작성일 : 17-12-07 16:26
[보안뉴스] "미래는 하이브리드다" 경계 네트워크 보안의 재정의
 글쓴이 : happy
조회 : 1  

"미래는 하이브리드다" 경계 네트워크 보안의 재정의

정보가 클라우드로 밀려들면서 경계 보안의 역할도 바뀌고 있다. 향후 경계 보안은 네트워크 보안을 위한 다면적 솔루션의 일부가 된다.


Credit: Getty Images Bank

경계 방어(perimeter defense)는 서버 자체만큼이나 오래된 개념이다. 경계 방어라는 말을 들으면 방화벽을 통해 외부 세계와 격리된, 잠긴 방 안에서 윙윙거리며 작동하는 에니악(ENIAC) 크기의 기계가 연상된다.

그러나 CIA에서 근무하지 않는 한 이런 이미지는 현실과는 거리가 멀다. 보통 사람들이 보호하는 데이터는 클라우드에 위치하며 전 세계 곳곳의 노트북과 스마트폰을 오가며 흐른다. API가 들어와 연결되고 이메일이 나간다. 정보가 도처에 있다면 보안 역시 도처에 있어야 한다. 결국 물리 서버의 시대를 기억하는 이들은 지금 경계라는 것이 존재하긴 하는지 의문을 품게 된다.

미국 샌프란시스코에 소재한 ID 클라우드 제공업체 옥타(Okta)의 API 문제 해결사인 케이스 케이시는 "경계는 와이파이와 클라우드 세계에서는 붕괴되는 극히 제한적인 사고방식"이라며, "과거 항상 의존했던 경계에 지금은 의존할 수 없다. 과거 IT 부서는 직원이 우리 네트워크, 즉 선이 연결된 물리적 네트워크에 있는지 여부를 단언할 수 있었다. 네트워크에 대한 물리적 접근 권한이 있다면 그 사람을 신뢰할 수 있다는 보안 규약이 있었다"고 말했다.

클라우드 이전에는 이런 경계는 항상 안티바이러스 스캔 또는 엔드포인트 보호 툴과 같은 내부 방어 수단으로 보강됐다. 케이시는 "이제 경계 자체로는 충분하지 않다. 일단 들어가면 지킬 수단이 없다. 현관문을 잠갔다는 이유로 금고를 사용하지 않는 것과 같다"고 말했다. 이런 점에서 후위 방어의 유용함은 예전이나 지금이나 변함없이 중요하다.

그러나 케이시는 "경계 개념은 사람들에게 보안에 관한 잘못된 인식을 줄 수 있기 때문에 빨리 없앨수록 좋다"고 말했다. 직원들이 세계 곳곳에서 여러 기기를 사용해 작업하는 지금 환경에서 과거 우리가 알던 경계는 거의 존재하지 않는다.

케이시는 "지금은 직원이 새벽 2시에 라스베이거스에서 회사 은행 계정에 로그인하지 못하도록 막는 것은 방화벽이 아니라 권한 부여"라고 말했다. 과거 권한 부여는 내부 방어로 간주됐다.

어떤 형태의 보안에서든 라스베이거스의 로그인은 환영받지 못할 가능성이 높다. 켄터키 주 댄빌의 센터 대학 학생들은 새벽 2시에도 런던, 상하이, 스트라스부르 등지에서 로그인한다. 이 대학 학생의 85%가 한 번 이상 해외로 나가 공부하며 그곳에서 이메일, 대학 교육 관리 시스템, 캠퍼스 인트라넷에 접속하기 때문이다.

여느 대학과 마찬가지로 센터 대학의 데이터 체인은 고등학생이 입학 서류를 내면서부터 시작되어 4년의 재학 기간을 거쳐 이후 졸업생 상태로 평생동안 이어진다. 따라서 시스템 및 네트워크 수석 관리자 셰인 윌슨은 10대 학생의 사회보장번호부터 졸업생이 기부금을 낼 때 제공하는 은행 계좌 정보에 이르기까지 온갖 정보를 보호해야 한다. 또한 여느 직장과 마찬가지로 직원 데이터도 보호해야 한다.

윌슨은 추세와는 다소 맞지 않을 수 있는 경계 방어에 의존한다. 윌슨은 "수년 전에 '경계는 죽었다. 더 이상 존재하지 않는다. 방화벽에 대해 신경쓰지 마라'는 기사가 한동안 쏟아져 나오더니 얼마 이후에는 다시 '경계는 여전히 필요하다. 무시하면 안 된다'는 기사가 나왔다"고 말했다.

