IT 관리 / 네트워크

미국 소매기업이 NaaS로 성공적인 제로 트러스트 여정을 시작한 비결

Neal Weinberg | Network World 2023.02.15
미국 메릴랜드주에 소재한 신발 소매기업 DTLR의 IT 책임자 나이젤 윌리엄스-루카스는 IT 경영진 대부분에게 익숙한 과제에 직면했다. 사업 부서에서 디지털 트랜스포메이션을 적극적으로 추진하면서 IT 인프라가 보조를 맞추는 데 어려움을 겪고 있었다.
 
ⓒ Getty Images Bank

매장 관리자는 재고, 판매와 같은 백엔드 시스템의 데이터 분석과 비즈니스 인텔리전스가 개선되기를 원했고 사업 부서는 고객이 온라인에서 주문하고 2시간 이내에 매장을 직접 방문해 수령하는 방식을 IT 시스템이 지원하기를 바랐다.

동시에 대역폭 사용량이 많은 실시간 IP 보안 카메라까지 안정적으로 지원해야 했다. 윌리엄스-루카스는 네트워크가 블루투스 또는 와이파이를 통해 매장 내 고객에 대한 정보를 수집하고 매장에서 고객이 어디에 있고 어느 제품에 관심을 보이는지에 따라 할인 정보를 전송할 수 있는 비콘 기술을 구축하고자 했다.

IT 부서가 직면한 과제는 또 있었다. 운동화, 의류, 액세서리를 전문적으로 취급하는 DTLR은 메릴랜드의 자체 라디오 방송국에서 프로그램을 제작한다. DTLR 라디오(DTLR Radio) 앱을 통해 그래미 시상식 현장에서 라이브 방송을 진행하는 등 이동 방송도 제공한다. 윌리엄스-루카스는 이런 콘텐츠를 DTLR 매장 250곳으로 안전하게 푸시할 수 있도록 해야 했다.

윌리엄스-루카스는 여러 과제의 보안에 대처하기 위해 클라우드플레어(Cloudflare)의 NaaS(Network-as-a-Service)를 선택했고 자본 투자나 하드웨어 교체 없이 제로 트러스트를 추진할 수 있게 됐다. 윌리엄스-루카스는 NaaS가 기업에 따라 다른 의미를 지닐 수 있는 다소 모호한 용어지만, “DTLR에서 NaaS는 제로 트러스트를 향한 단계별 접근”이라고 말했다.


IPSec VPN에서 클라우드로

DTLR은 구현 단계를 작게 나눠 신중하게 움직였다. 비즈니스가 중단되는 사태를 만들고 싶지 않았기 때문이다. 윌리엄스-루카스는 “DTLR은 방대한 리소스를 보유하고 있지 않고 대규모 엔지니어링 팀도 없다. 비즈니스 성장을 지원해야 하지만, 통제되고 스마트한 방식으로 해야 한다. 팀이 각각의 매장을 방문하지 않고도 소매점 전체에 적용되는 변경을 실행할 수 있도록 하려면 하나로 통합된 시야가 필요하다. 각 부분이 올바르게 움직이고 있는지 감사할 수 있어야 하고 사이버 보안을 위해서 들어오고 나가는 트래픽을 볼 수 있어야 한다”라고 말했다.

DTLR은 에어 조던 같은 복고풍 운동화로 유명하다. 그러나 DTLR의 IT 인프라 역시 좋지 않은 의미에서 복고풍이다. 레거시 하드웨어는 유지보수에 손은 많이 가지만, 정작 회사에 필요한 기능은 제공하지 않는다. 윌리엄스-루카스는 “전적으로 온프레미스로 운영됐던 과거 인프라의 흔적이 여전히 남아 있었다”라고 말했다.

현재 클라우드로 전환 중인 DTLR은 체계적인 접근 방법을 취해 VM웨어 기반 데이터센터 서버에서 코로케이션 업체로 일부 리소스를 마이그레이션 중이며, 다른 리소스는 마이크로소프트 애저로 바로 옮기고 있다.

