SSE 솔루션을 선택할 때 해야 할 10가지 질문

2019년 가트너는 ‘보안 액세스 서비스 엣지(Secure Access Service Edge, SASE)’라는 용어를 만들었다. SASE는 원격 작업자에게 인터넷 기반 리소스에 대한 안전한 액세스를 제공하기 위해 네트워크와 보안을 결합하는 클라우드 기반 서비스를 일컫는다.
 

가트너는 코로나19 팬데믹 동안 원격 근무로 전환되고 애플리케이션이 클라우드로 마이그레이션되면서 IT 부서가 직면한 새로운 과제를 지적했다. 그러나 가트너의 지적은 다소 성급했다. 준비가 되지 않은 상태였던 솔루션 업체들은 허겁지겁 SASE 기능을 꿰어 맞추기 시작했다.

고객 쪽의 상황을 보면, 최근 가트너가 CISO를 대상으로 실시한 설문에서 보안 및 네트워크팀이 단일 업체의 SASE를 채택하기보다는 개별적으로 구매 의사 결정을 내리는 등 “대다수 구매자가 SASE에 있어 2벤더 전략을 계획”하고 있는 것으로 나타났다.

이런 현실에 따라 가트너는 SASE에서 네트워크 액세스 부분인 SD-WAN을 뺀 ‘보안 서비스 엣지(Secure Service Edge, SSE)’라는 새로운 용어를 들고나왔다. 가트너가 규정하는 SSE에는 최소한 SWG(Secure Web Gateway), CASB(Cloud Access Security Broker), ZTNA(Zero Trust Network Access)가 포함된다. 여기에 FWaaS(Firewall as a Service), 브라우저 격리, 샌드박싱, DLP(Data Leak Prevention), WAF(Web Application Firewall) 등 계속해서 늘어나는 수많은 추가 기능도 포함할 수 있다.

IDC는 SWG, CASB, ZTNA를 전제 조건으로 포함하는 통합 접근 방법을 가리키는 ‘서비스형 네트워크 엣지 보안(Network Edge Security-as-a-Service, NESaaS)’이라는 용어를 사용하면서, SD-WAN 또는 DEM(Digital Experience Monitoring)과 같은 네트워킹 기능은 “선택적 통합 지점”으로 본다.

용어 경쟁은 뒤로하고, IDC와 가트너 모두 이와 같은 서비스를 제공하는 광범위한 업체 목록을 추려 기업의 IT 리더에게 많은 선택권을 제공하고 있다.

SSE 솔루션 업체 현황

대부분 기업은 새로운 제품과 서비스 후보 목록에 늘 포함되는 유력 업체와 오랜 관계를 유지하고 있다. 그러나 SSE는 다르다. 주요 SSE 업체 중에서는 IT 리더에게 생소한 업체도 있다. 그만큼 업체를 평가할 때 적절한 질문을 던지는 것이 중요하다. 

예를 들어, SSE 부문 최신 가트너 매직 쿼드런트는 지스케일러(Zscaler), 팔로 알토 네트웍스(Palo Alto Networks)와 함께 넷스코프(Netskope)를 리더십 지위로 평가했다. 비전 기업 범주에는 스카이하이 시큐리티(Skyhigh Security), 포스포인트(Forcepoint), 룩아웃(Lookout)이 이름을 올렸다.

누구나 잠재적 후보군에 넣을 만한 시스코는 많은 SSE 구성요소가 통합되지 않았고 완전한 제로 트러스트 솔루션을 제공하지 않는다는 이유로 가트너 기준에서는 도전자 등급으로 분류됐다. 

IDC의 기준은 조금 다르지만(SSE가 아닌 NESaaS), 평가는 비슷하다. IDC의 마켓스케이프는 넷스코프, 지스케일러, 팔로 알토 네트웍스를 빅3로 분류했고, 클라우드플레어와 아카마이를 리더십 범주에 추가했다. IDC는 스카이하이, 포티넷, 시스코, 체크포인트, 포스포인트, 룩아웃, 브로드컴을 주요 업체로 분류한 반면 가트너는 클라우드플레어, 브로드컴, 아이보스(iBoss)를 틈새 범주로 분류했다.

시스코의 경우 IDC도 가트너와 같은 의견으로, “현재 전통적인 ZTNA 제품이 없고, 방대한 포트폴리오를 하나의 융합 제품으로 통합하기 위해 아직 해야 할 일이 많다”라고 지적했다.

SSE 분야의 주요 업체 현황은 다음과 같다.
 

