Home > 전체기사
떠오르고 있는 보안 전략 새시(SASE), 도입할까 말까?
  |  입력 : 2020-02-24 16:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새시, 여러 가지 네트워킹 및 보안 기술을 통합한 일원화 보안 전략
작게 시작하는 것이 관건...처음부터 통째로 바꿀 필요는 없어...한 가지 문제에 집중


[보안뉴스 문가용 기자] 보안 접근 서비스 에지(Secure Access Service Edge), 줄여서 ‘새시(SASE)’라고 불리는 용어가 최근 보안 전문가들 사이에서 뜨거운 화제가 되고 있다. 새시는 간단히 말해 WAN에 각종 네트워크 보안 기능을 덧붙인 것이다. 보안 웹 게이트웨이(secure web gateway), 클라우드 접근 보안 브로커(cloud access security broker), 서비스형 방화벽(firewall-as-a-service), 제로트러스트 네트워크 접근(zero-trust network access) 등과 같은 보안 서비스를 아우른다.

[이미지 = iclickart]


가트너(Gartner)의 앤드류 러너(Andrew Lerner)에 의하면 “새시 서비스들은 ‘서비스형(as-a-service)’의 형태로 사용자들에게 배포되며, 민감한 데이터나 멀웨어를 찾아내고, 콘텐츠를 복호화 하며, 위험 요소들과 세션의 신뢰도 수준을 계속해서 모니터링 하는 것을 목표로 하고 있다”고 한다. 모니터링 대상이 되는 건 사람, 장비, 애플리케이션, 서비스, 사물인터넷 시스템이라고 한다.

‘새시(SASE)’라는 용어가 처음 등장한 건 2019년에 발행된 가트너 네트워크 관련 보고서에서였다. 그러나 용어만 좀 새롭지, 그 내용을 들여다보면 이미 우리 곁에 있어 왔던 것들이다. 신기술을 지칭한다기보다 날마다 새로워지는 보안 위협들에 적응하며 모습을 바꿔가는 조직들의 보안 전략에 가깝다. 특히 클라우드와 모바일 환경으로 빠르게 이주해가는 시대의 보안 전략을 중 하나라고 보면 된다.

보안 업체 오팩(OPAQ)의 CTO인 톰 크로스(Tom Cross)는 “새시는 그 자체로 하나의 새로운 기술이 아니라 여러 기술들을 조합해 놓은 것”이라며 “누구나 한두 개쯤은 직접 사용해봤을 것”이라고 말한다. “새시가 각광을 받기 시작한다는 것에서 우리가 눈여겨봐야 할 것은, 따로 따로 사용되어 왔던 기술들이 하나로 융합되고 있다는 것입니다. 왜 여러 보안 및 네트워킹 서비스가 하나로 합쳐지기 시작했을까요? 기업 내 네트워크 아키텍처가 IT 분야의 변화를 제대로 수용하지 못하고 질질 끌려다니고 있기 때문입니다. 그러니 보안이 더 복잡해지는 겁니다.”

새시, 어떻게 생겨났나
요즘 회사를 다니는 직원들은 대부분 여러 종류의 기기들을 사용해, 다양한 지역으로부터 기업의 네크워크나 데이터에 접근한다. 이른바 클라우드 컴퓨팅 혹은 모바일 컴퓨팅이 극에 달하면서 나타난 현상이다. 그러면서 일정한 장소에서 일정한 기기들로 업무를 보던 때의 IT 인프라는 금방 낡은 것이 되었다. 물리 장비였던 서버들이 ‘서비스형 인프라(IaaS)’로 변경되기 시작했고, 누구나 웹 콘솔이나 API를 거쳐 회사 네트워크와 교신하기 시작했다. 데이터는 사방팔방에 저장되고 있으며, 따라서 여러 디지털 자산에 대한 가시성을 확보하는 게 불가능에 가까울 정도로 어려운 일이 되었다.

자연스럽게 기존의 기업형 네트워크들은 대변혁의 대상이 되었고, 조직들은 인프라 속도는 높이면서 비용은 오히려 낮아지는 기적을 하나 둘 경험하기 시작했다. “SD-WAN이라는 것이 등장해 네트워크의 변혁을 어느 정도 뒷받침해 주는가 싶었지만 모바일 사용자들과 연결이 되지 않는다는 치명적인 단점이 있습니다.” 카토 네트웍스(Cato Networks)의 기술 전도자인 데이브 그린필드(Dave Greenfield)의 설명이다. “클라우드에서의 보안 문제도 해결하는 데 큰 도움이 되지 않기도 했고요.”

