네트워크 보안의 숙제…물리·가상·클라우드 환경의 통합

【사람중심】 네트워크 업계에서 본격적으로 ‘보안’을 이야기한 지는 약 10년 정도 되었습니다. 제 기억 속에서 보안 문제를 중요한 전략으로 강조하기 시작한 벤더는 엔터라시스네트웍스였습니다. IDS(Intrusion detection system, 침입탐지시스템) 장비를 남들보다 먼저 내놓았고, ‘시큐어 네트웍스(Secure Networks)’라는 슬로건을 내걸었습니다. 지금의 관점에서 보면 너무 밋밋할 수도 있겠지만, 당시로서는 매우 신선한 구호였습니다(실제로 엔터라시스가 최초였는지는 모르겠지만, 한국 시장에서 가장 먼저 ‘네트워크 보안’의 화두를 던졌다고 기억됩니다).

그리고 다른 네트워크 벤더들도 보안 전략과 솔루션을 출시하기 시작하면서 보안 시장에는 (대부분 소프트웨어 전문업체였던) 기존의 보안 솔루션 전문업체 외에 네트워크 전문업체라는 새로운 한 축이 형성됐습니다. ‘보안’이라는 화두를 들고 나온 네트워크  벤더들의 설명은 이런 것이었습니다. 

보안 소프트웨어는 대부분 컴퓨터가 악성코드에 감염됐을 때 이를 치료하는 목적이다. 하지만, 기업의 외부로 부터 네트워크를 통해 들어오는 공격이 급증하고 있는 상황인데, 보안SW만으로는 이 공격을 효과적으로 차단할 수 없다. 또, 노트북 사용이 늘어나고 이동 근무자가 많아지면서, 회사 밖에서 노트북이 악성코드에 감염되는 일이 잦아지고 있다. 감염된 노트북을 회사로 가지고 와서 네트워크에 연결했을 때 이를 즉시 감지해 네트워크 접속을 적절히 통제·격리한 상태에서 치료를 할 수 있어야 한다. 네트워크 보안을 도입해야 공격을 당한 뒤 사후대응하는 것을 넘어, 공격을 원천 차단하는 보안 전략을 세울 수 있다.

네트워크 벤더들의 이 같은 주장은 매우 설득력이 있었고, 네트워크를 이용해 들어오는 기업 외부의 공격도 꾸준히 늘고 있는 상황이어서 ‘네트워크 보안’은 오래지 않아 보안 산업의 가장 중요한 영역이 되었습니다. 인터넷망이 그물처럼 깔려 나가고, 인터넷 접속 기기의 사용이 보편화되면서 단말의 보안성을 강화하는 ‘네트워크 접근 제어(NAC:Network Access Control)’ 같은 기술은 기업 보안의 필수 요소로 자리잡은 지 오래입니다.

IT 환경의 변화…네트워크 보안은?

그러나 세월이 흐르면서 기업의 IT 환경에는 큰 변화가 일어나고 있습니다. IT 운용의 효율성과 유연성을 높일 수 있는 클라우드 컴퓨팅과 가상화 기술이 확산되면서 네트워크 보안 전략에도 새로운 시각이 요구되기 때문입니다.

클라우드 환경에서는 서버가 꼭 회사 건물 내부나 회사 데이터센터에 존재하지 않을 수도 있습니다. 가상화 환경에서는 하나의 물리적 서버가 실제로는 여러 대의 용도로 나뉘어져서 동작합니다. 물리적 서버 한 대가 사무실 또는 데이터센터 안에 존재하는 상황은 더 이상 기대하기 힘들어진 것입니다. 2013년이 되면 데이터센터 워크로드의 절반 가량이 가상화될 것이라는 통계가 있습니다.

이처럼 변화된 환경에서 네트워크 보안은 어떤 역할을 해야 될까요? 회사 내부와 똑같은 정책을 회사 외부의 데이터센터에 적용할 수 있어야 하고, 하나의 물리적 서버 안에서 제각각 돌아가는 가상 서버(VM)들에도 개별적인 보안 정책이 적용될 수 있어야 할 것입니다. 겉으로 보이는 서버가 1대라고 해서 하나의 물리적 보안 장비만을 연결해 놓거나, 회사 빌딩의 네트워크 보안과 원격지 데이터센터의 보안이 별개의 것으로 돌아간다면 가상화나 클라우드 컴퓨팅 환경을 마음 놓고 도입하기 힘들 겁니다.

컴퓨팅 환경의 변화 외에 또 한 가지 고려해야 될 것이 있습니다. 네트워크 환경의 변화입니다. 2015년이 되면 네트워크 연결은 지금 보다 3000% 늘어나고, 특히 클라우드 컴퓨팅 트래픽은 12배 이상 늘어서 1.6제타바이트에 이를 것이라고 합니다. 또, 기업 내부 네트워크에서는 직원 1인당 최소 3개 이상의 모바일 기기를 이용하게 된다는군요. 

이처럼 엄청난 규모로 늘어나는 물리적 트래픽과 클라우드 트래픽을, 서비스 성능에 지장을 주지 않고 검사해서 기업의 IT 시스템과 디지털 정보를 보호해야 하는 것이 클라우드 시대에 네트워크 보안의 역할입니다.

