효율적 관리·보안 위해 가시성 확보 ‘필수’ … 시큐어 랜 스위치로 손쉽게 ‘가능’
네트워크 가시성 확보는 기업 담당자들이 가장 필요로 하는 것 중 하나다. 네트워크 가시성이 확보돼 있지 않다면, 효율적인 네트워크 관리는 요원한 일이다. 또한 네트워크 가시성이 없다면 효과적인 취약분석은 불가능하며, 효과적인 네트워크 증설 또한 불가능하다. 효율적인 네트워크 관리와 새롭게 등장하는 위협에 능률적으로 대처하기 위해서는 네트워크 가시성을 확보해 사전에 유해 가능성을 대비하고, 축적된 결과물을 통해 해결 방안이 마련돼 있어야 한다. 시큐어 랜 네트워크를 통해 보다 효과적으로 내부 네트워크에 대한 가시성을 마련하는 방안, 그리고 이로 인한 이점에 대해 알아본다. <편집자>
조영아 // SP코리아 차장
yacho@spkr.co.kr
대다수 기업의 네트워크 운영자에게 ‘현재 누가 내부 네트워크에 접속하고 있으며, 어떤 통신을 하고 있는지 알고 있는가?’라는 질문을 던진다면 자신 있게 대답할 수 있을까? ‘회사 네트워크에서 제일 많은 트래픽을 사용하는 사용자는 누구인가?, 제일 많이 사용하는 프로토콜은?, 허용되지 않은 서버에 접근을 시도한 사용자는?, 직원들이 가장 많이 접속하는 웹사이트는?’이란 질문도 마찬가지다.
위와 같은 질문들은 기업의 내부 네트워크의 가시성 수준을 판단할 수 있는 것들이라고 할 수 있다. 지금까지 대부분의 기업들은 보안 위협으로부터 정보 및 시스템을 보호하기 위해 많은 노력을 기울여왔다. 그럼에도 불구하고 새로운 위협과 애플리케이션을 대상으로 한 다양한 공격 형태로 인해 보안 사고가 빈번하게 발생하고 있으며, 네트워크 공격에 대한 심각성은 더욱 증가하고 있다. 이러한 상황에서 완벽한 네트워크의 보안과 관리를 위해 가장 근본적이면서 효과적인 대안은 네트워크 가시성 확보라고 하겠다.
네트워크 발전과 보안 과제
네트워크 장비가 보급되던 초기에는 제한된 사용자들만이 네트워크에 접근할 수 있었다. 가장 근본적인 보안이 적용된 상태의 사용이었고, 선결과제는 성능 즉 속도 개선이었다. 이후 랜 기술과 장비는 속도에 중점을 두어 공유(Shared) 허브(Hub/Bridge)에서 지금의 10GbE(Gigabit Ethernet)의 속도를 보장하는 단계로 발전해 왔다.
이 과정에서 네트워크는 업무 효율성 및 효과적인 통신을 위해 개방 구조를 기반으로 급격히 발전돼 초고속 인터넷 서비스와 함께 기업 내 핵심 통신망으로 자리잡게 됐다. 속도와 개방이라는 기술적인 배경 하에 확대돼 온 네트워크는 그 복잡성과 관리의 어려움으로 인해 ‘보안’이라는 문제가 점점 중요 핵심 사안으로 떠올랐다. 보안 방안 도입 초기에는 방화벽, 침입탐지 시스템과 같은 경계 지역의 보안을 강화했고, 웜 바이러스, 내부 보안 사고, 불필요한 네트워크(인터넷 포함) 사용 등을 제어하기 위해 오늘날 수많은 보안 시스템이 도입되고 있다.
그러나 이러한 대응은 네트워크의 구성의 복잡성을 포함해 관리의 어려움 역시 동시에 증가시키는 문제점이 뒤따라온다. 또한, 단말을 통해 발생되는 보안 문제를 해결하기 위해 단말 보안이 강화되기 시작했고, 이것은 곧 안티 바이러스 개념을 필두로 스파이웨어, 그레이웨어 등을 탐지하는 비대해진 단말 보안 방안으로 적용되고 있다. 하지만, ‘이것으로 네트워크는 충분히 안전한가?’란 물음은 여전히 존재한다.
새로워지고, 지능화되는 애플리케이션 공격 형태는 오늘날 복잡하고, 다양한 보안시스템으로도 해결되지 않은 채 기업을 두렵게 하고 있다. 그렇지만, 가장 기본적이고 원칙적인 방식으로 내부 네트워크를 관리할 수 있는 방안도 존재한다.
그것은 먼저 ‘네트워크 가시성(Network Visibility)’ 확보를 통해 내부 네트워크의 정확한 상태를 알아야 한다는 것이며, 다음으로 이런 감지된 정보를 바탕으로 프로텍션 방안을 가동하고 네트워크를 보호해야 한다. 그 대상은 내부 네트워크에 들어오려는 모든 단말이 돼야 한다. 이 때 감지되는 대상은 비단 불법적인 해커의 단말만이 아니라 내부 네트워크상의 정상적으로 허용된 사용자의 모든 단말이어야 한다는 것을 반드시 염두에 둬야 한다.