• 넷스코프 : IDC는 “넷스코프는 CASB와 인라인 프록시 제어에 대한 전문성 및 강점을 기반으로 데이터 보호와 클라우드 기능에 우선순위를 두는 기업에 적합하다. 디지털 트랜스포메이션을 모색하는 기업에는 넷스코프 뉴엣지(NewEdge) 프라이빗 클라우드 네트워크의 성능과 안정성이 매력적”이라고 말했다. 반면 가트너 고객들은 넷스코프를 “가격 경쟁이 치열한 상황에서 가장 값비싼 옵션에 속한다”라고 평가한다.
•  
• 팔로 알토 네트웍스 : 자사 온프레미스 보안 툴을 사용하는 방대한 고객 기반을 확보하고 있다. 팔로 알토 네트웍스는 고객이 단일 콘솔에서 두 환경을 모두 관리할 수 있게 해주는 매력적인 SSE/NESaaS 제품을 보유했다. 강력한 ZTNA 기능을 갖고 있으며, 단일 업체의 SASE를 구축하고자 하는 기업에는 SD-WAN도 제공할 수 있다.
•  
• 지스케일러 : 방대한 글로벌 클라우드 네트워크를 보유한 지스케일러의 강점은 온갖 보안 프로세스를 적용할 수 있는 자체 플랫폼을 통해 모든 트래픽을 전달할 수 있다는 점이다. 지스케일러는 ZTAN, CASB, SWG, FWaaS, DLP를 핵심 제품으로 제공하고 샌드박싱 분석, 원격 브라우저 격리, WAF, 디셉션 및 사용자 경험 모니터링도 제공한다.
•  
• 아카마이 : SSE를 위해 필요한 글로벌 클라우드 플랫폼을 보유했으며, 지금까지 거둔 실적도 탄탄하다. SWG, CASB, ZTNA를 제공하지만 애드온 범위가 아주 넓다고는 할 수 없고, 경우에 따라 완전한 단일 업체 통합 접근 방식이 아닌 서드파티와의 통합이 필요할 수도 있다. 성능과 ZTNA가 강점이다.
•  
• 클라우드플레어 : SMB 시장 이상으로 확장하기 위해 노력하는 중이며 ZTNA, CASB, SWG, DLP, FWaaS, 브라우저 격리, WAF, DDoS 완화, 봇 관리를 포함한 제품으로 엔터프라이즈를 공략하고 있다. 가트너는 클라우드플레어의 장점으로 “가장 많은 PoP(Point of Presence), 100% 업타임 SLA, 클라우드플레어 PoP에 도달하기까지 지연이 일어나는 경우가 거의 없을 정도의 지리적 커버리지”를 꼽았다. 다만 가트너는 파일 맬웨어 샌드박싱, DEM, 완전한 내장형 보고 및 분석 기능과 같이 빠진 부분도 있다고 지적했다.

올바른 SSE 솔루션을 선택하는 방법

기업은 SSE 업체 후보와 접촉하기 전에 통일된 방향부터 잡아야 한다. 가트너 애널리스트 찰리 윙클리스는 “합리적인 기간 내에 실행하고 추진할 수 있는 결과에 집중하는 것이 중요하다. 무엇을 결과로 제공해야 하는지, 우선순위는 무엇인지를 생각해야 한다”라고 말했다.

모든 업체에는 강점과 약점이 있다. 여러 기술의 복합체인 SSE는 특히 그렇다. 윙클리스는 단순히 가장 많은 기능을 제공하는 업체를 선택했다가 비용이 너무 커지고 시급한 요구사항을 해결하지 못하는 상황에 처할 수 있다고 경고했다. 핵심은 가장 중요한 기능을 최선으로 이행할 수 있는 곳을 찾는 것이다. 그 외에 SSE 서비스가 기존 갱신 주기와 얼마나 잘 부합하고 기업의 IT 스택과 얼마나 잘 통합되는지도 고려해야 한다. 윙클리스는 업체의 재무적 안정성과 혁신 실적도 살펴봐야 한다고 말했다.

기업용 소프트웨어 개발 서비스 제공업체인 베이어스데브(BairesDev)의 CISO 파블로 리볼디는 지스케일러의 SSE를 선택한 주된 이유로 ZTNA를 꼽았다. 베이어스데브는 원격 액세스를 위해 원래 AWS VPN과 오픈 VPN을 사용했지만, 리볼디는 VPN을 고급 보안 기능과 통합하고 사용자의 구글 워크스페이스 계정과 연결된 VPN에 이중 요소 인증을 구현하고자 했다.

리볼디는 보안팀이 여러 솔루션을 시험한 후 지스케일러를 추천했다고 말했다. 보안팀의 마음에 든 부분은 사용자가 어디에서나 “뛰어난 속도”로 연결할 수 있도록 해주는 지스케일러 클라우드의 성능, 지스케일러 에이전트의 대역폭 모니터링 기능, 디바이스 보안 태세를 강화하는 기능이다.

