CIO / IT 관리 / 네트워크 / 보안

마이크로세그먼테이션의 원리와 아키텍처의 종류

John Edwards  | Network World 2020.04.23
지난 몇 년 동안 꾸준한 개선에도 불구하고 기업은 더 이상 경계 방어만으로는 네트워크 공격자들을 완벽히 막아낼 수 없다.
 
ⓒ Getty Images Bank

마이크로세그먼테이션(Microsegmentation)은 IT 환경을 통제 가능한 구역으로 분할해 각 워크로드를 상호 안전하게 격리하는 동시에 네트워크 보호를 더 세분화함으로써 승인되지 않은 횡적 이동 문제에 대처한다.

사이버 공격자들이 보안 수단을 회피하면서 IT 환경을 탐색하기 위한 새로운 방법을 지속적으로 시도하는 가운데, 이에 대응해 마이크로세그먼테이션이 주류로 부상하는 중이다.


마이크로세그먼테이션의 원리

이름만 보고 오해하기 쉽지만, 마이크로세그먼테이션은 성능과 관리에 중점을 둔 네트워크 세그먼테이션(network segmentation)의 단순한 연장선상에 있는 기술이 아니다. 마이크로세그먼테이션은 중대한 네트워크 보호 문제에 대처해 위험을 낮추고 동적인 IT 환경의 요구에 상응해 보안을 조정하기 위한 목적으로 설계된 기술이다.

정보 보안 전문가들은 20년 이상 다양한 형태의 제로 트러스트(zero-trust) 기술 구현을 모색해왔다. 주니퍼 네트웍스 기술 보안 책임자 트레버 포트는 "마이크로세그먼테이션은 자동화 및 오케스트레이션 툴, 그리고 세부적인 보고서와 그래프를 제공하는 정교한 사용자 인터페이스가 결합된, 사용하기 쉬운 구현"이라면서, "20년 전부터 했어야 할 일을 이제 더 이상 미룰 명분이 없다"고 말했다.

마이크로세그먼테이션은 하나의 중앙 정책을 사용하되 보안 집행은 각각의 개별 시스템으로 분산한다. 네트워크 보안 업체 OPAQ CTO 톰 크로스는 "경계만이 아니라 조직 네트워크 전반에서 세분화된 정책 실행을 가능하게 해준다. 이 접근 방식이 필요한 이유는 경계 보안이 종종 실패한다는 점, 그리고 클라우드 도입으로 인해 네트워크 경계에 구멍이 많아졌다는 점에 있다"고 말했다.

마이크로세그먼테이션 역시 여전히 NAC(Networks Access Control )와 같은 전통적인 사이버보안 기법에 의존한다. IT 서비스 제공업체 인트러스트 솔루션(Entrust Solutions) IT 이사이자 네트워크 보안 전문가인 브래드 윌먼은 “마이크로세그먼테이션의 차별점은 이런 보안 접근 방법이 네트워크 내의 개별 워크로드에 적용된다는 데 있다”고 말했다.

많은 조직은 마이크로세그먼테이션의 분류된 아키텍처를 좋아한다. IT 컨설팅 업체 켈서(Kelser)의 컨설팅 엔지니어인 앤드류 타일러는 “마이크로세그먼테이션은 데이터 침해를 막을 뿐만 아니라 침해가 발생한 경우 그 범위를 극히 작은 네트워크 구역으로 제한함으로써 피해를 대폭 줄이는 기능도 한다”고 말했다.


여러가지 마이크로세그먼테이션 접근 방법

숙련된 공격자는 기업 침투를 시도할 때 여러 단계로 구성된 프로세스를 따른다. 크로스는 따라서 인프라 방어자는 각 단계에서의 통제 방안 실행에 대해 고민해야 한다면서 “최근 보안 사고에서 공격자는 다양한 공격 기능을 제공하는 미미캣츠(Mimikatz), 블러드하운드(Bloodhound)와 같은 툴을 사용해 시스템 간 내부 이동을 해왔다”고 말했다.

크로스는 "마이크로세그먼테이션을 통해 방어자는 내부 네트워크 내에서 확산될 수 있는 불필요한 경로를 차단함으로써 이런 공격 기술을 방해할 수 있다"고 덧붙였다.

