IT 관리 / 네트워크 / 보안

“SASE냐 SSE냐 그것이 문제로다” 기업의 요구를 명확하게 파악하는 방법

Mark Sheard | Network World 2022.05.25
SASE(Secure Access Service Edge)는 코로나19 팬데믹 및 이와 관련하여 증가한 재택근무 직원들로 인해 지난 몇 년 동안 큰 관심을 받았다. 하지만 SASE는 2019년 가트너가 이 용어를 처음 만들면서 예상한 대로 구체화되지는 않았다. 특히 단일 제공업체가 SASE를 네트워크 엣지에 있는 단일 통합 클라우드 서비스로써 제공해야 한다는 의견을 중심으로 반발이 있었다.

SASE 모델은 네트워크 보안 기능과 WAN 기능을 결합하여 클라우드에서 보안 요소를 제공하고 엣지 또는 클라우드에서 SD-WAN을 사용한다. 주요 보안 기능으로는 SWG(Secure Web Gateway), ZTNA(Zero Trust Network Access), FWaaS(FireWall as a Service), CASB(Cloud Access Security Broker) 등이 있다.

카토 네트웍스(Cato Networks)와 버사 네트웍스(Versa Networks)처럼 일부 SASE 솔루션 업체는 OSOP(One-Supplier-One-Platform) 모델에 가장 가까운 버전을 제공한다고 주장한다. 이것이 SASE에 대한 순수주의적인 관점이다. 다른 업체들은 자사 서비스를 SASE라고 홍보하면서 파트너십에 의존하고 기업들을 인수하며 복합적으로 풀스택 포트폴리오를 형성하는 별도의 솔루션 구성요소를 개발하고 있다.

하지만 최근에는 보안과 네트워킹을 결합하는 방식에 관한 생각이 바뀌고 있다.
 
ⓒ Getty Images Bank

SASE라는 개념에서 CASB, SWG, ZTNA가 포함된 덜 광범위한 SSE(Secure Service Edge)로 관심이 변화하는 데 큰 역할을 한 것은 가트너다. 가트너는 ‘2021년 전략적 SASE 컨버전스 로드맵’에서 SSE 번들을 소개했다. SSE는 기본적으로 SASE 모델 하에서 동시에 관리해야 하는 결합된 보안 및 네트워크 서비스의 보안 부분이다. 가트너가 SSE에 주목하기 시작했다는 것은 현재 시장에서 일어나는 일을 인식했다는 의미이며, 동종 최고(best-of-breed)의 접근 방식이 주는 가치에 신빙성을 더하고 있다. (관련 기사 : “SD-WAN을 제외한 SASE” 가트너가 말하는 SSE)

따라서 SSE의 등장은 시장 원리의 수용이자, 시장의 요구가 지속해서 변화할 때 다양한 일련의 서비스를 통합된 방식으로 제공하기가 상당히 복잡한 것임을 인정하는 셈이다. 모든 솔루션 업체가 이상적인 SASE 비전을 제공하려고 하거나 제공할 수 있는 것은 아니다. 그래도 상관없다. 그다지 중요한 것은 아니다.

신뢰할 수 있는 네트워크와 보안 환경의 구성요소를 모든 사람이 알 수 있도록 개념화해 비즈니스를 보호하면서도 탄탄한 서비스를 제공하도록 돕는 일에는 엄청난 가치가 있다. 모두 가트너 덕분이다. 하지만 SSE 도입 속도를 통해 수많은 솔루션 업체가 SASE에서 얼마나 멀리 떨어져 있는지를 짐작할 수 있다. 또한 새로운 개념으로 산업을 형성하려는 시도는 야심차지만, 최악의 경우에는 부적절한 선전으로 이어질 수 있다.

기업에 가장 적합한 개념의 솔루션을 선택하는 것은 말처럼 쉽지 않다. SASE/SSE 분야의 주된 문제점은 각 솔루션이 제공하는 기능에 거의 차이가 없다는 점이다. 따라서 예상치 못한 일이나 비용에 대한 위험을 최대한 줄이면서 가격 대비 성능이 좋은 적절한 기능 세트를 결정할 때는 탄탄한 기술 및 상업 분석이 필수다. 

이를 위해 기업은 다음 5가지 사항을 살펴봐야 한다.