최근까지도 DTLR은 전적으로 기성품 소프트웨어에 의존했다. 창고 관리, POS와 같은 핵심 소매 시스템에는 앱토스(Aptos)를 사용한다. 그러나 DTLR은 최근 자체 개발자를 채용했고 클라우드 우선 개발 환경으로 전환하고 있다. 이 작업이 완료되기 전까지 회사의 쿠버네티스 개발 환경은 온프레미스에서 운영된다.

윌리엄스-루카스는 매장을 중앙 위치에 연결하는 IPSec VPN이 포함된, 90년대에 만들어진 성과 해자(castle-and-moat) 형태의 보안 프레임워크도 손봐야 했다. 이 프레임워크는 단일 실패 지점을 유발했고 네트워크 트래픽에 대해 팀에 필요한 가시성을 제공하지 않았다. 윌리엄스-루카스는 “IT 관점에서 볼 때 통제력이 전적으로 부족했다”라고 지적다.


클라우드플레어와의 관계 발전

DTLR과 클라우드플레어의 관계는 2017년 윌리엄스-루카스가 클라우드플레어의 보안 DNS 서비스를 이용하면서 시작됐다. DTLR은 모든 DNS 요청을 클라우드플레어를 통해 전달함으로써 직원들이 알려진 악성 사이트에 연결하지 않는다는 어느 정도의 확신을 가질 수 있었고 DDoS 공격에 대한 보호 기능을 얻었으며, 직원들이 네트워크에서 무엇을 하는지에 대한 가시성도 일정 부분 확보했다.

윌리엄스-루카스는 클라우드플레어와의 관계를 공생 관계로 표현했다. DTLR의 요구사항이 빠르게 확장되는 클라우드플레어 제품 포트폴리오와 잘 맞물리기 때문이다. 엣지 기기를 교체할 만한 자본이 없는 상황에서 네트워크 엣지의 보안을 강화하는 것이 DTLR의 요구 사항이었다.

해답은 클라우드플레어 터널(Tunnel)을 구축하는 것이었다. 공개적으로 라우팅할 수 있는 IP 주소 없이 클라우드플레어에 대한 안전한 암호화된 링크를 제공하는 네트워크 서비스다. 모든 리소스 요청을 클라우드플레어의 보안 필터를 통과하도록 함으로써 애플리케이션을 제로 트러스트 모델로 배포하는 방법이다. 윌리엄스-루카스는 방화벽을 교체하지 않고 클라우드플레어 제어 평면으로 아웃바운드 전용 연결을 생성하는 소프트웨어 에이전트만 설치했다.

초기에 가장 크게 효과를 본 부분은 엔드포인트 트래픽 흐름에 대한 시야 확보다. 클라우드플레어의 서비스를 도입하기 전 윌리엄스-루카스는 35년된 이 회사의 엔드포인트를 적절히 감사한 적이 한 번도 없다. 하지만 이제는 더 이상 사용되지 않는 레거시 엔드포인트를 찾아서 폐기할 수 있다.

다음 단계는 제로 트러스트 액세스 제어 구현이었다. 클라우드플레어 서비스가 애저 클라우드에서 실행되는 DTLR의 액티브 디렉토리에 연결해서 액티브 디렉토리 ID 기반 규칙에 따라 제로 트러스트 정책을 강제하는 방식으로 이뤄진다.

하지만 소매점과 회사 본사의 정책은 서로 달라야 한다. 윌리엄스-루카스는 “매장에는 엄격한 액세스 제어 정책을 강제할 수 있지만, 본사 직원의 업무에 지장을 주지는 않아야 한다”라고 말했다. DTLR 개발팀은 클라우드플레어 NaaS를 구축하는 과정에서 “DTLR의 사업에 결정적인 성공 요소”로 입증된 혁신적인 내부 애플리케이션을 완성했다.

