벤더 기고 | 인라인 보안 툴 설치를 최적화하는 방법

* 키사이트 익시아가 작성한 본 기고문은 벤더의 시각과 주장, 솔루션에 대한 직접적인 내용을 담고 있다.

많은 기업들이 네트워크 공격을 받고 정보를 해킹 당하고 있다. 최신 뉴스 헤드라인에서 자주 확인할 수 있는 현상이다. 이제는 '네트워크 공격을 받게 될 것인가'의 문제가 아니라, '언제 네트워크 공격을 받게 될 것인가' 라는 타이밍의 문제다. 스스로를 보호하기 위해서는 인라인 보안 모니터링 기술을 반드시 고려해야 하며, 여기에는 바이패스 스위치와 네트워크 패킷 브로커(NPB)가 포함된다.

그렇다면 인라인 보안이란 무엇일까? 이름에서 알 수 있듯이, 인라인 보안 기능은 보안 툴을 네트워크 전반의 코어 데이터 흐름에 실제로 삽입하는 방식으로 만들어진다. 이때 데이터는 다운스트림을 계속하기 전에 반드시 툴을 통과해야 한다. 

이 기술의 한 예로, 방화벽이 있다. 방화벽은 액세스 목록에 지정된 트래픽(예: 알려진 불량 IP 주소, 회사가 지정한 불량 IP 주소 등)을 승인 또는 거절할 수 있도록 항상 네트워크 진입로에 배치된다. 침입 방지 시스템(IPS), 웹 어플리케이션 방화벽(WAF), 차세대 방화벽(NGFW), SSL/TLS 암호 해독, 포렌식 툴 등의 보안 툴 또한 인라인으로 삽입할 수 있다.

대부분의 IT 담당자는 인라인 툴, 그중에서도 앞서 말한 방화벽과 IPS에 친숙하다. 하지만 외부 바이패스 스위치나 인라인 네트워크 패킷 브로커에 대해 들어본 적이 있는가? 네트워크 가시성 인프라에 해당하는 이들은 본질적으로 보안 툴 이네이블러다. 네트워크 가시성 솔루션은 툴 커넥티비티 개선과 툴 효율성 극대화, 네트워크 가용성 및 가동 시간 개선을 도와주는 일련의 네트워크 모니터링 기술이다. 

바이패스 스위치는 링크의 모든 트래픽을 리디렉션하여 모니터링 포트 밖으로 전달한다. 이러한 스위치는 데이터 내용을 변경하지 않으며, 장애 시 열림/닫힘으로 설정할 수 있다. 장애 시 열림은 모니터링 디바이스가 제거되었거나 전원이 바이패스 스위치로 옮겨진 경우에 네트워크 디바이스들 간에 트래픽 흐름이 지속되는 것을 의미한다. 

일반적으로 바이패스 스위치는 부착된 모니터링 디바이스에서 애플리케이션, 링크 또는 전력 장애 시 네트워크 링크를 보호하기 위해 하트비트 패킷을 사용한다. 하트비트 패킷이 중단될 경우, 보안 툴이 트래픽을 통과시키지 못할 때마다 바이패스 스위치가 자동으로 보안 툴 주변의 트래픽을 션트하여 이 장애 지점을 제거한다.

외부 바이패스 스위치의 또 다른 이점은 업그레이드 도중의 페일오버 기능이다. 특정 인라인 보안 툴에는 내부 바이패스 스위치가 포함되어 있다. 이는 보안 툴을 교체하려 할 때 문제가 된다. 심지어 일부 소프트웨어 업그레이드가 리셋을 요청할 경우 내부 바이패스에 문제가 야기될 수 있다. 간단한 해결법으로는 외부 바이패스를 사용하는 방법이 있는데, 외부 바이패스를 사용하면 추후 업그레이드를 걱정하지 않아도 된다.