다행히도 경계 보안에 대한 관심이 등락하는 사이 방화벽, 침입 탐지 시스템, 침입 방지 시스템은 센터 대학에서 꾸준히 자리를 지켰다. 직원과 학생의 개인 식별 정보(PII)가 포함된 ERP 소프트웨어는 여전히 전통적인 경계 내에 위치한다.

윌슨은 모든 곳에 경계가 있지는 않으며 그럴 필요도 없다는 점을 인정했다. 예를 들어 대학 극장의 경우, 자체 보안을 구현한 공급업체의 SaaS 티켓 플랫폼을 사용한다. 학생 이메일 역시 더 이상 경계 뒤에 위치하지 않는다. 윌슨은 4년 전 이메일을 마이크로소프트 오피스 365로 이전했다. 또한 대학 웹사이트인 centre.edu를 위한 코드와 같이 그 사이의 온갖 정보도 있다.

윌슨은 "사이트에서 사실상 거의 모든 정보를 온 세계에 공개한다. 따라서 중요한 부분은 유출을 차단하는 것이 아니라 해킹을 방지하는 것"이라고 말했다. 결국 대부분의 데이터는 대학이 클라우드를 통해 접근하는 물리 서버에 호스팅되는 하이브리드 시스템에 의해 보호된다. 이 서버에는 구내, 경계 방어가 있고 연결을 보호하는 내부 방어가 있다.

케이시 관점에서 보면, 이 방식이 경계가 바뀌고 있으며 경계와 내부 보안이 내부, 클라우드 또는 둘 모두에서 작동하는 계층화된 보안으로 변형하고 있다는 증거일 수 있다.

케이시는 "경계란 물리적 경계가 아니며 시간이 지나면서 변화한다는 점을 인식해야 한다"고 말했다. 케이시는 라스베이거스 예를 다시 언급하며 "단순히 사용자의 위치를 기반으로 하는 보안은 충분하지 않다. 특정 시점에 누가, 무엇을 하려고 하는지를 기반으로 하는 보안이 필요하다"고 말했다.

보안의 미래는 경계 또는 내부 보안이 아니라 두 가지 모두의 모습을 가진 다면적 방어다. 케이시는 "모든 부분을 포괄하는 하나의 솔루션은 없다. 그러나 다양한 수준의 권한은 시간이 지나면서 계속 바뀐다"고 말했다.

케이시는 "최초의 경계 방어가 '경계를 통과한 사람은 신뢰한다'는 원칙에 따랐다면 심층 방어(Defense in depth)는 다양한 사용 사례에 대처하고 공항과 같이 접근 권한의 유무가 결정되는 '보안 구역'을 효과적으로 생성할 수 있다"고 말했다. 이렇게 되면 관건은 경계를 통해 외부 접근을 차단하고 내부 문제를 방지하는 것이 아니라, 더 높은 수준에서 데이터와 권한을 평가하는 것이다.

윌슨은 "케이시의 말이 맞다"면서, "경계는 존재하지만 예전과는 달리 더 구체적인
우선순위에 따라 움직인다"고 말했다. 센터 대학에서 이 새로운 현실로의 전환은 10~12년의 과정으로 느리게 진행되는 중이다. 윌슨은 "첨단은 아니다"라고 인정하며 "그러나 현 상황에 만족하고 있다"고 말했다.

센터 대학은 소규모 인문 대학으로 학생들에게 의식적 의사 결정을 내리기 전에 논리적, 독립적으로 사고하도록 교육하는 것으로 잘 알려져 있다. 보안에 대한 접근 방식 또한 이 대학 자체의 성격을 반영해야 한다. 예산에 대한 내부적 동의를 얻기 위해서가 아니라 윌슨의 부서가 학교를 위한 최선의 의사 결정을 내리기 위해서다. 윌슨은 "나의 정보도 저 시스템 안에 있다. 시스템을 안전하게 지키는 것이 내게도 최선의 이익이다"고 말했다.

윌슨의 말은 어디서 일하든, 또는 그 환경이 얼마나 진보적이든 관계없이 똑같이 적용된다. 윌슨은 "많은 곳에서 실제로 이것저것을 외부로 옮겼지만 결국 그 정보를 다시 경계 뒤로 가져왔다"면서, "포드와 같은 자동차 제조업체든 센터 대학이든, 의사 결정은 비즈니스 목적에서 무엇이 정말 중요한 지를 반영해야 한다"고 말했다. editor@itworld.co.kr