가상화 기술이 주는 장점은 여러 가지다. 그것이 정보 보안에도 적용될 경우, 보안 역시 강력한 장점들을 갖게 된다. 하드웨어의 기능을 소프트웨어로 대체한다는 개념으로 네트워크를 구성할 경우, 보안 기능의 가상화 역시 생각해봄직 하다.

[보안뉴스 문가용 기자] 소프트웨어 정의 네트워크(SDN)라는 개념이 등장하고 실제로 현장에서 사용된 지 벌써 10년이 다 되어간다. SDN은 간단히 말해 네트워크를 구성하는 물리적인 장비들을 가상화한 것을 말한다. 즉, 소프트웨어만으로 기존의 네트워크와 똑같이 기능하도록 구현된 네트워크다. 장점으로는 네트워크 자산들에 대한 관리가 용이하고, 가시성이 높아지며, 확장성 또한 크게 증가한다는 것이 있다.


그렇다면 이런 유형의 네트워크에 보안은 어떻게 적용해야 할까? 간단하다. 가상화 된 보안 요소들을 네트워크에 추가하는 것이다. 가상의 네트워크이니, 가상의 보안 장비들을 기능만 살려 집어넣는 것이라고 볼 수 있다. 그렇다면 기존의 네트워크 보안에 비해 ‘소프트웨어 정의 보안’이 갖는 장점은 무엇일까?

먼저 SDN 보안의 핵심은 기존 보안 하드웨어들이 가지고 있던 기능들을 소프트웨어로 구현한다는 것이다. 그렇다는 건 가상 네트워크의 장점인 ‘사용하기 쉬운 인터페이스 하나를 통해 여러 기능과 데이터를 관리 및 제어할 수 있다’는 뜻이 된다. 게다가 최신 ‘소프트웨어 정의 보안 장비들’의 경우 정교한 자동화 기술도 탑재하고 있어 탐지율과 보안 정책 적용이라는 면에서 물리 장비들보다 우월한 기능성을 선보이기도 한다. 그 외 SDN 보안의 장점은 다음과 같다.

1) 망분리가 쉬워진다 : 보안 장비를 가상화했을 때의 가장 큰 장점은 망분리가 훨씬 쉬워진다는 것이다. 망을 분리하려면 하위 네트워크들을 여러 개 만들어야 한다. 예를 들어 개발 부서의 망과 재정 부서의 망을 분리시킴으로써 보다 정돈된 형태의 망을 구성할 수 있게 되는 것이다. 그렇기 때문에 조직 내 각종 기능과 데이터 트래픽을 단위별로 정리하여 관리할 수 있으며, 이는 보안에도 도움이 된다. 그 외에도 망을 분리하면 대역폭 활용도도 높아지고 효율도 좋아진다.

2) 자동화 기술 적용이 쉬워진다 : 가상화 된 네트워크 장비들 중에는 방화벽도 포함된다. 즉 소프트웨어로 구현된 방화벽이라는 것도 시장에 존재하는데, 이런 가상화 네트워크 장비들은 물리적인 장비들보다 자동화 기술에 훨씬 친화적이다. 게다가 네트워크의 크기를 확장해야 할 때, 물리적 장비들로는 한계가 있지만 소프트웨어 방화벽은 그렇지 않다. 이는 다른 모든 장비들에도 해당되는 이야기다. 물리 장비들의 경우 수동 작업으로 스크립트를 죄다 다시 만들어야 했는데, 가상화 장비들을 쓰면 훨씬 편리하고 빠르게 자동화 기술을 적용할 수 있게 된다.

게다가 가상화 했을 때는 기능을 추가하거나 보안 패치를 적용하는 것도 훨씬 쉬워진다. 즉 업데이트 관리가 훨씬 수월해진다는 것이다. 심지어 보안 규칙들이 자주 바뀌는 상황에서 물리 장비들은 꽤나 손을 많이 타지만, 소프트웨어화 된 장비들은 그렇지 않다. 클릭 몇 번으로 신기능을 추가하고 해킹 공격의 위험에서 더 안전해진다.

3) 확장 가능성이 높아진다 : 전문가에 따라 가상화의 가장 큰 장점으로 ‘확장성’을 꼽기도 한다. 네트워크의 크기를 원하는 만큼 쉽게 늘려야 하는 상황에서는 물리 장비로 구성된 네트워크보다 가상의 장비로 구성된 네트워크가 훨씬 나은 모습을 보인다. 네트워크가 확장되면서 보안이 담당해야 하는 영역과 장비의 수가 늘어날 때도 당연히 가상화 된 보안 장비들이 더 유리하다. 물리 네트워크를 확장하려면 장비나 램, CPU를 추가로 구매해야 하지만 SDN에서는 이런 부담이 덜하다.

특히 클라우드를 기반으로 한 SDN에서는 이런 비용이 더 발생하지 않는다. 대부분의 클라우드 서비스들은 ‘자동 확장’ 기능을 제공한다. 시스템 자원이 더 필요하게 되는 경우, 클라우드 서비스 업체가 새로운 인스턴스나 서비스를 추가하면 된다. 보안 기능도 이에 따라 자동으로 확장되는 것이 보통이다.

4) 물리적인 공간을 아낄 수 있다 : 가상의 기능들이 물리 장비를 대체하니 물리적 공간이 남기 시작한다. SDN 보안은 가상기계에 호스팅되어 있으므로, 한 개의 서버만으로 여러 개의 인스턴스를 운영할 수 있게 된다. 심지어 클라우드 기반일 경우 이 한 개의 서버마저 필요 없게 된다. 그러면서도 회사 상황에 따라 네트워크 크기를 마음대로 늘였다 줄였다 할 수 있다.

SDN이 확산됨에 따라 보안이라는 것이 각종 네트워크 소프트웨어 및 서비스에 기본으로 장착되어 가고 있다. 소프트웨어 업체들에 있어 이는 ‘현재 보유하고 있는 개발자들의 실력을 향상시켜야 한다’는 뜻이 된다. 보안 성능이 있는 소프트웨어 개발을 할 줄 알아야 하니까 말이다. 사용자 혹은 소비자들에게 있어 이는 보안 강화를 위해 덜 투자해도 된다는 뜻이 된다. SDN을 활용할 경우에 말이다.

SDN 보안, 즉 가상화 된 네트워크에서의 가상화 된 보안은 제로트러스트라든가 클라우드 기반 보안과 같은 새로운 흐름을 보안 업계에 빠르게 도입시킬 것으로 기대된다. 필자는 개인적으로 SDN 보안의 장점이 너무나 명확하다고 본다. 여건만 된다면, 이런 새로운 보안 시스템을 미룰 이유가 없다.

글 : 샘 보세타(Sam Bocetta), IT 전문 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>