그러면서 자연스럽게 ‘예전부터 사용되어 왔던 기술들을 섞어 사용하는 방법’이 자리를 잡기 시작했고, 그것이 바로 새시다. 새시를 구성하는 요소들은 방화벽, 침투 탐지 시스템(IPS), 클라우드 접근 보안 브로커(CASB) 등으로, 지난 몇 년 동안 기업들 내에서 익히 사용되어온 바 있다. 시큐로시스(Securosis)의 분석가인 마이크 로스만(Mike Rothman)은 “하지만 얼마 동안 클라우드에서의 시행착오를 겪고 나서 많은 사람들이 이런 솔루션이나 서비스 한두 개를 가지고 안전한 클라우드 환경을 만들 수 없다는 걸 깨달았다”고 말한다. “보다 전체를 보고 관리할 수 있는, 통합적인 방법이 필요했어요.”

기존의 네트워크 보안은 ‘주요 지점의 검사’를 기반으로 하고 있다. 즉 트래픽을 검사가 진행되는 지점으로 라우팅함으로써 안전을 꾀했던 것이다. 하지만 이는 비효율적이고 비용을 쓸데없이 높이는 결과를 가져왔다. 크로스는 “게다가 트래픽에서 병목현상이 자주 발생하기도 했다”고 지적한다. “클라우드에서 망을 분리시켜서 운영할 경우 효율이 좋아지고, 더 많은 계정을 보다 쉽게 관리할 수 있게 됩니다.”

그래서 온프레미스 방화벽의 의미가 크게 흐려졌다. “현대의 상황에 온프레미스 네트워크가 어울리지 않게 되어버렸어요. 아주 자연스럽게요. 좀 더 현대에 맞는 인프라에 대한 수요가 생겨나기 시작했죠. 모바일 접근, 클라우드 접근, 웹사이트 접근을 따로따로 생각하는 게 아니라 하나의 전체적인 네트워크로 편입하는 방식에 대해 탐구가 이뤄지기 시작했고, 그게 바로 새시입니다. 보안이 좀 더 통일되고 깔끔해지며, 따라서 복잡한 제각각의 보안 정책도 더는 없어도 되는 게 새시라는 겁니다. 새시의 장점은 ‘하나의 정책, 하나의 방화벽’으로 정리해도 됩니다.”

새시의 강점과 작동 원리
로스만은 “새시의 경우 모든 종류의 엔드포인트를 위한 보안과 네트워킹 기술을 접목할 수 있다는 큰 장점을 가지고 있다”고 설명을 보충한다. 즉 장비 하나 하나에 에이전트를 설치하고, VPN에 연결시키며, 클라우드 기반의 자원으로 리라우팅하지 않아도 된다는 뜻으로, “결국 모든 최종 사용자 개개인에게 보다 안전하고 탄탄한 네트워크를 가져다주는 것과 같다.” 그래서 효율성이 강화되는 것이라고 로스만은 강조한다. “장비 하나하나를 네트워크에 맞추기 위해 변형시키는 게 아니라, 자연스럽게 네트워크를 통째로 이어 붙여주는 것이죠.”

어떻게 이게 가능한 걸까? 카토 네트웍스의 그린필드는 새시 아키텍처에 대해 다음과 같이 설명한다. “새시 아키텍처는 클라우드 네이티브 플랫폼입니다. 또한 조직에 필요한 보안 처리 기술을 망라하고 있기도 하죠. 각 위치에서는 SD-WAN 장비가 실행되고, 이를 통해 트래픽이 새시 클라우드로 편입됩니다. 트래픽은 로컬의 상호 접속 위치(POP)로 전송되고, 여기서 네트워킹 및 보안과 관련된 처리 절차가 끝난 후 최종 도착지로 전달됩니다.”

하지만 로스만은 “새시를 도입할 때 작은 단위로 시작해야 한다”고 경고한다. “제일 먼저는 해결하고 싶은 문제를 정확히 파악해야 합니다. 그런 다음 그 문제를 중심으로 도움을 줄 수 있는 새시 전문 업체들을 알아봐야 합니다. 사용 실례를 수집해가면서 어떤 식으로 현대적 IT 인프라를 갖춘 조직들에 도움이 되는지를 최대한 상세히 파악하는 게 그 다음입니다. 그렇게 하면서 새시 내에 포함된 기술들을 하나하나 더해가야 합니다. 처음부터 모든 체제를 한꺼번에 새시 환경으로 바꾸는 건 바람직하지 않습니다.”

새시 도입 실례
그런 의미에서 바이오아이비티(BioIVT)라는 기업의 새시 도입 이야기를, 회사 부회장인 앤드류 톰슨(Andrew Thomson)으로부터 직접 들어보자. “2년 전 네트워크 보안을 강화하는 사업을 시작했습니다. 특별히 새시라는 것을 염두에 둔 건 아니었어요. 그저 클라우드로 이주해 간 네트워크를 ‘새롭게’ 보호할 방법을 찾고 싶었던 것이죠. 당시 바이오아이비티는 지점들마다 마련된 시스코 장비로 이루어진 네트워크를 운영하고 있었습니다. 이 장비들을 전부 합치면 하나의 WAN이 완성되는 구조였죠. 다양한 ISP와 협력을 하고 있어 진입 지점이 여러 개 있기도 했습니다. 이런 상태에서 네트워크를 확장시킨다는 건 커다란 고민거리였습니다.”

