기업 네트워크 내 트래픽 절반 이상이 동-서 트래픽
가시성 확보하지 않으면 마이크로세그멘테이션도 효율 낮아져

[보안뉴스 문가용 기자] 하이브리드 클라우드 형태로 자산과 애플리케이션을 관리, 보호하는 마이크로세그멘테이션(micro-segmentation)이란 개념이 점점 보안의 기본으로 굳어져가고 있다. 적어도 2018년에는 그렇게 될 가능성이 높아 보인다. 네트워크의 ‘소프트웨어 정의화’와 각종 장비들의 가상화 물결, 클라우드의 확산이 마이크로세그멘테이션에 대한 수요를 높이고 있기 때문이다. 게다가 각종 보안사고 소식들마저 이런 현상을 부추기고 있다.


최고치 기준으로 이미 기업용 네트워크 내 발생하는 트래픽의 77%는 ‘횡적’ 혹은 ‘동-서’ 트래픽이라고 한다. 그렇기 때문에 가상화가 되어가는 상황에서도 기존의 호스트-클라이언트의 수직적인 ‘보안 구조’로는 가시성을 온전히 확보할 수가 없게 된다. 따라서 데이터고 사용자고 제대로 보호할 수 없게 된다. 그렇기에 지금 상황에서 기업들의 네트워크는 사상 최대의 공격 표면을 가지고 있다고도 분석된다. 또한 각종 업체들이 내놓은 보안 솔루션들까지 덕지덕지 붙어 가시성 확보 문제는 요원해지기만 한다.

이를 공격자들도 알고 있다. 최근 발생한 에퀴팩스 사건에서 그들의 지식을 본 바 있다. 게다가 요즘 공격자들은 직접 뭔가를 훔쳐내는 것에만 목적을 두고 있지 않다. 허락되는 대로 네트워크에 침투한 후 컴퓨팅 파워만을 일부 가져다 쓰면서 다른 공격 대상을 노리기도 한다. 그래서 침해된 컴퓨터 수천 대를 거느린 ‘봇넷’은 인기를 점점 잃어가고 있으며, 대신 하이브리드 클라우드 데이터센터를 겨냥한 표적 공격들이 증가하고 있는 실정이다. 하이브리드 클라우드 데이터센터의 컴퓨터가 훨씬 더 높은 성능을 가지고 있기 때문이다.

또한 하이브리드 클라우드 환경에서 제공자와 클라이언트가 보안 책임을 서로에게 넘기는 경향이 있기 때문에, 생각보다 취약할 때가 있다. 그리고 그건 보안 구멍으로 나타난다. 실제로 시스템 내에서 공격자들이 들키기 전까지 머무르는 평균 시간이 더 긴 것으로 나타났다. 클라우드 환경의 보안은 사용자와 서비스 제공자 공동의 책임이라는 걸 인지하는 게 급선무다. 또한 클라우드 환경으로 변해갈수록 침입 방지보다 데이터 보호에 더 신경을 써야 한다. 하지만 잘 안 되고 있는 게 사실이다.

마이크로세그멘테이션의 딜레마
이러한 문제들에 대한 해결책을 마이크로세그멘테이션이 제시할 수 있을까? 그리 쉽지 않아 보인다. 최근 마이크로세크멘테이션을 적극 도입한 기업과 이야기를 나누다보면, 마이크로세그멘테이션에도 문제점이 없지 않다. 흔히들 말하는 문제점은 다음과 같다.

1) 여전히 부족한 가시성 : 마이크로세그멘테이션을 도입한다고 해서 ‘동-서’ 트래픽에 대한 근본적인 가시성 부족 문제를 해결해주지 않는다. 오히려 동-서 트래픽 가시성을 해결한 상태로 마이크로세그멘테이션을 도입해야만 효과가 극대화된다.

가시성을 해결하려면 트래픽 분석만을 위한 회의 시간을 따로 마련하고, 트래픽을 수집해 하나하나 직접 매핑하는 과정을 거쳐야 한다. 하지만 프로세스 단계에서의 가시성과 맥락적 오케스트레이션 데이터에 대한 가시성까지 확보하지 못한 조직들이 지나치게 많다. 애플리케이션의 워크플로우를 아주 미세한 수준으로 매핑할 수 있어야 세그멘테이션의 효과를 높일 수 있다.

2) ‘모 아니면 도’식의 선입견 : 보통 세그멘테이션을 진행하라고 하면 공포감부터 갖는다. 회사 내 모든 프로세스를 하나도 남김없이 자잘하게 쪼개다보면 어디선가 실수가 일어나고 사업이 마비되고 기존의 체계가 완전히 뒤집힐 것 같은 것이다. 지금도 잘 되고 있는데, 굳이 뒤집어엎어서 쪼개고 싶지 않다. 그래서 아무도 마이크로세그멘테이션을 시작하지 않게 된다. 하지만 마이크로세그멘테이션은 단계적으로, 서서히 진행해야만 하는 것이다. 이걸 아무리 강조해도 공포감을 해소하기가 쉽지 않은 게 현실이다.

