네트워크 / 클라우드

"클라우드 사각지대 없앤다" 네트워크 가시성 아키텍처의 이해

Ann Bednarz | Network World 2022.08.24
네트워크 가시성이 점점 더 흐려지고 있다. 기업은 안개를 헤쳐 나가기 위해 보안을 강화하고  IT 전문가의 생산성을 높이는 도구에 투자하고 있다.
 
ⓒGetty Images Bank

EMA(Enterprise Management Associates)의 리서치 부문 부사장 샤무스 맥길리커디에 따르면, 무려 78%의 기업이 향후 2년 동안 네트워크 가시성 도구 관련 지출을 늘릴 계획이라고 밝혔다. 하이브리드 및 멀티클라우드 아키텍처 도입에 따른 트래픽 증가가 주된 요인이다. 아울러 향상된 가시성이 필요한 다른 요인으로는 데이터센터 내부(east-west) 트래픽 증가와 악성 트래픽을 숨기기 위한 악의적인 행위자의 암호화 사용 증가가 있다. 

맥길리커디는 네트워크에서 분석이 필요한 데이터가 점점 더 많이 생성되고 있다면서, “분석 도구에 트래픽 데이터를 가져오는 데 임시방편으로 접근해서는 안 된다. ‘무슨 일이 생긴 것 같다. 직접 가서 네트워크를 물리적으로 연결하고 패킷 덤프를 한 다음 포렌식 분석을 하겠다’라고 말해서는 안 된다. 항상 완벽한 시야를 확보하려면 장비를 갖춰야 하고, 조명을 켜 둬야 한다. 돈을 절약하려고 조명을 껐다가는 무슨 일이 일어났는지 확인해야 할 때 켤 수 없다”라고 설명했다. 

네트워크 가시성 아키텍처란?
EMA는 네트워크 가시성 아키텍처(Network Visibility Architecture)를 다른 시스템에 네트워크 트래픽 데이터를 제공하는 트래픽 미러링, 통합, 분산 도구의 오버레이라고 정의한다. 다시 말해, 클라우드 및 온프레미스 네트워크에서 패킷 데이터를 캡처해 침입 탐지 또는 애플리케이션 성능 관리 소프트웨어 등의 보안 도구와 성능 분석 시스템에 제공한다. 

네트워크 가시성 아키텍처의 핵심 구성 요소는 운영 네트워크의 트래픽 데이터를 미러링하는 TAP 및 SPAN 포트 그리고 네트워크 패킷 브로커 장비와 통합 장치다. 엔터프라이즈급 가시성 아키텍처는 일반적으로 가상 인프라용 소프트웨어 기반 프로브 및 패킷 브로커 그리고 클라우드 시스템용 클라우드 기반 프로브 및 패킷 브로커도 통합한다. 최근 1~2년 사이에 클라우드 업체의 트래픽 미러링 서비스가 등장했으며, 몇몇 기업의 네트워크 가시성 아키텍처에도 포함되고 있다.

네트워크 가시성의 해결 과제
대부분 기업은 기존 네트워크 가시성 환경에 개선의 여지가 있다는 데 동의한다. EMA의 설문조사 결과, 전체 응답 기업의 34%만이 네트워크 가시성 아키텍처 사용에 성공했다고 말했다(다만 이는 2020년(40%)보다 감소한 수치다). 당면 과제는 확장성 문제(27%), 아키텍처 복잡성(26%), 데이터 품질(23%), 기술 격차(19%), 예산(19%), 제한된 클라우드 가시성(17%) 순으로 나타났다.

맥길리커디는 “가장 큰 문제는 ‘확장성’과 ‘아키텍처 복잡성’이다”라면서, “가시성 아키텍처를 확장하는 것은 때에 따라 어려운 일이다. 기업은 트래픽 증가를 따라잡기 위해 고군분투하고 있기 때문에 이런 아키텍처에 큰 비용을 지출하고 있다. 쫓고 쫓기는 싸움이다”라고 전했다.

아키텍처 복잡성 측면에서의 문제는 네트워크 상태를 처음부터 끝까지 온전하게 파악하지 못하는 것이다. 맥길리커디는 “어디서 트래픽을 분석 도구로 미러링해야 하는가? 네트워크에서 이 작업을 수행해야 하는 모든 부분을 알고 있는가? 상당수가 그렇지 않다”라고 지적했다.