톰슨은 “뭔가 커다란 결단을 해야 할 시점에 다다랐다”는 걸 느꼈다고 한다. “네트워크를 보다 효율적으로 넓힐 수 있으면서 보안을 강화시킬 방법을 찾아야만 했습니다. ‘이걸 어떻게 한꺼번에 해내지? 해낼 수 있긴 한 건가?’라는 의심이 끊임없이 들었어요.” 결국 그는 SD-WAN 서비스를 제공하는 업체들을 만나 상담을 받기 시작했다. 당시로서는 ‘스케일을 키우고도 보안이 튼튼한’ 서비스를 제공하는 곳이 SD-WAN뿐이다시피 했다.

“원래는 여러 가지 네트워크 강화 및 보안 강화 도구들을 물망에 올려놓고 있었습니다. 다 쓰고 싶었죠. 하지만 그렇게 하다가는 가뜩이나 복잡한 네트워크 상태를 더 복잡하게 만들 것 같았습니다. 네트워크 모니터링에 이 제품을 쓰고, 방화벽에는 저 제품을 쓰고... 그런 식으로 파트너사를 넓혀간다는 건 바람직해 보이지 않았습니다. 그러다가 우연히 새시라는 걸 알게 됐도, 그 모든 복잡함을 하나의 회사와 함께 해결할 수 있다는 걸 알았을 때, 해갈하는 기분이었습니다.”

파트너사가 정해졌고, 이제 구축이 남았는데, 구축 기간 동안에도 계속해서 연결성은 유지가 되어야 했다. 즉 기존의 네트워크를 유지한 채 새로운 네트워크를 마련해야 했던 것이다. 그러면서 예상치 못한 ‘이득’이 생기기 시작했다. 추가로 보안 인력이나 자원을 마련할 필요 없이 예전 파트너사를 그대로 유지할 수 있었던 것이다. “즉, 새로운 체제를 학습하면서 보내야 하는 시간이 최소화 된 것이죠. 저희만이 아니라 파트너사들도요.” 새시 체제로 변환한 뒤 바이오아이비티는 네트워크를 순조롭게 확장시킬 수 있었다. 8개 지점이 17개로 늘어났고, 지금도 각 지점으로부터 여러 장비들이 끊임없이 연결되었다가 분리된다.

새시, 어느 곳에 어울리나?
새시에는 장점도 있지만 단점도 있다. 그래서 모든 기업들에 새시가 권장되지 않는다. 현재까지 새시를 도입하는 기업들에는 다음과 같은 이유가 있었다.
1) 직접 하드웨어를 다량으로 보유하고 관리하기 싫다.
2) 트래픽을 데이터센터로 되돌려 보내는 작업을 하기 싫다. 왜냐하면 인터넷을 통과해야 하기 때문이다.
3) 최종 사용자들이 VPN을 사용하지 않는다는 이유만으로 보안이 약해지는 상황이 싫다.

예를 들어 만약 현재 설치되어 있는 방화벽을 교체해야 하는 시점이라면, 새시를 한 번 고려해봄직 하다고 크로스는 말한다. “아니면 새로운 사무소를 열어 방화벽이 추가로 필요한 경우도 괜찮겠죠. 하드웨어 방화벽에 투자를 하는 것보다 새시를 구매하는 게 나을 수 있습니다. M&A 과정 중에 있어 전혀 다른 회사의 IT와 보안 프로세스에 대한 장악력이 급히 필요하다면 새시가 큰 도움이 될 수도 있고요. 재택 혹은 출장 근무자들이 많거나, 물리적 매장이 여러 지역에 걸쳐 열려 있는 상황에도 새시가 잘 어울립니다.”

크로스는 “사업이 얼마나 큰가, 회사 규모가 어느 정도인가보다 회사의 IT 네트워크가 얼마나 오래 되었느냐가 가장 중요한 요소”라고 정리한다. “클라우드 시대에 태어난 회사들이라면, 새시가 자연스럽게 도입될 수 있습니다. 30년 전 PC 통신 시대의 기술을 기반으로 한 회사라면 좀 더 투자를 해야 하겠죠. 그럼에도 완전 백지에서부터 시작해야만 하는 기업은 그리 많지 않을 겁니다. 새시는 기존에 사용되어 오던 여러 가지 기술의 종합 전략이니까요. 생각보다 크게 두려워하지 않아도 됩니다.”

3줄 요약
1. 클라우드와 모바일로 개편된 인프라의 보안에 적합하다면서 화제가 되고 있는 ‘새시.’
2. 여러 네트워킹 및 보안 기술을 한데 묶어 놓은 일종의 ‘종합 클라우드 기반 보안 전략.’
3. 각종 네트워킹 및 보안 이슈를 한 가지 정책, 한 가지 업체, 한 가지 서비스로 일원화 할 수 있다는 게 큰 장점.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)