IT 관리 / 네트워크 / 보안

시스코 등이 주목하는 VPN 분할 터널링이란

Michael Cooney  | Network World 2020.05.18
코로나19 팬데믹으로 재택근무가 증가함에 따라, 기업 자원에 대한 안전한 접근 필요성은 계속 높아지고 있으며, 이와 함께 더욱 많은 VPN에 대한 수요도 증가하고 있다.
 
ⓒDreamstime

영국의 VPN 조사 및 테스트 회사인 탑10VPN닷컴(Top10VPN.com)의 조사에 따르면, 3월 13일과 23일 사이에 미국의 상용 가상 사설 네트워크에 대한 수요가 41%나 급증했다. 시장조사와 경영컨설팅 업체인 글로벌마켓 인사이트(Global Market Insights)에 따르면, 2026년까지 VPN 시장이 700억 달러에 달할 전망이다. AT&T는 4월 블로그에서 클라우드에 기반한 자사의 SD-WAN 정적 네트워크 기반(ANIRA) VPN 서비스에 대한 연결이 700% 증가했다고 지적했다.

이러한 트래픽 증가는 엔터프라이즈 VPN 인프라에 더 많은 스트레스를 부과하는 것이지만, 그러한 스트레스를 완화하기 위한 가장 효과적인 방법 중 하나는 분할 터널링(split tunneling)이다.

기본적으로 분할 터널링은 고객이 기업 VPN 터널을 통해 전송될 특정 엔터프라이즈로 향하는 트래픽을 선택할 수 있도록 하는 기능이다. 나머지는 터널을 거치지 않고 인터넷 서비스 공급자(ISP)로 직접 간다. 그렇지 않으면 모든 트래픽, 심지어 인터넷상의 사이트로 향하는 트래픽도 기업 보안 조치를 통해 VPN을 통과하고 다시 인터넷으로 돌아갈 것이다. 이러한 아이디어는 VPN 인프라가 트래픽을 덜 처리해야 하므로 성능이 더 좋다는 것이다.

VPN 스트림에서 어떤 트래픽을 꺼낼 수 있는지 파악하는 것은 시스코가 비교적 최신 제품으로 해결하려고 하는 도전과제가 될 수 있다. 이것은 시스코 애니커넥트(Cisco AnyConnect) VPN 클라이언트가 수집한 텔레메트리 데이터와 스플렁크의 실시간 보고서 생성 및 대시보드 기술을 결합한 것이다. 2가지를 합친 이 제품은 시스코 엔드포인트 시큐리티 애널리틱스(Cisco Endpoint Security Analytics, CESA)로 알려져 있으며 애니커넥트 네트워크 모듈(AnyConnect Network Visibility Module, NVM)에 속해 있다. 시스코는 2020년 7월 1일까지 CESA 평가판 라이선스를 90일간 무료로 제공해 원격 작업이 급증하는 IT 조직에 도움을 주겠다고 밝혔다.

시스코의 보안 기술 연합 생태계를 위한 제품 관리 및 비즈니스 개발 이사인 스콧 포프에 따르면, 애니커넥트 NVM은 데이터 유출, 승인되지 않은 애플리케이션 또는 SaaS 서비스, 보안 회피 및 악성코드 활동을 고객들이 탐지할 수 있는 고유한 기기 ID, 기기 이름, 프로세스/컨테이너 이름, 상위 프로세스, 권한 변경, 소스/목적지 도메인, DNS 정보 및 네트워크 인터페이스 등의 보안 정보를 수집한다.

애니커넥트는 다이내믹 분할 터널링(Dynamic Split Tunneling)이라는 또 다른 기능을 지원하므로 도메인 이름으로 터널링 된 트래픽을 쉽게 직접 지정할 수 있다(예컨대, ‘*webex*.cisco.com’ 트래픽을 모두 분할 터널에 넣을 수 있음). 다이내믹 분할 터널링 애널리틱스는 CESA에서도 지원된다. 

최근 블로그에서 포프는 CESA 데이터를 활용하는 것은 다음에 이용될 수 있다고 적었다.
 
  • VPN 분할 터널링을 구현하여 보안을 유지하면서 VPN 용량 제약 완화
  • 기존 분할 터널 배치를 통과하는 트래픽 모니터링 및 추가 최적화
  • 원격 엔드포인트, 사용자 및 VPN ‘최상위 토커’의 보안 동작 분석. 이는 정상적인 보안 준수 테스트를 덜 엄격하게 수행하여 신속하게 구축된 원격 작업 엔드포인트에 특히 유용하다.