애플리케이션은 내부 지표를 수집하고 연계해서 매장 관리자에게 해당 데이터를 제공한다. 과거에는 매장 관리자가 고객, 판매, 재고 등에 대한 데이터에 액세스하려면 여러 포털을 방문해야 했다. 지금은 하나의 보기에서 모든 데이터를 확인할 수 있다. 윌리엄스-루카스는 “매장 관리자는 이제 원하는 수치를 실시간으로 볼 수 있다”라고 설명했다. 새로운 앱은 회사가 2시간 픽업 서비스를 실행하는 데도 중요한 역할을 했다.

클라우드플레어 NaaS를 사용해서 얻는 이점은 모든 직원이 어떤 유형의 기기를 사용하든 어디에서나 보안 터널을 통해 새 애플리케이션에 액세스할 수 있다는 것이다. “모두 인증 규칙에 따르며 이 과정은 몇 밀리초 안에 이뤄진다. 클릭만 하면 된다”라고 월리엄스-루카스는 덧붙였다.


NaaS가 가져다준 부가적인 이점

클라우드플레어 NaaS 서비스는 DTLR에 다음과 같은 부가적인 혜택을 제공했다.
 
  • 비용 회피 : 윌리엄스-루카스는 “지금은 해킹이나 DDoS 공격이 일상다반사로 일어나는 시대”이므로 많은 비용을 초래하는 사이버 침해를 피하는 것이 회사에 중요하다고 말했다.
  • 네트워크 성능 개선 : 클라우드플레어가 제공하는 네트워크 가시성은 가동 중단을 선제적으로 방지하는 데 도움이 된다. 또한 각 매장은 이제 가장 가까운 클라우드플레어 접속 지점(point-of-presence)에 직접 연결되며, 트래픽은 클라우드플레어의 고속 백본을 타고 이동하므로 성능이 개선된다.
  • 직원 효율성 개선 : 클라우드플레어 NaaS를 사용하기 전에는 모니터링과 문제 해결을 위해 개발팀이 여러 업체의 여러 포털을 방문해야 했다. 
  • 보안 감사 결과 개선 : DTLR은 독립적인 사이버 보험사의 정기적인 보안 평가를 받는다. 윌리엄스-루카스는 “보험사는 여러 단계를 통한 구현을 지켜봤고 감사 점수도 점진적으로 좋아졌다”라고 말했다.
  • 보안 태세 개선 : 윌리엄스-루카스는 “이제 무엇이 네트워크를 통해 흐르는지 알 수 있으므로 미래를 위한 더 강력한 보안 태세를 구축할 수 있다”라고 강조했다.


여기서 끝이 아니다

DTLR은 단계별 접근을 통해 DTLR의 스타일과 예산에 맞는 속도로 제로 트러스트의 이점을 얻을 수 있었다. 클라우드플레어는 사용량이 아니라 위치별로 요금을 청구하므로 비용 구조가 안정적이고 예측할 수 있다. 윌리엄스-루카스는 “DTLR의 접근 방법이 주는 장점은 예산을 세울 수 있다는 점과 몇 년을 기다린 뒤에 혜택을 얻는 게 아니라 다양한 부분을 바로 활성화할 수 있다는 점이다. 대부분 경우 서로 보완하는 관계의 여러 부분을 동시에 공략할 수 있다. 그런 식으로 기능이 추가되면서 더 강력해진다”라고 설명했다.

이제 DTLR은 2023년과 그 이후 전반적인 비즈니스를 디지털로 운영할 수 있게 해주는 시스템을 갖췄다. 이전 인프라로는 구현할 수 없었던 비콘 시스템도 이제는 가능하며, 그 과정에서 보안이나 성능을 희생할 필요도 없다. 

윌리엄스-루카스는 아직 여정이 끝나지 않았다고 말했다. DTLR은 네트워크 엣지 하드웨어의 SaaS 기반 대안인 클라우드플레어 매직 WAN(Magic WAN) 서비스로 교체하는 것을 다음 단계로 삼아 IT 인프라를 개선해 나갈 방침이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.