3) 레이어 4에서의 안주 : 마이크로세그멘테이션을 굳이 왜 하느냐, 기존의 네트워크 세그멘테이션으로도 충분하다, 고 생각하는 사람들이 여전히 많다. 하지만 이런 사람들이라고 해도 레이어 4 포트에 대한 보안을 철저히 하고 있지 않다. 그 증거가 지난 15년 동안 포트 하이재킹 공격이 숱하게 발생했다는 것이다. 포트 하이재킹이란 공격이나 데이터 유출 트래픽을 감추기 위해 허가된 포트로 새로운 프로세스를 통과시키는 공격 기법을 말한다.

포트로부터 트래픽이 오고가니 포트만 보호하면 충분하다는 기존 보안 개념은 마이크로세그멘테이션과 정 반대되는 ‘언더 세그멘테이션’이라고 말할 수 있다. 즉 세그멘테이션이 불필요하다고 말하려면 최소한 포트 보안이라도 철저하게 해야 하는데, 그렇지 않은 게 현실이다. 그래서 요즘 공격자들은 열린 포트를 기가 막히게 공략할 수 있게 되었다. 포트 몇 개를 관리하기 힘들어했던 사용자들이 마이크로세그멘테이션을 생각하기도 싫어하는 건 당연하다. 기존 보안 개념으로 충분했다는 것이 현재 마이크로세그멘테이션이 직면한 가장 큰 문제라고 볼 수 있다. 사용자를 참여시키기가 어려워지면 보안에도 구멍이 난다.

4) 다른 유형의 네트워크와 합쳐진다 : 하이브리드 클라우드 데이터센터는 워크로드의 확장성과 이동성을 보장해준다. 큰 장점이다. 하지만 전혀 성질이 다른 두 가지 이상의 네트워크 유형을 합쳐놓았기 때문에 어느 지점에서는 충돌이 일어난다. 혹은 부드럽게 연결되지 않는 지점들이 존재한다. 클라우드 제공업체가 갖가지 보안 솔루션을 적용시키거나 엄격한 정책을 마련하면 안전한 환경이 마련될 수는 있으나 사용자들이 ‘학을 뗄 수도’ 있다. 마이크로세그멘테이션은 그저 잘게 나누고 쪼개는 것만을 말하는 것이 아니기 때문에 호환성과 결합성에서 의외의 문제들이 나타나기도 한다.

사정이 이러하니 마이크로세그멘테이션이라는 개념이 보안에 좋다는 소문이 있어도 섣불리 손대기가 힘들다. 손을 대도 생각만큼 금방 적용되지도 않을뿐더러 비용도 만만치 않게 들고, 애초에 보안에 투자할 만한 자원이 부족했던 상황이라 네트워크 환경을 바꾼다고 해서 더 튼튼해졌다는 체감이 들지 않는다. 어떻게 해야 마이크로세그멘테이션 도입을 보다 성공적으로 이끌 수 있을까?

올바른 전략만 있다면 마이크로세그멘테이션은 공포스러운 개념이 아니다. 제일 먼저 해야 할 일은 현재 네트워크 내에 존재하는 모든 애플리케이션들을 파악하고, 상호관계를 시각적으로 매핑하는 것이다. 즉 지금 네트워크 환경에 대한 가시성을 확보하는 작업이 선행되어야 한다. 그 과정에서 중요한 자산이 무엇인지, 어떤 식으로 보관되고 있는지, 어떤 논리 구조로 현재 네트워크가 그루핑 되어 있는지 알 수 있다. 프로세스 수준의 가시성을 확보하려면 워크플로우들도 모두 식별해 이름을 붙여야 한다.

이 가시성 확보 작업만 여유롭게 해내도 조직에 맞는 마이크로세그멘테이션 전략이 어느 정도 구상된다. 중요한 건 ‘종이에 적혀 있는’ 정책이 아니라, 워크로드의 움직임과 트래픽 상황을 있는 그대로 좇고 반영할 수 있는 정책이 마련되어야 한다는 것이다. 한 번 정책이 든든하게 서면 보안과 관리가 더 쉬워진다. 최근엔 자동확장(autoscaling) 기능이 하이브리드 클라우드 영역에서 떠오르고 있다. 역동적으로 나타났다가 사라졌다를 반복하는 워크로드에 꼭 맞는 정책들을 적용하기 위해서는 가지고 있어야 할 기술력으로 보인다.

마지막으로 강조하고 싶은 건 ‘천천히 하라’는 것이다. 회사 전체 네트워크를 처음부터 다 파악하고 쪼갤 생각하지 말고, 애플리케이션 하나부터 시작하라. 회사에서 가장 중요하거나 가장 많이 사용되는 애플리케이션 하나부터 마이크로세그멘테이션 개념을 적용해보라. 그런 후 애플리케이션을 하나 둘 늘려가라. 그러면서 애플리케이션들에 해당하는 정책을 만들라. 그런 식으로 서서히 확장해가다보면 어느 새 마이크로세그멘테이션이 자리를 잡게 될 것이다.
글 : 데이브 클레인(Dave Klein), GuardiCore

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>