기억해야 할 핵심은 마이크로세그먼테이션은 단순히 데이터센터 지향적인 기술이 아니라는 것이다. 크로스는 “많은 보안 사고가 최종 사용자 워크스테이션에서 시작된다. 직원들이 피싱 링크를 클릭하거나 시스템이 다른 수단에 의해 감염되기 때문이다”고 말했다. 공격자는 이 초기 감염 지점에서 조직 네트워크 전체로 확산할 수 있다.

크로스는 “마이크로세그먼테이션 플랫폼은 하나의 콘솔에서 데이터센터, 클라우드 워크로드, 최종 사용자 워크스테이션에 정책을 강제할 수 있어야 한다. 또한 이런 환경에서 공격의 확산을 차단하는 기능도 필요하다”고 말했다.

원래 새로운 기술이 그렇듯이 마이크로세그먼테이션에 대한 각 공급업체의 접근 방향은 다양하다. 마이크로세그먼테이션의 일반적인 3가지 유형은 호스트 에이전트 세그먼테이션(host-agent segmentation), 하이퍼바이저 세그먼테이션(hypervisor segmentation), 그리고 네트워크 세그먼테이션(network segmentation)이다.

- 호스트 에이전트 세그먼테이션: 이 유형은 엔드포인트에 위치한 에이전트에 의존한다. 모든 데이터 플로우는 중앙 관리자에게 표시되고 중계된다. 이 방식은 문제가 되는 프로토콜이나 암호화된 트래픽을 발견하는 데 따르는 어려움을 완화하는 데 도움이 될 수 있다. 호스트 에이전트 기술은 일반적으로 매우 효과적인 마이크로세그먼테이션 접근 방법으로 통한다. 소프트웨어 개발 및 IT 서비스 업체인 뮬리틱 랩스(Mulytic Labs) CTO 데이비드 존슨은 “감염된 기기가 호스트일 경우, 효과적인 호스트 전략은 문제가 애초에 네트워크에 진입하지 못하도록 차단하는 데 도움이 될 수 있다”고 말했다. 그러나 이를 위해서는 모든 호스트가 소프트웨어를 설치해야 하고, 이로 인해 레거시 운영체제와 구형 시스템과 관련한 문제가 발생한다.

- 하이퍼바이저 세그먼테이션: 이 유형의 마이크로세그먼테이션에서는 모든 트래픽이 하이퍼바이저를 통과한다. 존슨은 “하이퍼바이저에서 트래픽을 모니터링할 수 있다는 것은 기존 방화벽을 사용하고 일상적인 운영에서 인스턴스의 이동에 따라 새 하이퍼바이저로 정책을 옮길 수 있다는 것을 의미한다”고 설명했다. 단점은 하이퍼바이저 세그먼테이션은 일반적으로 클라우드 환경이나 컨테이너 또는 베어 메탈(bare metal)에서는 작동하지 않는다는 것이다. 존슨은 “유용한 사용례는 소수지만 일단 사용할 수 있는 영역에서는 이점이 많다”고 말했다.

- 네트워크 세그먼테이션: 이 접근 방법은 기본적으로 현재의 확장이라고 할 수 있다. 세그먼테이션은 ACL(Access Control Lists)을 비롯해 오랜 시간 검증된 여타 방법을 기반으로 한다. 존슨은 “대부분의 네트워크 전문가가 익숙하므로 가장 쉬운 방법”이라면서 “그러나 대규모 네트워크 세그먼트는 마이크로세그먼테이션의 목적에 맞지 않을 수 있으며 대형 데이터센터에서 관리하기가 복잡하고 비용도 많이 들 수 있다”고 말했다.

마이크로세그먼테이션 툴을 선택할 때 중요한 점은 이와 같은 3가지 기본 범주에 딱 맞아떨어지지 않는 툴도 있다는 것이다. 많은 공급업체는 탄력적인 네트워크 마이크로세그먼테이션을 제공하기 위해 머신러닝과 AI 모니터링 등 새로운 방법과 수정된 방법을 계속 탐색하는 중이다.

마이크로세그먼테이션 툴을 선택하기 전에 기업은 공급업체에게 접근 방법에 있어 고려해야 할 사항과 호환성이나 운영 측면에서의 요구 사항이 있는지 물어봐야 한다.