포프는 “많은 기업들이 직면하고 있는 VPN 부하가 증가함에 따라 중요성이 커지고 있는 분할 터널에 무엇을 안전하게 넣을 수 있는지 고객들이 CESA를 통해 빠르게 파악할 수 있다는 것이 아이디어다. 과일 고객들이 인터넷에 보낼 수 있는 꽤 쉬운 것들이 있지만, 클라우드 기반 애플리케이션과 다른 트래픽들은 그렇게 명백하지 않을 수 있고, 터널을 가로질러 오는 것을 알지 못한 채 그러한 트래픽을 분리하는 것은 어렵다”라고 말했다.

CESA는 분할 터널을 통해 어떤 트래픽이 이동하는지 감시하고 기업 터널로 다시 이동해야 하는 트래픽을 식별하는 데 필요한 VPN 트래픽 통찰력을 제공한다. 그리고 그 반대도 맞다고 포프는 덧붙였다.

포프는 “CESA는 분할 터널로 안전하게 이동할 수 있는 트래픽을 식별하기 위해 기업 터널을 감시할 수 있다. 더욱이 CESA는 애플리케이션, 프로토콜, 포트, 소프트웨어 프로세스, 도메인, 소스/목적지 등에 따라 트래픽 볼륨을 추적한다. 이를 통해 IT 조직들은 대용량 애플리케이션과 데이터 소스를 식별하고 이를 먼저 분할 터널로 이동시켜 가장 적은 노력과 구성으로 VPN 성능에 가장 큰 영향을 미칠 수 있다”라고 말했다.

포프는 긴급 상황에서 IT 조직은 매우 짧은 시간 내에 많은 수의 원격 근무자를 배출하는 위치에 놓일 수 있다며 다음과 같이 지적했다.

“상황에 따라 이러한 사용자에 대한 보안 감시의 일반적인 검증은 비즈니스 재개를 촉진하기 위해 간과될 수 있다. 이는 사용자 엔드포인트가 표준 IT 빌드에 없다는 것을 의미할 수도 있다. 또는 원격 작업자에게 사용되는 일반적인 엔드포인트 보안이 없는 경우일 수도 있다. 상황이 어떻든 간에, 신속하게 구축된 원격 작업은 종종 완벽하지 못한 원격 사용자/엔드포인트 보안 및 가시성을 수반한다.”

CESA는 행동 분석을 사용해 파일 해시 탐지를 통해 탐지할 수 없는 악성 내부자, 악성코드 투하자 및 기타 활동과 같은 위협을 탐지함으로써 다음 단계를 수행한다. 포프에 따르면 CESA는 엔드포인트가 네트워크를 벗어날 때와 엔드포인트가 네트워크에 있을 때 모니터링하도록 구성될 수 있으며, 모든 엔드포인트 활동에 대해 완전한 가시성을 제공할 수 있다.

VPN 외부의 데이터는 여전히 보호 및 모니터링되어야 하기 때문에 분할 터널을 사용할 때 보안이 가장 큰 어려움이다. 그 트래픽이 무엇인지 그리고 그 트래픽에 대한 보안을 어떻게 강화할 수 있는지를 알고 있는 경우다.

분할 터널링을 진전시킨 업체로 시스코만 있는 것이 아니다. 마이크로소프트는 최근 고객이 자사의 오피스 365 온보드 툴을 통해 VPN 연결성과 분할 터널링을 평가하기 위해 사용할 수 있는 툴을 자세히 밝혔다.

이 툴은 이제 VPN 사용을 감지하여 VPN이 권장 오피스 365 분할 터널링에 맞게 구성되었는지 여부를 평가한다. 마이크로소프트는 “많은 회사가 재택근무로 직원을 전환하는 상황에서 오피스 365를 지원하는 확장 가능하고 성능이 뛰어난 VPN 구현은 IT가 직면한 가장 큰 책임 중 하나”라고 언급했다.

마이크로소프트는 “VPN을 통해 원격 작업자 기기를 회사 네트워크나 클라우드 인프라에 연결하는 고객의 경우 마이크로소프트는 오피스 365의 주요 시나리오인 마이크로소프트 팀즈, 셰어포인트 온라인 및 익스체인지 온라인은 VPN 분할 터널 구성을 통해 라우팅할 것을 권장한다. 이는 코로나19 사태와 같은 대규모 재택근무 기간에 지속적인 직원 생산성을 촉진하기 위한 1차 전략으로서 특히 중요해진다”라고 말했다.

AWS는 최근에 분할 터널링 제안이 포함된 VPN 클라이언트 가이드를 다시 발표했다. ciokr@idg.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.