비즈니스의 영역이 웹으로 이동하면서, 보안의 영역도 네트워크에서 프로토콜과 데이터로 이동해야 한다.  폴 시몬즈[Paul Simmonds]

네트워크 보안은 죽었다. 네트워크 QoS여 영원하라.

왜 그런지 살펴보도록 하자. CEO급 인사들이 당신에게 와서 일급 기밀 문서 파일을 TFTP를 이용해서 전송할 수 있는지 알고 싶다고 물어오는 장면을 상상해보라. 비록 하급 관리자이긴 하지만, 내가 아는 모든 보안 관리자들은 이것이 왜 나쁜 생각인지를 설명해 줄 것이다.

학생수준의 문제에 대해서는 두 가지 해결책이 있다. 경계를 강화해 새어나가는 일이 없도록 하고 NAC, NAP, 네트워크 센서, IDS와 IPS 등을 통해 기반 장비를 업그레이드 하거나, 단순히 문서파일을 PGP 래퍼 안에 집어넣거나, SFTP를 사용하라.

첫 번째 해결책을 선택할 세 글자로 된 몇몇 기관들을 알고 있는데, 실제로는 그에 대한 ROI가 작성된 경우는 없다. 그리고 현실적으로는 데이터를 암호화하거나 보안 프로토콜을 사용할 때, 당신의 네트워크 상의 모든 네트워크 감시 솔루션들은 더 이상 트래픽을 감시하지 못하기 때문에 그냥 지나쳐 버린다. 이 간단한 설명은 지금의 확장된 기업환경에서 구식의 네트워크 보안 수단들이 더 이상 소용이 없다는 것을 나타낸다.

여러 나라에 수백 개의 사이트를 지닌 넓게 퍼진 대기업 네트워크를 관리해야 한다면, 박스와 와이어를 실질적으로 제한하는 것은 불가능하다. 그리고 대부분 자동으로 IP 어드레스(DHCP 사용)에 할당되면서, 매일 연결될 필요가 있는 수 천  개의 장비들을 컨트롤하는 실제적인 방법도 없다.

그리고 나서, 그것을 사용하는 웹과 다른 모든 응용프로그램에 대해 포트 80을 허용한다는 사실을 더하면, 당신의 튼튼한 경계는 갑작스럽게 응용프로그램, 제3자와, 조인트 벤처, 비즈니스 파트너 및 다른 것들과의 연결을 허용하는 크게 벌어진 늪이 생겨날 것이다.

그러면 네트워크 레이어에 무엇을 할 수 있을 것인가? 이제 네트워크는 매우 잘 회복되고, 트래픽 셰이핑은 말할 것도 없이, DoS 공격의 범람에 대항해 트래픽을 보호하기 위한 양질의 추가기능이 많이 있다.

그러나 이 모든 것은 단지 네트워크가 알맞은 수준의 서비스 품질을 지니고 있음을 확실히 하기 위한 것이다. 궁극적으로 그것은 데이터를 보호하는 것과는 아무 관련이 없다.우리가 보유한 인트라넷은 지속적으로 인터넷처럼 보이도록 변해가고 있고, 인터넷/공용IP 어드레스에 대해 계속해서 증가하는 장치들로 지속적으로 이동하고, 보안의 영역도 프로토콜과 데이터로 이동해야 한다.

따라서 근본적인 질문은 이것이다. “인터넷 상에서 안전하게 작업할 장치를 설계할 수 있다면, 인트라넷 상에서 왜 제한된 보안 조건을 통해 작업해야 하는가?” 이에 대한 답은 “나는 그렇게 하려 하지 않을 것이지만, 현재의 많은 불안전한 응용프로그램은 나를 가만 놔두지 않을 것.”

그래서 우리는 점진적으로 안전한 프로토콜을 사용하는 응용프로그램으로 옮겨가고, 순수 패킷의 전송이 아닌 네트워크에 대한 의존성을 만들어 낸다. 그러므로 목표는 순수 인터넷 상에서 안전하게 운영하고, 그 대부분을 스루풋과 레이턴시에 대해 보증하는 인트라넷 상에서 운영하기 위한 시스템, 더 나아가 전체 비즈니스를 설계해내는 것이다.

직함이 ‘네트워크 보안’과 관련된 사람들은 누구나 “네트워크 QoS가 대단한 것”이라는 생각을 즐기지는 않을 것이고 그에 대한 나의 반박은 “그것을 뛰어 넘으라”가 될 것이다. 네트워크는 데이터가 한 지점에서 다른 곳으로 부드러운 전달을 확보하는 것이고, 그래서 네트워크 QoS 전문가는 매우 명예로운 직업이 되어야 한다. 하지만 그것을 보안과 혼동하지는 말아야 한다.

Copyright ⓒ 2006 Information Security and TechTarget