리볼디는 “베이어스데브의 로드맵에 많은 이니셔티브가 있다. 위협이 증가하는 상황에서 회사를 안전한 환경으로 유지하기 위해 투자 대비 더 큰 비즈니스 가치를 제공하는 솔루션에 집중해야 한다. 클라이언트 IP 보호는 중대한 관심사다. DLP와 CASB 덕분에 그 목표를 달성할 수 있다”라고 덧붙였다.

SSE 솔루션 업체에 물어야 할 10가지 질문

1. SASE 전략은 무엇인가?

델오로 그룹(Dell’Oro Group)의 네트워크, 보안 및 SASE/SD-WAN 부문 연구 책임자인 모리시오 산체스는 “SSE는 동전의 한 면”이라며 “다른 면은 네트워크다. 안타깝게도 네트워크는 여전히 간과되는 경우가 많다. SSE 업체는 고객을 완전한 SASE 여정으로 이끌 전략을 갖추고 있어야 한다”라고 말했다.

2. 더 큰 서드파티 기술 생태계와의 통합을 어떻게 지원하는가?

산체스에 따르면, SSE는 더 큰 기술 환경의 작은 일부이므로 SSE 업체는 클라이언트 보안(EPP/EDR), IAM(Identity and Access Management), 보안 관리(SIEM/SOAR/XDR), 그리고 하이퍼스케일러와의 통합 능력을 입증할 수 있어야 한다.

3. 확장성·안정성·성능 측면에서 그동안 어떤 성과를 거두었는가?

산체스는 SSE 업체가 네트워크의 원활한 실행을 유지하는 동시에 위협 탐지 목적으로 암호화된 트래픽을 대규모로 처리해야 할 책임이 있는데, 이는 “컴퓨팅 집약적인 프로세스”라고 말했다. 이어 “제대로 기능하지 못하면서 해결하는 것보다 더 많은 문제를 양산하는 SSE 클라우드로 인해 골치를 앓고 있는 기업도 있다”라고 덧붙였다.

4. 업체의 글로벌 전송 네트워크가 비즈니스 요구와 부합하는가?

다국적 기업은 SSE 업체가 회사의 활동 거점에 대응하는 접점을 갖추고 있는지 확인해야 한다. 포레스터의 선임 애널리스트 데이비드 홈즈는 현재 PoP 위치, PoP 추가 로드맵, 간극을 채우기 위한 계획, 가동 중단을 극복하기 위한 계획을 물어야 한다고 말했다.

5. 최종 사용자 기기에 몇 개의 에이전트를 설치해야 하며, 기기당 비용은 얼마인가?

홈즈는 하나의 에이전트로 VPN, ZTNA, SWG 등을 처리할 수 있는지, 아니면 2개 이상의 에이전트가 필요한지 확인할 것을 권한다. 또한 최종 사용자가 여러 기기에서 네트워크에 연결하는 BYOD 환경에서 어느 운영체제 및 모바일 기기를 지원하는지 확인하고, 기기당 추가 비용이 있는지, 또는 사용자 단위의 서비스인지도 물어야 한다.

6. 강점과 약점은 무엇인가?

SSE에 포함된 다양한 기술 중에서 해당 업체에 가장 강점이 있는 부분이 무엇인지 솔직한 평가를 요구하고, 그 강점이 요구사항에 부합하는지 확인해야 한다. 홈즈는 업체의 강점이 SWB에 있는데 기업이 중점적으로 추진하는 것이 CASB라면 “다른 업체를 알아보는 편이 나을 수 있다”라고 조언했다.

7. ZTNA 심화 질문 : 무엇을 할 수 있는가?

홈즈는 업체에 지원하는 포트와 프로토콜, VoIP/SIP 및 UDP 프로토콜을 처리하는 방법을 물을 것을 추천한다. 여러 ID 제공업체와 동시에 통합할 수 있는가? 홈즈는 “그렇게 못하는 업체도 있다. 파트너에게 애플리케이션에 대한 제로 트러스트 액세스 권한을 제공하고자 하는 대규모 기업에서는 이것이 중요한 관리 기능”이라고 말했다.

8. 관리 설정은 어떠한가?

윙클리스는 관리자가 매끄럽게 구성하고 모니터링할 수 있는 방식으로 SSE를 구현해야 한다고 말했다. 콘솔의 수가 줄어드는지, 늘어나는지도 고려해야 할 요소다. 

9. 보안 정책을 얼마나 쉽게 적용할 수 있는가?

윙클리스는 기업이 여러 채널에 걸쳐 동일한 규칙을 적용할 수 있는 역량을 유지해야 한다고 강조했다.

10. 고객 경험은 어떤가?

모든 백엔드 기술도 좋지만, 기업은 SSE가 매끄럽고 단절 없는 사용자 경험을 제공하는지도 확인해야 한다. 윙클리스는 회사의 비즈니스 수행 방식에 방해가 되는 것은 가급적 피해야 한다고 언급했다.
editor@itworld.co.kr