마이크로세그먼테이션의 단점과 과제

마이크로세그먼테이션은 많은 장점을 제공하지만 도입과 운영에 따르는 과제도 있다. 특히 초기 구축에서 문제가 발생할 가능성이 높다. 타일러는 “마이크로세그먼테이션 구현은 다른 부분의 중단을 초래할 수 있다”면서, “사용 중인 애플리케이션에 따라 중요한 비즈니스 기능이 마이크로세그먼테이션을 지원하지 않거나 못하는 경우도 있다”고 경고했다.

또 다른 잠재적인 장애물은 각 내부 시스템의 요구사항에 대응하는 정책을 정의하는 부분이다. 정책과 각 정책의 영향을 평가하고 정의하는 과정에서 내부 갈등이 발생하고 이로 인해 과정이 복잡해지고 시간도 많이 걸릴 수 있다. 크로스는 “대부분의 조직에서 내부 통제 예외로 인해 진전하지 못하는 상황이 지속적으로 발생한다”고 말했다.

민감도가 높은 자산과 낮은 자산이 동일한 보안 경계 내에 존재하는 경우 적절한 네트워크 통신을 위해 필요한 포트와 프로토콜, 방향을 파악하는 것이 중요하다. 부적절한 구현은 의도하지 않은 네트워크 중단으로 이어질 수 있다. NCC 그룹 노스 아메리카(NCC Group North America)의 기술 책임자 데이먼 스몰은 “변경을 구현하기 위해서는 다운타임이 필요할 수 있으므로 신중한 계획이 중요하다”고 말했다.

리눅스, 윈도우, 맥OS 등 보편적인 운영체제를 실행하는 환경은 마이크로세그먼테이션 기술에서 폭넓게 지원된다. 그러나 메인프레임 또는 기타 레거시 기술을 사용하는 조직의 경우 이런 지원을 받지 못한다. 크로스는 “이런 기업에서는 마이크로세그먼테이션 소프트웨어를 사용하지 못하는 경우도 있다”고 말했다.


마이크로세그먼테이션 시작하기

마이크로세그먼테이션을 성공적으로 구축하기 위해서는 네트워크 아키텍처와 지원되는 시스템 및 애플리케이션에 대한 세부적인 이해가 선행돼야 한다. 스몰은 “특히 기업은 시스템이 올바르게 기능하기 위해 어떻게 상호 통신하는지를 알아야 한다. 이 정도 수준의 정보를 얻기 위해서는 공급업체와 긴밀하게 협력하거나 세부적인 분석을 수행해 마이크로세그먼트를 적용해야 할 부분을 식별하고 프로덕션 중단 없이 적용할 방법을 찾아야 한다”고 설명했다.

마이크로세그먼테이션을 시작하기 위한 가장 좋은 방법은 세부적인 자산 관리 계획이다. 포트는 “네트워크에 무엇이 있는지 알고 이런 시스템을 분류 및 범주화할 방법을 마련하지 않으면 네트워크 세그먼테이션 방법에 대한 합리적 결정을 내릴 수 없다”고 말했다.

자산 발견, 분류 및 관리 자동화 문제를 찾아 해결하고 나면 IT 환경에 마이크로세그먼테이션을 도입할 준비가 된다. 포트는 “이제 공급업체를 물색하고 총소유비용과 통합 기능, 확장성에 대해 구체적인 질문을 던질 시간”이라고 말했다.

크로스는 "마이크로세그먼테이션 플랫폼의 효과는 전적으로 이 플랫폼이 시행하는 정책에 의해 좌우된다"면서, “공격자가 환경을 침해하는 과정에서 따를 가능성이 높은 프로세스에 대해 생각하고, 가장 중요한 구역으로의 진입을 차단하는 정책을 확보하는 것이 중요하다. 윈도우 네트워킹, RDP 서비스, 내부 네트워크에서의 SSH 사용 대상을 이런 기능이 필요한 특정 사용자로 좁히면 비즈니스 프로세스를 방해하지 않으면서 일반적인 공격 방법으로부터 시스템을 보호할 수 있다”고 설명했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.