1. 라이선스 제공, 포함·제외 기능, 대금 지불 기준 이해하기

예를 들어 ‘사용 기간은 어떻게 되는가?’, ‘사용자 수 등의 볼륨 변경 시 유연성은 어느 정도인가?’를 질문해야 한다. 한번 구매하는 하드웨어와 달리 소프트웨어는 가격 변화와 인상에 훨씬 민감하다. 도입 계획을 조사하고 업체와 협상할 때뿐 아니라 업체를 비교/평가할 때 라이선스 비용을 고려하는 것이 중요하다.


2. 계약이 얼마나 유연한지 검토하기

기업에 피해를 입힐 수 있는 주요 계약상 제한은 무엇일까? 주요 거래 구성요소 및 약관과 관련한 ‘가정’ 시나리오를 고려해야 한다. 계약은 어떻게 이루어지는가? 어떤 가격 조정 약관이 포함되어 있는가? 요구가 극적으로 바뀌는 경우에는 어떻게 되는가? 성능이 요금에 부합하지 않는 경우 어떻게 하는가? 이 영역에 대해 잘 아는 괜찮은 변호사가 필요할 수 있다. 엄격한 법률/상업/서비스/기술 검토로 베스트 프랙티스 계획을 수립하는 것보다 좋은 것은 없다. 실질적인 목적도 갖추어야 한다. 예컨대 변화무쌍한 보안 위협의 세계에서 그 어떤 업체도 합리적으로 동의하려고 하지 않는 법적 책임의 한계를 계속 요구하는 것은 계약 체결을 불필요하게 지연시킬 수 있는 대표적인 사례다.


3. 구현 타임프레임과 제공업체의 의무 사항을 엄격하게 고려하기

정말로 중요할 수 있는 사항이다. 솔루션 구현 시간, 비용, 범위를 간과하면 임원들에게 프로젝트 시한과 예산을 맞추지 못하는 이유를 설명하느라 고생할 수 있다. 또한 기업은 서비스 및 보안 문제에 노출될 수도 있다. 제공업체 의무 사항과 구현 프로세스, 부가 기능, 옵션 구성요소를 검토하면 솔루션을 적용하는 과정에서 발생하는 많은 우려와 관계의 충돌을 줄일 수 있다. 처음부터 구현 세부 사항을 능동적으로 포함하고 제안요청서나 자료요청서를 요구하는 것에서 시작하는 것이 가장 좋다.


4. 2일 차 지원 및 관리 계획을 조달 초기부터 우선시하기

많은 비용이 들거나 서비스에 악영향을 주는 소유권 또는 범위의 공백을 피하고 싶다면 잘 구성된 업무기술서가 필요하다. 업무기술서에는 간접 비용과 기업 및 제공업체의 약속, 명확한 책임 규명을 위한 메커니즘을 포함해야 한다. 다시 한번 말하지만, 소싱 노력 초기부터 필요한 것을 규정하는 것이 필요한 업무기술서를 얻는 기본이다. 또한 프로세스를 진행하면서 기업의 요구사항이 제공업체의 문서화된 약속에 포함되도록 노력하는 것이 중요하다. 약속을 테스트하고 공백을 이해하며 부족한 부분을 협상한 후 결과를 문서로 작성하라.


5. 기술/솔루션 역량을 기준으로 비즈니스 요구사항 평가하기

모든 당사자를 프로젝트 요건 검증에 참여시키는 것이 매우 유리할 수 있다. 이때 최종 소비자(비즈니스 사용자)기 조달 프로세스 초기부터 참여하는 것이 좋다. 유용한 인사이트를 제공하고 우선순위에 집중하는 데 도움이 되며 최소한 현재 여정에 대한 인식을 높여주기 때문이다. 

하지만 다양한 이해관계자들과의 소통의 적절한 균형을 맞추는 것이 항상 쉽지만은 않다. 적절한 방식으로 소통할 이해관계자를 찾아보자. 대화 수준이 과도하게 높으면 ‘헬리콥터 인사이트’가 되어 실질적인 기여를 하지 못할 수 있다. 반면 너무 실무적이거나 이해관계자가 너무 많으면 지나친 분석 또는 방해로 이어질 수 있다. 

쉬운 답은 없다. 균형 잡힌 소통이 필요하며, 전문가 그리고 다양한 수준의 이해관계자들로 구성된 핵심 그룹을 만드는 것이 가장 성공적인 접근 방식이다. 한 가지 요령은 관련된 모든 사람들이 약속할 수 있으면서도 일반적으로 ‘이상’이라고는 보기 어려운 노력의 수준을 결정하고, 이에 따라 도입을 계획해 중요한 작업의 우선순위를 설정하는 것이다. 

그럼 행운을 빈다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.