가시성 도구를 방해하는 클라우드
전반적으로 네트워크 가시성 시스템의 효율성이 다양한 이유로 떨어지고 있으며, 가장 큰 이유는 클라우드이다. 애플리케이션을 클라우드로 마이그레이션하면서 사각지대가 발생했고, 멀티클라우드는 가시성을 더욱더 악화시킨다는 것. ㅁ맥길리커디는 “네트워크 운영팀은 클라우드의 네트워크 가시성 수준에 만족하지 못하고 있고, 솔루션을 클라우드로 확장하려고 하면서 어려움을 겪고 있다”라고 전했다. 

클라우드로 발생한 네트워크 사각지대는 정책 위반(49%), IT 서비스 문제 또는 다운타임(46%), 보안 위반(45%), 클라우드 비용 초과(44%) 등의 문제로 이어질 수 있다. 

EMA에 따르면 온프레미스 인프라와 퍼블릭 클라우드를 포괄하는 엔드 투 엔드 가시성 아키텍처를 구축하면 이런 사각지대가 사라질 수 있다. 맥컬리디는 “클라우드는 이런 제품의 관련성을 낮추는 게 아니라 높이고 있다”라고 덧붙였다.

아울러 클라우드 관련 네트워크 패킷 데이터를 보안 및 성능 분석 도구에 제공하는 주된 방법에 관한 질문에 대다수의 기업(60%)은 가상 네트워크 패킷 브로커 또는 가상 TAP 등 서드파티 소프트웨어를 사용하고 있다고 답했다. 38%는 클라우드 업체가 제공하는 네이티브 패킷 미러링 서비스를 쓴다고 전했다. 나머지 2%는 대체 방법을 활용하거나 클라우드에서 패킷 데이터를 분석하지 않는다고 밝혔다.

클라우드에서 서드파티 가시성 소프트웨어의 이점은 다음과 같다. 
 
  • 데이터 수집 신뢰성(54%)
  • 관리 보안(36%)
  • 관리 편의성/자동화(34%)
  • 고급 패킷 필터링 및 변경 기능(32%)
  • 프라이빗 인프라 가시성 기술과의 통합(30%)

TAP vs. SPAN 포트
EMA는 2년마다 SPAN(Switched Port Analyzer) 포트 또는 TAP(Test Access Port)를 통해 수행되는 네트워크의 포트 미러링 비율을 조사한다. SPAN 포트를 사용하면 네트워크 스위치의 포트 중 하나가 트래픽을 복사해 다른 시스템으로 전달할 수 있는 트래픽 미러링 서비스가 된다. TAP는 운영 네트워크에서 네트워크 트래픽을 복사해 스위치에서 해당 작업을 오프로드하는 전용 장치다. 

과거에는 대다수 기업이 SPAN 포트보다는 TAP를 통해 포트 미러링을 수행했다. 하지만 최근에는 TAP이 아닌 SPAN 포트로 바뀌고 있다. 맥길리커디는 “많은 기업이 트래픽 미러링을 위해 TAP보다 SPAN 포트를 활용하고 있다. 이는 시사하는 바가 있다”라고 말했다.

네트워크 복잡성이 증가하면서 기업은 전반적인 가시성을 개선하기 위해 네트워크에서 더 많은 지점을 미러링할 수 있으며, SPAN 포트는 자본적 지출(CAPEX) 측면에서 더 저렴한 접근 방식이다. 하지만 TAP의 이점도 있다. 예를 들면 TAP는 일반적으로 가시성을 전문으로 하는 솔루션 업체에서 제공하며, 특히 네트워크 구성이 변경될 때 TAP를 관리하기 위한 소프트웨어가 지원된다. “운영 복잡성이 감소된다”라고 덧붙였다.

맥길리커디는 “반대로 SPAN 포트를 쓰면 네트워크의 여러 스위치에 구성된 SPAN 포트를 중앙에서 볼 수 없을 수 있다. 즉, 트래픽 미러링 계층에서 가시성 패브릭의 변경을 관리하고 무단 변경을 방지하기가 매우 어렵다”라고 설명했다. 아울러 TAP를 사용하면 데이터 품질도 좋아진다고 언급했다. TAP는 가시성 아키텍처에 미러링된 트래픽을 전달하도록 최적화돼 있는 반면, SPAN 포트는 베스트 에포트 방식이다. 

