2019.07.09

현대적인 네트워크 보안 아키텍처가 갖춰야 할 필수 기능

Jon Oltsik | CSO
필자의 초기 IT 경력에 일부인 썬 마이크로시스템즈는 보통 컴퓨팅 분야에서 선지자적 비전을 가진 기업이었다. 썬은 오래 전부터 자사의 태그 라인에 ‘네트워크가 컴퓨터다’고 강조했다. 
 
이는 IT 인프라가 이더넷 케이블과 TCP/IP 프로토콜과 같은 네트워킹 기술을 통해 서로 느슨한 결합 아키텍처로 연결되어 있음을 의미한다. 따라서 네트워크 가용성, 성능, 비즈니스 이점을 극대화하기 위해 네트워크를 올바르게 설계하는 것이 매우 중요하다. 

그렇다. 이는 1990년 대 초반부터 바뀌었다. 일부 네트워크는 클라우드에 있으며 일부는 가상에, 일부는 애플리케이션 간 연결에 의존하지만 네트워크는 여전히 IT 시스템을 하나의 방법 또는 다른 방법으로 서로 연결한다.  
 

현대적인 네트워크 보안의 조건  

디지털 트랜스포메이션 시대를 맞이하면서 네트워크 보안은 시대와 함께 변화해야 했다. 최신 네트워크 보안은 다음과 같은 사항을 지원해야 한다. 

- 엔드투엔드 커버리지  
입/출력 트래픽을 검사하는 경계 보안만으로는 더 이상 충분하지 않다. 현대적인 네트워크 보안 제어는 횡적 트래픽, 클라우드 내 네트워크 통신, SaaS를 사용하는 원격 작업자의 네트워크 통신 등 어떤 트래픽이라도 사내 네트워크와 절대 닿지 않도록 모든 네트워크 분리를 설치해야 한다. 즉, 모든 네트워크를 검사해야 한다. 

- 암호화/해독 기능 
ESG 조사에 따르면, 오늘날 모든 네트워크 트래픽의 50~60%가 암호화되어 있으며, 앞으로는 더 증가할 것이다. 이는 포괄적인 네트워크 보안 아키텍처에는 여러 제어 지점에서 트래픽을 해독하고 검사할 수 있는 기능이 포함되어야 한다는 걸 의미한다. 현대적인 네트워크 보안 기술은 해독 과정을 거치지 않고 의심스러운 트래픽을 탐지할 수 있어야 한다. 이 기능은 시스코의 ETA(Encrypted Traffic Analytics)와 같은 제품이나 Barac.io와 같은 공급업체의 독립형 솔루션에 포함되어 있다. 

- 비즈니스 중심 세분화(Business-centric segmentation)
공격 표면을 줄이는 것은 모든 현대적인 네트워크 보안 기술의 주요 요구사항이다. 이는 애플리케이션 계층 간 횡적 트래픽 세분화와 장치와 네트워크 기반 서비스 간에 소프트웨어 정의 경계 네트워크 세분화 규칙을 적용하는 2가지 기능과 동일하다. 이런 기능을 흔히들 ‘제로 트러스트(zero-trust)’라고 모호하게 부른다. 

- 중앙 제어 평면 및 분산 집행 
이는 필수다. 모든 네트워크 보안 제어(예, 물리적, 가상, 클라우드 기반)는 관리 활동을 위해  공통 제어 평면(common control plane)에 보고해야 한다. 관리 활동에는 구성 관리, 정책 관리, 변화 관리 등이 있다. 중앙 제어 평면은 클라우드 기반일 가능성이 높기 때문에 CISO는 이런 변화에 대비해 위험 회피 감사와 비즈니스 관리자를 준비해야 한다. 
중앙 명령 및 제어 지침으로 무장한 네트워크 보안 시스템은 위치나 폼 팩터에 관계 없이 악성 트래픽을 차단하고 정책을 시행하도록 구축되어야 한다. 모든 네트워크 보안 업체는 자체 중앙 관리 서비스를 제공하지만, 파이어몬(FireMon), 스카이박스(Skybox), 튜핀(Tufin) 등과 같은 서드파티 소프트웨어 제공업체가 이 분야에서 역할을 수행하고 있다. 

