클라우드 시대 돌입 - east-west 트래픽이 더 중요
경계선 없어진 네트워크에서는 워크로드의 세분화 필요

[보안뉴스 문가용] 일찍이 위대한 물리학자 스티븐 호킹은 지능(intelligence)에 대해 변화에 적응하는 능력이라고 정의한 바 있다. 현대 산업 환경에서 이 정의는 그 어느 때보다도 빠르게 진실에 근접하고 있다.


우리가 요즘 널리 사용하고 있는 네트워크는 대부분 지난 세기의 유산인 ‘보안=외곽 경계’의 개념 아래 구축된 형태 그대로 남아있다. 호킹의 정의에 의하면 이는 네트워크를 사용하는 우리가 얼마나 지능적이지 않은지를 방증한다. 현대 보안 위협의 패턴과 기술이 얼마나 변화한 것을 생각해보면 네트워크 방식을 옛 것 그대로 놔두는 건 얼마나 해이한 일인가.

물론 네트워크를 통째로 들어냈을 때의 금전과 시간 부담을 생각해본다면 마냥 이해가 안 가는 건 아니다. 그러나 그것이 ‘안전’, 더 나아가 기업의 존망과 직결된 사안보다 중요할까?

그래서 기업들이 찾아낸 건 클라우드다. 점점 더 많은 기업들이 클라우드라는 인프라로 옮겨가고 있다. 서버 유지 및 관리 비용도 아끼고 보안도 함께 꾀할 수 있다는 장점을 깨달은 것이다. 즉, 보안 전략이 시대의 흐름에 따라 변하고 있는 것, 즉 지능이 발휘되고 있다는 뜻이다.

클라우드 보안으로의 변화가 주는 시사점이 한 가지 더 있다면, ‘네트워크의 외곽경계’가 역사에서나 남을 개념이 되었다는 것이다. 이제 데이터 자체에 대한 보안이 절대 필요하다. 인프라 자체를 보호하면 된다는 생각은 이제 사실 아무짝에도 쓸모가 없고, 보안이라는 분야에서 깨끗이 싹부터 잘라내야 할 낡은 생각이다.

그렇다면 인프라 보안, 외곽보안을 넘어서서 ‘최신 보안’을 하려면 어디서부터 시작해야 할까? 데이터 보안이란 무엇일까? ‘작은 데서부터 시작해, 작게 생각하는 보안’이라고 정리할 수 있다. 이 개념을 이해하기 위해선 개발의 세계를 들여다봐야 한다.

요즘처럼 시간에 쫓기는 개발이 대세가 되는 때에, 개발자들은 불평불만을 늘어놓기도 했지만 이에 적응하기 위해 개발 단위를 잘게 썰기 시작했다. 한 번에 대작 코드를 처음부터 끝까지 통으로 짜는 게 아니라, 작은 단위의 코드들을 만들어 짜깁기하기 시작한 것이다. 보통 이런 걸 모듈화라고 한다. 심지어 한 프로젝트에 사용한 모듈을 다른 프로젝트에 재활용해서 시간을 절약하는 법도 등장했다.

보안의 모듈화 응용 - 미세분류
그러면 이런 ‘잘게 부수기’를 어떻게 보안에 적용할 수 있을까? 가장 먼저는 네트워크 자체를 잘게 나누는 것이 있다. 위에서 외곽 보안 혹은 인프라 보안은 낡은 개념이라고는 했지만, 그렇다고 해서 방화벽과 같은 외곽 보안 솔루션마저 필요 없다는 건 아니다. 아직도 네트워크를 들락날락 거리는 트래픽을 감시하기 위해선 방화벽이 필요하다. 특히 수직적인 네트워크의 흐름(north-south traffic)의 감시에 있어서 방화벽의 존재감이란 엄청나다.

다만 요즘 해커 혹은 멀웨어는 애플리케이션 사이나 시스템 사이를 횡으로 다니기 때문에(이른바 east-west traffic) 이에 대한 대처가 있어야 한다. 즉 방화벽의 특기는 비교적 옛것에 속하니 최근의 흐름에 걸맞은 무언가가 같이 있어야 한다는 것이다. 이때 네트워크를 모듈화해서 ‘보안’을 강화하면 의외로 해결이 간단해진다.

이를 미세분류(micro-segmentation)라고 부른다. 워크로드를 나누고 로직에 따라 분류해 애플리케이션들을 항목화하는 것을 말한다. 이렇게 생긴 작은 항목들은 나름의 간단한 보안 장치 아래 보호받고 있다. 예를 들면 네트워크 전체를 지켜보는 방화벽도 희미하게나마 이 작은 항목들의 보안 장치가 된다. 다만 방화벽이 있으니 항목 하나하나에 대한 보안에 신경 쓰지 않는다면 미세분류나 모듈화를 하는 이유가 없어진다. 항목마다 가지고 있는 특성에 맞는 보안을 그 위에 덮어씌우는 작업이 반드시 필요하다.

이는 네트워크 방화벽 따위 쉽게 우회할 수 있는 요즘의 해커들에게 있어 또 하나의 장애물을 마련하는 것과 같다. 워크로드를 자유롭게 넘나들지 못하게(east-west traffic) 하는 것이다. 클라우드 컴퓨팅에 있어서도 이 개념은 대단히 중요한데, 클라우드 환경으로 옮겨가면서 원래 데이터센터가 가지고 있던 ‘외곽’의 개념이 사라지기 때문이다. 즉 east-west traffic에 대한 고려사항이 앞으로 더 깊어져야 한다는 것.

트래픽의 관리와 자동화
미세분류를 하면 가짓수가 더 많아지기 때문에 관리가 힘들어지지 않냐고 물을 수 있다. 하지만 오히려 그 반대다. 왜냐하면, 항목이 많아지기 때문에 수동 관리가 불가능해지고, 그렇기에 저절로 자동화가 도입될 수밖에 없기 때문이다. 최근 ‘차세대 방화벽’ 제품들이 나오면서 트래픽을 자동으로 분석하고 감시하는 툴들과의 궁합도 매우 좋아졌다.

이 자동화 툴들은 모든 트래픽의 행동양식을 분석하고 수집하고 시각화한다. 이 정보들을 설정된 보안 정책에 대입해 필요한 조치까지 자동으로 취한다. 현대 정보보안에서 ‘자동화’ 기술은 대부분 시각화까지 제공해주기 때문에 관리하는 사람 입장에서도 훨씬 직관적이며 이해가 빨라진다. 이는 더 나은 보안으로 이어지기 마련이다.

그동안 우리는 수동으로 하드웨어를 일일이 통제하는 시대를 넘어 자동화의 초반부에 들어섰다. 그에 따라 시각화의 시대도 조금씩 모습이 보이고 있으며, 이는 클라우드의 발전과 맞물려 엄청난 시너지를 보이고 있다. 이 새로운 유형의 네트워크는 유연하며 더 빠르다. 여기에 미세분류라는 개념 및 기술까지 맞물려 확장성 면과 보안성에서도 추가 점수를 얻고 있다.

클라우드로 인해 네트워크의 모양이 아예 바뀌고 있고, 더 커지고 있는 때에 오히려 시야를 작게 좁힘으로써 안전을 도모하다보면, 앞으로 어떤 위협이 다가와도 유연하게 대처할 수 있으리라고 본다. 원래 작은 것이 날랜 법이니까 말이다. 넓은 시야를 갖는 것도 중요하지만 현실적으로 대처가 가능한 범위를 정해놓는 것도 중요하다. 그것이 지능이다.

글 : 암릿 윌리엄즈(Amrit Williams)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>