가상화 스위치와 통합된 시스코의 클라우드 방화벽

클라우드 데이터센터, 클라우드 네트워크를 오랫동안 강조해온 시스코시스템즈는 ‘ASA 1000v’라는 클라우드 방화벽을 가지고 있습니다. VM에 설치해서 쓸 수 있는 소프트웨어 솔루션이죠. ASA 1000v는 시스코의 가상화 스위치 ‘넥서스 1000v’와 연동되어서 동작하게 됩니다. 여러 네트워크·보안 전문업체들이 VM에 설치되어 동작하는 소프트웨어 방화벽을 가지고 있는데, 시스코가 차별점으로 내세우는 것이 바로 이 ‘넥서스 1000v와의 연동’입니다.

넥서스 1000v는 64대의 VM을 지원합니다. 서로 다른 역할을 하는 64대의 VM마다 독립된 네트워크 정책을 지원한다는 뜻입니다. 그런데 64대의 VM이 하나의 물리적 서버 안에 들어 있을 때만 이런 정책이 지원되는 것이 아닙니다. 넥서스 1000v는 물리적 서버가 여러 대이거나, 서로 다른 데이터센터에 분산되어 있거나 상관없이 64대의 VM을 커버합니다. 물리적 환경, 가상화 환경, 클라우드 환경을 아울러서 네트워크 정책을 지원하는 것이죠.

ASA 1000v도 마찬가지입니다. 넥서스 1000v와 연동되었기 때문에 물리적 서버의 수나 위치에 상관없이 64대의 VM마다 독립된 보안 정책을 지원할 수 있습니다. 시스코가 “물리, 가상, 클라우드 환경 모두에서 일관되고 강력한 보안을 구현할 수 있다”고 강조하는 이유가 여기에 있다고 합니다.

시스코는 이를 ‘시스코 시큐어X 아키텍처’라고 부르는데, 데이터센터의 변화를 지원하는 보안 아키텍처라는 설명입니다. 시큐어X 아키텍처는 3가지 핵심 내용을 담고 있는데 물리-가상-클라우드 환경 통합, 대규모 애플리케이션을 가동할 때도 보안이 성능에 영향을 미치지 않는 비즈니스 민첩성, 현재는 물론이고 앞으로 사용하게 될 애플리케이션까지 예상해서 트랜잭션이나 요구사항의 변화를 수용할 수 있는 보안의 확장성이 그것입니다.

물리-가상-클라우드 환경을 하나로 묶는 보안

시스코는 지난 주 발표에서 새로운 ASA 9.0 소프트웨어를 소개했습니다. 기존 버전과 달라진 점은 여덟 개의 ASA를 묶을 수 있게 됐다는 점인데, 이를 통해 방화벽 용량이 320Gbps, IPS 용량이 60Gbps로 커졌습니다. 포트 밀도가 700% 향상됐고, 전력 사용은 84%를 줄일 수 있게 됐으며, 랙 공간도 87%나 적게 사용하게 됐다는군요. IPv6도 완벽히 지원해서 모바일 앱의 액세스 폭증에도 여유 있게 대응할 수 있다고 합니다. 

이 밖에도 초당 10만 커넥션을 지원하는 10G IPS ‘IPS 4500 시리즈 센서’와 BYOD 보안 정책을 강화할 수 있는 ‘애니커넥트 3.1 솔루션’ 그리고 시스코는 물론 협력사들의 보안 솔루션들까지 함께 모니터링할 수 있는 ‘시큐리티 매니저 4.3’, 도 같이 발표했습니다. “이 보안관리 솔루션은 관리 복잡성은 50% 줄여주고, 운영 효율성은 80% 향상시킨다”는 것이 시스코의 설명입니다.

이번 발표를 위해 한국을 찾은 크리스토퍼 영 시스코 보안&공공 사업 총괄 수석부사장은 “데이터센터 보안을 위한 시스코의 보안 전략은 ‘통합된 접근’이라고 강조했습니다. 물리, 가상, 클라우드 환경의 보안 솔루션을 다 보유하고도 이를 통합하지 못하는 경쟁사와 달리, 물리-가상-클라우드 환경의 네트워크를 통합할 수 있는 기술을 보유했기 때문이라는 것이죠.

그는 “시스코 보안 솔루션을 통해 데이터센터 전문가들은 앞으로 네트워크 성능을 저하시키지 않으면서 더욱 수준 높은 보안을 보장해주는 서비스의 형태로 IT 자원을 제공하게 될 것”이라고 강조했습니다. 시스코의 설명대로라면, 시스코의 가상화 스위치와 클라우드 방화벽을 함께 도입했을 때 최적의 네트워킹·보안 환경을 구현할 수 있습니다. 그런데, 이렇게 되면 다시 한 번 더 시스코에 ‘lock-in’이 되는 것일까요? 아니면, IT 환경이 복잡해져도 단순하면서도 안전한 보안을 구현하게 되는 것일까요? 언제나 판단은 기업의 몫입니다.

<김재철 기자>mykoreaone@bitnews.co.kr