맥길리커디는 “네트워크 스위치의 활용도가 높으면 기본 임무를 수행하기 위해 SPAN 포트에서 리소스를 보류한다. 예를 들어, SPAN 포트는 패킷을 삭제하기 시작하고, 이는 데이터 품질에 영향을 미칠 것이다. 그래서 기업이 TAP에 투자하고 있으며, 최근 많은 기업이 SPAN 포트를 더 많이 사용하는 것에 조금 문제가 있다고 본다”라고 말했다.

암호화된 트래픽이 네트워크 가시성을 방해한다
맥길리커디에 의하면 네트워크 가시성 아키텍처는 암호화된 트래픽을 검사하고 악의적인 활동을 감지하는 데 핵심적인 역할을 할 수 있지만, 많은 기업이 악성 트래픽을 제대로 식별하지 못하고 있다.

EMA는 지난 1년 동안 네트워크에서 암호화된 패킷 안에 숨겨진 악성 활동을 얼마나 많이 탐지했는지 물었는데, 평균 응답은 27%였다. 하지만 이 비율은 기업이 네트워크 가시성 솔루션을 얼마나 성공적으로 사용했는지에 따라 달라졌다. 굉장히 성공적으로 사용했다고 밝힌 기업들은 네트워크에서 발생한 모든 악성 활동의 34%가 암호화된 트래픽에 있었다고 답한 반면, 다소 성공했다고 밝힌 기업들은 23%라고 전했다. 

맥길리커디는 “꽤 큰 차이다. 이는 네트워크 가시성 아키텍처가 암호화된 트래픽에 숨겨져 있는 악성 활동을 탐지하는 데 필수적이라는 사실을 보여준다. 하지만 많은 기업이 그렇게 하지 않고 있다”라고 지적했다.

또 TLS/SSL 트래픽을 복호화할 때 사용하는 리소스를 물어본 결과, 가장 인기 있는 응답은 보안 및 성능 분석 도구였다(43%). 하지만 복호화를 위해 보안 분석 도구를 쓰면 해당 도구의 리소스를 소모할 수 있으며, 이는 복호화된 트래픽을 실제로 분석하는 기능에 영향을 미친다. 맥길리커디는 “너무나 많은 기업이 분석 도구에서 트래픽을 복호화하고 있으며, 이는 효율적이지 못하다”라고 전했다. 

두 번째로 인기 있는 접근방식은 네트워크 패킷 브로커에서 트래픽을 복호화하는 것(23%)이었는데, 맥길리커디는 “개인적으로 이상적인 지점이라고 본다”라고 평가했다. 이 밖에 전용 복호화 기기(12%), 패킷 수집 기기(11%), 애플리케이션 제공 컨트롤(7%) 등이 있었다. 

가시성으로 IT 효율성 높인다
보고서에 따르면 네트워크 가시성 아키텍처를 사용할 때의 이점은 다음과 같다. 
 
  • IT/보안팀 생산성 향상(36%)
  • 보안 위험 감소(33%)
  • 용량 관리 개선(25%)
  • 클라우드 마이그레이션 최적화(23%)
  • 네트워크/애플리케이션 성능 및 복원력(22%)
  • 팀 간 협업/의사결정 개선(19%)
  • 컴플라이언스 위험 감소(18%)
  • 보안 및 성능 분석 도구 수명 연장(14%)

맥길리커디는 보안 위험 감소 수준을 수치로 제시하긴 어렵지만 생산성 향상의 이점을 정량화하기는 쉽다며, “IT팀과 보안팀의 생산성을 높이면 이를 통해 풀타임 근무 시간을 어떻게 해방시켰는지 경영진에게 보여줄 수 있다”라고 설명했다. 

많은 기업에서 중요한 IT 인력이 분석 도구에 네트워크 트래픽 데이터를 제공하는 데 수백 시간을 투자하고 있다. 네트워크 가시성 아키텍처를 사용하면 이를 자동화할 수 있다. IT 전문가는 데이터를 가져와 도구로 전달하기 위해 어려운 일을 할 필요가 없다. 맥길리커디는 “이것이 IT 보안 생산성의 향상이며, ROI의 주된 동인이다”라고 강조했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.