 적용한다. 다음으로 방화벽 룰을 마이그레이션하고, 모든 동-서 영역의 세그멘테이션을 적용한다. 최종적으로, 경계영역에 공통 방화벽을 두고, 소프트웨어 기반 세그멘테이션을 적용한다.
글로벌 IT 기업 A사는 마이크로 세그멘테이션 적용으로 350만개의 내·외부 연결통로를 파악하고 불필요한 토신과 검증되지 않은 통신을 차단해 120개의 필수 연결만 허용했다. 이로써 99.93%의 공격표면 감소 효과를 거뒀다.
국내 금융사 B사는 차세대 시스템을 프라이빗 클라우드로 구축하면서 AGS를 이용해 제로 트러스트를 적용, 클라우드 전반의 보안을 강화했다.
권 상무는 “경제위기를 돌파하기 위해 거시적인 경제 정책과 함께 ‘핀셋 정책’을 펼치는 것과 마찬가지로, 제로 트러스트 보안 전략에서 프로세스 단위의 ‘마이크로 세그멘테이션 핀셋 정책’으로 전체적인 보안을 강화할 수 있다”고 말했다.