- 포괄적인 모니터링과 분석 
기존 보안 정책에서 통용되던 "네트워크는 거짓말을 하지 않는다"라는 말이 이제는 옛말이 됐다. 모든 사이버 공격은 네트워크 통신을 킬 체인의 일부로 사용하기 때문에 보안 분석가는 엔드투엔드 네트워크 트래픽 분석(NTA)을 통해 OSI 스택의 모든 계층을 액세스할 수 있어야 한다. 
최상의 NTA 도구는 분석가가 알려지지 않는 위협을 탐지하고 악성 활동을 MITRE ATT&CK 프레임워크에 매핑하는 데 도움이 되는 탐지 규칙, 휴리스틱(heuristics), 스크립팅 언어(scripting Languages), 머신러닝(machine learning)을 통해 기본 트래픽 모니터링을 보완한다. CISO는 브리카타(Bricata), 코어라이트(Corelight), 다크트레이스(DarkTrace), 아이언넷(IronNet), 벡트라 네트웍스(Vectra Networks) 등과 같은 전문업체나 시스코, 엑스트라홉(ExtraHop), 넷스카웃(NetScout) 등 네트워킹 전문업체 피델리스(Fidelis), 파이어아이(FireEye), 라스트라인(Lastline), HPE 등 네트워크 보안업체에서 선택할 수 있는 강력한 솔루션이 많기 때문에 이를 통해 광범위한 네트워크를 만들어야 한다. 경고하건대, 카베아트 엠프토르(caveat emport, 선택한 솔루션의 하자 여부는 구매자가 확인해야 한다는 개념)를 잊지마라. 

네트워크 보안 기술은 사용자 위치, 네트워크 구성 또는 새롭게 발견된 위협/취약점과 같은 사항의 변경에 따라 즉각적인 대안이 가능한 세부적인 정책과 규칙을 지원해야 한다. 조직은 필요할 때마다 네트워크 보안 서비스를 스핀 업/스핀 다운하거나 변경할 수 있어야 한다. 

현대적인 네트워크 보안 제어는 표준 운영체제에서 제공하는 것과 동일한 유형의 강력한 정책 및 이행으로 IoT 장치 및 프로토콜을 수용할 수 있어야 한다. 마지막으로 신속한 통합을 위해 쉽게 액세스할 수 있는 API를 중심으로 네트워크 보안 아키텍처를 구축해야 한다.  

썬 마이크로시스템즈는 오래 전에 사라졌지만, 네트워크는 시대적인 상황과는 관계없이 여전히 중요하다. 현대적인 네트워크 보안 아키텍처는 모든 네트워크 트래픽을 보호할 뿐만 아니라 공격 표면을 줄이고 위협 탐지/대응 능력을 개선하며 사이버 위험을 완화하는 데 도움을 준다. editor@itworld.co.kr 


2019.07.09

현대적인 네트워크 보안 아키텍처가 갖춰야 할 필수 기능

Jon Oltsik | CSO
필자의 초기 IT 경력에 일부인 썬 마이크로시스템즈는 보통 컴퓨팅 분야에서 선지자적 비전을 가진 기업이었다. 썬은 오래 전부터 자사의 태그 라인에 ‘네트워크가 컴퓨터다’고 강조했다. 
 
이는 IT 인프라가 이더넷 케이블과 TCP/IP 프로토콜과 같은 네트워킹 기술을 통해 서로 느슨한 결합 아키텍처로 연결되어 있음을 의미한다. 따라서 네트워크 가용성, 성능, 비즈니스 이점을 극대화하기 위해 네트워크를 올바르게 설계하는 것이 매우 중요하다. 

그렇다. 이는 1990년 대 초반부터 바뀌었다. 일부 네트워크는 클라우드에 있으며 일부는 가상에, 일부는 애플리케이션 간 연결에 의존하지만 네트워크는 여전히 IT 시스템을 하나의 방법 또는 다른 방법으로 서로 연결한다.  
 

현대적인 네트워크 보안의 조건  

디지털 트랜스포메이션 시대를 맞이하면서 네트워크 보안은 시대와 함께 변화해야 했다. 최신 네트워크 보안은 다음과 같은 사항을 지원해야 한다. 

- 엔드투엔드 커버리지  
입/출력 트래픽을 검사하는 경계 보안만으로는 더 이상 충분하지 않다. 현대적인 네트워크 보안 제어는 횡적 트래픽, 클라우드 내 네트워크 통신, SaaS를 사용하는 원격 작업자의 네트워크 통신 등 어떤 트래픽이라도 사내 네트워크와 절대 닿지 않도록 모든 네트워크 분리를 설치해야 한다. 즉, 모든 네트워크를 검사해야 한다. 

- 암호화/해독 기능 
ESG 조사에 따르면, 오늘날 모든 네트워크 트래픽의 50~60%가 암호화되어 있으며, 앞으로는 더 증가할 것이다. 이는 포괄적인 네트워크 보안 아키텍처에는 여러 제어 지점에서 트래픽을 해독하고 검사할 수 있는 기능이 포함되어야 한다는 걸 의미한다. 현대적인 네트워크 보안 기술은 해독 과정을 거치지 않고 의심스러운 트래픽을 탐지할 수 있어야 한다. 이 기능은 시스코의 ETA(Encrypted Traffic Analytics)와 같은 제품이나 Barac.io와 같은 공급업체의 독립형 솔루션에 포함되어 있다. 