네트워크 가시성 확보 방안
물론 랜의 상태를 알아야 한다는 요구는 네트워크 관리자로부터 끊임없이 주장돼 왔고, 주로 네트워크 관리나 트러블슈팅(Troubleshooting)을 위해 사용됐다. 주요 랜 네트워크 장치인 라우터, 스위치, 방화벽 등을 통해 로그파일을 분석하는 시스로그 서버(Syslog Sever), NMS 프로브(NMS Probes)를 던지는 방안, 또는 넷플로우(NetFlow)를 통해 상세한 네트워크 상태 정보를 모아서 분석하는 형태로 네트워크 가시성을 확보해 왔다.
문제는 이러한 모든 플로우(Flow)가 거의 L2~4(Layer2~4) 계층에서 이뤄졌다는 것이다. 이러다보니 요즘 빈번히 발생하는 애플리케이션 공격을 분석하기 위한 네트워크 유해 분석 정보는 기술적으로 어려울 수밖에 없다.
뿐만 아니라 데이터 분석을 위해 네트워크 담당자는 오랜 시간과 노력이 투입돼야만 분석 정보에 대한 파악이 가능하다. 이 상황에서 최근 특정 고객들은 프로브(Probes), 모니터링(Monitoring)을 위한 시스템을 앞서 도입하고 있다. 하지만, 이러한 네트워크 이상행동 차단시스템(Network Behavioral Anomaly Detection System)은 확장성과 성능 등의 문제점과 함께 탐지 후 차단을 위해서는 다시 계층적으로 네트워크 시스템과 ACL 기능 수행을 위한 연동이 필요하는 점이 단점으로 지적되고 있다.
이러한 단점을 해소하고, 네트워크 가시성을 보다 손쉽게 확보하기 위해 최근 시큐어 랜 스위칭(Secure 랜 Switching) 기술이 등장하고 있다. 시큐어 랜 스위칭 기술은 기존의 L2 스위치의 기능에 사용자의 모든 트래픽(L2~L7)을 모니터링하는 기능과 ACL과 같은 정책을 실행하는 기능이 추가돼 진화된 L2 스위치로 출시되고 있다. 이러한 장비는 기존 솔루션과 차별화된 기능을 제공하며, 이러한 기능들은 다음과 같다.
- 디렉토리 서비스와 연동된 사용자 인증 및 보안 정책 관리
- IP 주소 또는 MAC 주소를 넘어선 실제 사용자 인식
- 사용자 단위의 트래픽 딥 패킷 인스펙션(L7 계층 분석)
- 사용자정보(ID/MAC/IP)와 사용 애플리케이션을 함께 매칭해 정보 제공
- 최소의 지연 (latency) 시간
- 사용자별 / 그룹별 정책 위반 식별
- 파워풀한 하드웨어를 기반으로 인밴드(In-band) 기반의 통신 내역 관리
또한 다양한 네트워크 통신 현황에 대한 정보를 제공해 기업이 네트워크 운영 상태를 파악하고 그 결과를 이용해 정책 및 네트워크 운영에 반영할 수 있다.
이렇게 확보된 내부 네트워크의 가시성을 통해서 운영자는 쉽고 안전하게 트래픽을 관리할 수 있을 뿐만 아니라 더 나아가 차단 기능이 수행된 시스템과 구축됐을 경우에는 네트워크 보안을 위한 복잡한 이중 구성 및 설계를 벗어나 단순하고 쉽게 구축할 수 있는 장점까지 얻을 수 있다.
차단 기능을 동시 구현하기 위해 ‘인밴드(In-band) 방식이 나은가, 아웃밴드(Out-band)가 더 나은가’란 방식적인 문제가 최근 거론되고 있다. 이것이 의미하는 바는 트래픽이 흐르고 있는 데서 자동적으로 차단기능을 수행할 것인가, 아니면 트래픽을 모으기 위한 포트를 만들어서 데이터를 실시간 모은 후 분석·차단 명령을 다른 이에게 시킬 것이냐의 문제다.
후자의 경우에는 이중포트 설계, 기존의 가시성 확보를 위한 분석과정, 차단 기능을 위한 타 네트워크 시스템과의 연동이라는 작업이 요구된다. 네트워크 구성에도 다이어트가 적용돼야 하지 않을까? 흐름이 복잡하면, 결국 네트워크의 속도 성능, 관리의 어려움 등이 발생할 수 있다는 것은 자명한 결과로 보여진다.
<그림 4>에서 보여지듯 사용자와 그룹의 분명한 식별, 그리고 이를 기반으로 한 애플리케이션 제어 등이 가시성 확보로 가능하다. 다양한 기업 애플리케이션의 효과적인 적용 및 보안을 위해서도 이 기능은 반드시 랜에 적용돼야만 한다는 것을 거듭 강조한다.
네트워크는 날로 복잡해지고 다양한 애플리케이션 서비스는 절대적으로 필요하다. 지금 네트워크의 가시성을 외면하게 되면 이후에 더욱 복잡화되고 규모가 커진 네트워크를 제대로 관리하고, 보안을 유지하며, 정책을 실행하는 것은 점점 더 어려워질 것이다.
지금 당장 안전한 네트워크를 위해서 기본에서 시작하자. 네트워크를 정확하게 볼 수 있으면 제대로 관리할 수 있고 그러면 안전한 네트워크 서비스를 누릴 수 있다.