패킷 브로커는 집계, 필터링, 중복 제거, 로드 밸런싱, SSL/TLS 트래픽 복호화 역량과 보안 툴의 직렬화를 제공한다. 또한 NPB의 인라인 버전은 데이터 지속성과 가용성이 높은 상황을 적절히 처리할 수 있도록 하트비트 및 페일오버 기능도 포함하고 있다. 여기서 주된 목표는 보안 툴로 들어가는 데이터의 흐름을 최적화하는 것이다.

네트워크 가시성 솔루션의 두 가지 주요 이점은 다음과 같다.

a) 더 우수한 인라인 보안 솔루션 설치 
b) 설치 비용 감소(구성에 따라 다름) 

그렇다면 이러한 이점을 달성하는 방법은 무엇일까? 인라인 보안 모니터링 사용 사례는 여러 가지가 있다. 첫 번째는 당연히 인라인으로 삽입하는 것이다. 이 방식은 위협을 포착하여 이러한 위협이 코어 스위치에 도달하기 전에 패킷을 삭제할 수 있는 또 다른 기회라는 이점을 더해준다. 이러한 상황은 한 개 또는 두 개의 디바이스에 비교적 적합한데, 주요 트래픽 경로에 디바이스를 직렬로 간단히 배치할 수 있기 때문이다. 

이 상황에서 IT 부서가 걱정할 만한 한 가지 문제는 '보안 툴에 장애가 발생할 경우 어떤 일이 벌어지는가?'이다. 어플라이언스가 전력을 잃거나 소프트웨어 장애를 겪거나 유지보수나 업그레이드를 위해 제거될 경우 트래픽 흐름이 더 이상 링크를 통해 이어질 수 없기 때문에 인라인 보안 툴이 네트워크의 단일 장애 지점이 될 수 있다. 보안 툴은 종종 페일오버 메커니즘을 갖는다. 이러한 경우 페일오버의 유형(열림 또는 닫힘)과 페일오버 기능의 속도를 검증하면 된다. 

이것이 바이패스 스위치 사용을 고려해야 하는 두 가지 이유다. 다음 그림에서 볼 수 있듯이, 바이패스 스위치는 실제로 인라인에 삽입되며 보안 툴은 네트워크가 아닌 바이패스 스위치에 연결된다. 300나노초 미만의 페일오버 시간으로 구성 가능한 페일오버 옵션을 제공할 수 있는 바이패스 스위치가 시중에 나와 있다. 

추가로, 바이패스 스위치와 보안 툴 사이에 하트비트 시그널링을 사용함으로써 툴에 문제가 있는지 감지하고 페일오버를 최대한 빨리 네트워크로 복귀시킬 수 있다. 올바르게 구매한 경우 이러한 하트비트는 분해기능이 몇 마이크로초 수준이어야 한다. 



간단히 모니터링 장비를 방정식에 추가함으로써 인라인 보안 솔루션의 복잡성은 줄이고 유연성과 기능성은 높였다. 바이패스 스위치는 유지보수와 테스트 또는 보안 툴의 관점에서 새로운 유연성을 제공한다. 보안 디바이스를 추가, 제거, 업데이트할 때 네트워크 가동 중단이 없다. 사용자의 업무 또한 간단해진다. 

예를 들어 보안 툴의 업그레이드와 같은 유지보수 작업을 수행하려 할 때 더 이상 이사회의 승인이 필요하지 않다. 간단히 바이패스 스위치가 툴 주변의 트래픽을  변경하도록 하고 필요에 따라 툴의 업데이트 또는 업그레이드를 계속할 수 있다. 

좋은 인라인 솔루션은 종종 한 개 이상의 툴을 지원하는 바이패스 스위치를 활용한다. 따라서 규모의 경제 효과를 누릴 수 있어 모든 툴마다 각기 다른 바이패스 스위치를 사용할 필요가 없다.



두 번째 사용 사례는 단순한 인라인 툴 삽입 이상으로 인라인 모니터링 기능을 확장하는 것이다. 사용자는 보다 정교한 방식으로 위협에 대응할 수 있기를 원한다. 의심되는 트래픽을 삭제하는 대신, 결과적으로 양호한 트래픽일 수도 있으니 특정 트래픽을 포렌식 툴로 우회시켜 분석하고자 할 수 있다. 