- 비즈니스 중심 세분화(Business-centric segmentation)
공격 표면을 줄이는 것은 모든 현대적인 네트워크 보안 기술의 주요 요구사항이다. 이는 애플리케이션 계층 간 횡적 트래픽 세분화와 장치와 네트워크 기반 서비스 간에 소프트웨어 정의 경계 네트워크 세분화 규칙을 적용하는 2가지 기능과 동일하다. 이런 기능을 흔히들 ‘제로 트러스트(zero-trust)’라고 모호하게 부른다. 

- 중앙 제어 평면 및 분산 집행 
이는 필수다. 모든 네트워크 보안 제어(예, 물리적, 가상, 클라우드 기반)는 관리 활동을 위해  공통 제어 평면(common control plane)에 보고해야 한다. 관리 활동에는 구성 관리, 정책 관리, 변화 관리 등이 있다. 중앙 제어 평면은 클라우드 기반일 가능성이 높기 때문에 CISO는 이런 변화에 대비해 위험 회피 감사와 비즈니스 관리자를 준비해야 한다. 
중앙 명령 및 제어 지침으로 무장한 네트워크 보안 시스템은 위치나 폼 팩터에 관계 없이 악성 트래픽을 차단하고 정책을 시행하도록 구축되어야 한다. 모든 네트워크 보안 업체는 자체 중앙 관리 서비스를 제공하지만, 파이어몬(FireMon), 스카이박스(Skybox), 튜핀(Tufin) 등과 같은 서드파티 소프트웨어 제공업체가 이 분야에서 역할을 수행하고 있다. 

- 포괄적인 모니터링과 분석 
기존 보안 정책에서 통용되던 "네트워크는 거짓말을 하지 않는다"라는 말이 이제는 옛말이 됐다. 모든 사이버 공격은 네트워크 통신을 킬 체인의 일부로 사용하기 때문에 보안 분석가는 엔드투엔드 네트워크 트래픽 분석(NTA)을 통해 OSI 스택의 모든 계층을 액세스할 수 있어야 한다. 
최상의 NTA 도구는 분석가가 알려지지 않는 위협을 탐지하고 악성 활동을 MITRE ATT&CK 프레임워크에 매핑하는 데 도움이 되는 탐지 규칙, 휴리스틱(heuristics), 스크립팅 언어(scripting Languages), 머신러닝(machine learning)을 통해 기본 트래픽 모니터링을 보완한다. CISO는 브리카타(Bricata), 코어라이트(Corelight), 다크트레이스(DarkTrace), 아이언넷(IronNet), 벡트라 네트웍스(Vectra Networks) 등과 같은 전문업체나 시스코, 엑스트라홉(ExtraHop), 넷스카웃(NetScout) 등 네트워킹 전문업체 피델리스(Fidelis), 파이어아이(FireEye), 라스트라인(Lastline), HPE 등 네트워크 보안업체에서 선택할 수 있는 강력한 솔루션이 많기 때문에 이를 통해 광범위한 네트워크를 만들어야 한다. 경고하건대, 카베아트 엠프토르(caveat emport, 선택한 솔루션의 하자 여부는 구매자가 확인해야 한다는 개념)를 잊지마라. 

네트워크 보안 기술은 사용자 위치, 네트워크 구성 또는 새롭게 발견된 위협/취약점과 같은 사항의 변경에 따라 즉각적인 대안이 가능한 세부적인 정책과 규칙을 지원해야 한다. 조직은 필요할 때마다 네트워크 보안 서비스를 스핀 업/스핀 다운하거나 변경할 수 있어야 한다. 

현대적인 네트워크 보안 제어는 표준 운영체제에서 제공하는 것과 동일한 유형의 강력한 정책 및 이행으로 IoT 장치 및 프로토콜을 수용할 수 있어야 한다. 마지막으로 신속한 통합을 위해 쉽게 액세스할 수 있는 API를 중심으로 네트워크 보안 아키텍처를 구축해야 한다.  

썬 마이크로시스템즈는 오래 전에 사라졌지만, 네트워크는 시대적인 상황과는 관계없이 여전히 중요하다. 현대적인 네트워크 보안 아키텍처는 모든 네트워크 트래픽을 보호할 뿐만 아니라 공격 표면을 줄이고 위협 탐지/대응 능력을 개선하며 사이버 위험을 완화하는 데 도움을 준다. editor@itworld.co.kr 


X