Offcanvas

How To / 데이터센터 / 보안 / 통신|네트워크

칼럼 | 보안 시스템이 곧 네트워크 인프라라면?

2022.11.14 John Burke  |  Network World
중소규모 기업은 보안 장비를 네트워크 인프라스트럭처로 활용해 몇몇 분명한 이득을 취할 수 있다. 그러나 대기업에게도 그럴까?
 
Image Credit : Getty Images Bank

최근 작지만 빠르게 성장하고 있는 한 기업과 연구 인터뷰를 진행했다. 해당 기업은 필자가 처음으로 만난 ‘네트워크 벤더가 없는’ 네트워크를 가진 조직이었다. 즉, 스위칭과 라우팅을 위해 시스코(Cisco)나 델(Dell) 또는 화이트박스(white-box) 솔루션을 사용하는 대신, 전체 네트워크에 포티넷(Fortinet) 장비만 배치했다. 모든 네트워크 요소가 보안 인프라의 일부인 셈이다.

이러한 접근법은 보안을 탄탄하게 할 수 있다. 해당 기업은 이러한 방식으로 네트워크를 구축한 이유는 또 있었다. 다음과 같다.

- 관리 용이성 : 하나의 도구로 모든 구성 요소를 관리한다.
- 배치 용이성: 각 어플라이언스의 버전은 2~3개뿐이며 용량 및 포트 수를 제외하고 모두 동일하다.
- 새로운 위치로의 확장 용이성 : 모든 사이트가 다른 사이트와 유사하다.

그들은 소량의 교체용 어플라이언스를 별도로 가지고 있다. 따라서 모든 사이트에 대해 신속한 복구 역량을 갖추고 있었다. 또한 보안 서비스형(as-a-service) 운영 센터를 쉽게 사용할 수 있고 나머지 네트워크 운영 전반에 걸쳐 전문적인 서비스를 사용할 수도 있다. 본질적으로, 그들의 보안 솔루션은 완전한 네트워크 솔루션이기도 하다.

한편 해딩 기업은 포티넷(Fortinet)을 사용하지만 버사 네트워크(Versa Networks)나 워치가드(Watchguard) 또는 다른 회사의 솔루션을 이용해서도 같은 접근법을 취할 수 있다.

그렇다면 이렇듯 보안 벤더들이 네트워킹 분야로 진출하고 있는 현실 속에서, 기업들은 이를 진지하게 검토할 이유가 있을까?

한마디로 대답하기 어렵다. 

일단 통합 네트워크/보안 스택을 구성하는 단일 공급업체와 최소한의 수의 어플라이언스 유형을 보유함으로써 운영의 단순성과 관리의 용이성에 중점을 둔다는 이점은 분명하다. 더 중요한 것은, 보안을 네트워크의 핵심으로 삼으면 보안 정책과 네트워크 관행 사이에 단절이 생길 가능성을 훨씬 낮출 수 있다는 점이다. 보안이 네트워크가 분리된 환경에서는 단절이 흔하게 발생한다.

하지만 부정적인 측면도 존재한다. 단일성을 극대화하면 선택한 플랫폼의 취약점과 공급업체의 문제에 영향을 받기가 쉬워진다. 핵심 어플라이언스의 운영 체제에 보안 결함이 있는 경우 전체 네트워크와 모든 위치가 동시에 동일한 방식으로 취약해질 수 있는 것이다. 한 번의 공격으로 인해 모든 것이 손상될 수 있다는 의미이기도 하다. 공급업체가 다른 공급업체에 인수되거나 다른 공급업체를 인수할 경우 전환 과정에서 전체 연결 인프라에 대한 지원이 위험에 처하게 된다. 

그리고 단일 공급업체로부터 주어지는 서비스를 이용한다는 것의 이면에는 가격 협상 여지가 더 적고 비용이 더 많이 발생할 가능성이 있다는 점이 존재할 수 있다. 한 공급업체에 더 많은 것을 의존할수록 지분을 늘리고 새 공급업체로 전환하는 것이 어렵다. 

보안 시스템을 전체 네트워크화하는 접근법의 매력과 실질적인 이점은 중소기업에서 특히 명확히 나타난다. 그들은 획일적이고 비교적 단순한 요구 사항을 가지고 있을 가능성이 더 높으며, 또한 더 적은 인력을 보유하고 있다. 

그들은 보안과 네트워킹 모두에서 필요한 인재를 조달하고, 유치하고, 유지하는 데 어려움을 겪을 가능성이 높다. 따라서 전문가가 되는 단 하나의 플랫폼, 즉 새로운 직원을 교육하거나 관리를 아웃소싱 할 수 있는 하나의 플랫폼을 갖추면 현재 보유하고 있는 인력을 최대한 활용할 수 있다. 

반면 대기업의 이익은 명확하지 않다. 이들은 더 복잡한 환경과 요구사항을 갖는 경향이 있으며, 혼합 생태계에 직원을 배치하고 더 잘 관리할 수 있다는 점을 고려할 때 단일 재배의 위험을 감수할 가능성이 낮다. 

그렇다면, 보안 시스템들은 네트워크여야 하는가? 소규모 조직의 경우 실행 가능성이 높아 보인다. 대부분의 대규모 조직의 경우는 지금의 대답은 ‘아니다’라고 생각한다. 대신 그들은 네트워크 시스템을 보안 인프라의 더 큰 부분으로 만드는 데 집중해야 한다.

제로 트러스트 아키텍처(그리고 모두가 그래야 함) 또는 SD-LAN을 구현하거나 소프트웨어 정의 경계(SDP)를 배치함에 있어 네트워크 스위치는 중심적인 역할을 할 수 있으며, 또 그렇게 해야 한다. 스위치는 일종의 보안 정책 엔진에서 정의되고 관리되는 정책을 제정하는 정책 시행 지점이 되어야 한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.