여기서 인라인 NPB가 뛰어난 기능을 제공할 수 있다. NPB를 통해 특정 트래픽 스트림을 조작(예: 필요한 중복 제거 또는 필터링 수행)한 다음 해당 데이터를 특정 툴로 전송할 수 있다. 



NPB의 입력으로 보안 아키텍처 내에서 다음을 포함한 다수의 새로운 인라인 기능을 활용할 수 있다.

- 개선된 가동 시간
- 실시간 의사결정을 내릴 수 있는 능력
- 대규모의 페일오버 옵션
- 불량 트래픽을 허니팟으로 유도
- 여러 툴 전반의 로드 밸런싱으로 인한 비용 절감
- 내장형 복구 옵션

앞서 언급한 데이터 유도 프로세스는 필요에 따라 반복이 가능하며, 이는 해당 트래픽이 삭제되거나 코어 네트워크로의 통과가 다시 승인되어 지정된 목적지로 배포되기 전에 분석을 위해 일련의 특정 트래픽을 다수의 인라인 툴로 전송할 수 있다는 것을 의미한다. 또한 불량 트래픽을 삭제하는 대신 위협 분석 툴로 전송하여 추가로 조사하거나 허니팟으로 보내 위협이 어디서 왔는지, 해당 공격이 네트워크에 어떤 영향을 미치도록 설계되었는지, 공격자의 목표는 무엇이었는지(고객 데이터, 핵티비즘, 전자 상거래 방해 등) 판별할 수도 있다.



마지막 사용 사례는 아마도 현재 가지고 있는 것보다 더 나은 고가용성 솔루션을 생성할 수 있는 옵션을 제공한다. 예를 들어 몇몇 기업들은 고가용성 솔루션을 위해 최대 8개의 IPS를 배포했다. 4개는 트래픽 부하를 처리하는 데 필요하고 4개는 페일오버의 고가용성 솔루션 생성을 위한 것이다. 지금까지 계속 언급해온 바이패스 스위치 및 NPB와 함께, 이러한 구성 요소들은 디바이스 내에서 기본적으로 하트비트와 페일오버 기능을 지원한다. 

이러한 툴이 보안 솔루션에 삽입되면 더 이상 n+n 솔루션이 필요하지 않으므로 필요한 IPS의 수를 줄일 수 있다. 장비를 n+1 또는 n+2 솔루션(상당히 보수적인 방식을 원하는 경우)으로 줄일 수 있다. NPB는 하트비트 시그널링을 통해 IPS의 결함을 감지하고 트래픽의 경로를 여분의 IPS로 재조정할 수 있다. 추가로 여분의 IPS를 예비품으로 둘 필요가 전혀 없다. 여분의 IPS는 정상 작동 중 다른 IPS와 함께 부하 분할 상황에 사용할 수 있다. 

또한 IPS 검사가 아예 필요하지 않은 데이터를 걸러 낼 때에도 NPB를 사용할 수 있다. 여기에는 주로 비디오와 오디오 트래픽이 포함된다. 그런 다음 이 데이터를 네트워크 스위치에 다시 리디렉션하여 IPS를 우회할 수 있다. 이 작업을 수행하면 IPS의 부하를 25~50% 줄이고 결과적으로 IPS 자본 비용과 분석 시간을 크게 줄일 수 있다.



이 사용 사례의 경제학을 살펴보면, 실제로 비용 절감(예상컨대 최대 50%)이 가능하다는 것을 의미한다. 바이패스 스위치와 NPB의 비용은 일반적으로 하나의 IPS보다 적다. 두 개 또는 세 개의 IPS 비용을 절감할 수 있다면, 그 여유 자금으로 필요한 추가 툴(아마 WAF, 위협 분석 툴 또는 일부 포렌식 툴)을 구매할 수 있다. 동일한  비용투자로 더 많은 장비를 구매할 수 있는 것이다.

* 키스 브롬리는 키사이트테크놀로지스 익시아 솔루션 사업부 솔루션 및 제품 마케팅 수석 매니저다. ciokr@idg.co.kr