상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2024가 3월 12일 1,400여 명의 공공, 금융, 기업 정보보호 책임자 및 실무자가 참석한 가운데 더케이호텔서울 가야금홀에서 성황리 개최됐다.
이날 조상원 아카마이코리아 상무는 ‘제로트러스트 아키텍처 구축방안 (마이크로세그멘테이션을 활용한 접근방법)’을 주제로 강연을 진행했다.
그는 완전한 제로트러스트 보안 체계를 당장 달성할 수는 없지만, 구체적인 제로트러스트 계획부터 시작할 것을 제안했다.
과기정통부, 제로트러스트 가이드라인 1.0에서 제로트러스트 핵심 원칙은 다음과 같다.
△인증 체계 강화: 모든 리소스 접근 주체에 대한 신뢰도를 핵심요소로 설정하여 인증 정책 수립
△마이크로 세그멘테이션: 보안 게이트웨이를 통해 보호되는 단독 네트워크 구역에 개별 자원을 배치하고, 각종 접근 요청에 대한 지속적인 신뢰 검증 수행
△소프트웨어 정의 경계: 소프트웨어 정의 경계 기법을 활용하해 정책 엔진 결정에 따르는 네트워크 동적 구성, 사용자 단말 신뢰 확보 후 자원 접근을 위한 데이터 채널 형성
세그멘테이션은 성능과 보안을 강화하기 위해 네트워크를 더 작은 세그먼트로 나누는 아키텍처 접근 방식이다.
특히 마이크로세그멘테이션은 네트워크를 개별 워크로드 수준에서 세그먼트로 분할하기 때문에 각각의 세그먼트에 따라 보안 제어와 서비스 전송을 정의할 수 있다.
그래서 전 세계적으로 대다수 IT 관리자는 애플리케이션 워크로드를 세밀한 수준에서 보호하는 마이크로세그멘테이션을 구축하고자 한다.
마이크로세그멘테이션은 보다 진보된 정밀한 종류의 세그멘테이션을 가능하게 할 뿐만 아니라 구축도 더 간편하게 만들어준다.
◆업계 최고의 마이크로세그멘테이션으로 네트워크 리스크 제거
이에 조상원 상무는 Akamai Guardicore Segmentation으로 기업의 중요 자산을 보호할 것을 제안한다. 주요 특징은 다음과 같다.
속도가 느린 인프라 세그멘테이션 접근 방식이 아닌, 소프트웨어 기반 세그멘테이션을 통해 공격자가 가장 민감한 정보에 도달하지 못하도록 한다. 그리고 간편한 배포 및 관리 방식으로 IT 팀이 데이터 센터, 멀티클라우드 및 엔드포인트 전반에 제로 트러스트 원칙을 적용하는 데 필요한 가시성과 제어 기능을 확보할 수 있다. 더불어 환경 전체에 대한 시각적 인사이트를 바탕으로 정밀한 세그멘테이션 정책을 적용해 네트워크 내의 악성 측면 이동을 방지한다고 강조했다.
Akamai Guardicore Segmentation과 같은 소프트웨어 기반 솔루션은 네트워크를 물리적으로 변경할 필요 없이 신속하게 배포할 수 있다. 새로운 세그먼트를 재구축하거나 서버와 디바이스의 물리적인 위치를 걱정할 필요가 없다. 따라서 방화벽이나 VLAN과 같은 인프라 기반 접근 방식보다 훨씬 빠르고 쉽게 솔루션을 배포할 수 있다.
또한 이 솔루션은 정책 적용을 위해 자체 드라이버를 사용하기 때문에, 베어메탈 서버부터 멀티클라우드 배포, 윈도우 서버 2003과 같은 레거시 기술부터 최신 IoT/OT 디바이스와 컨테이너화된 기술에 이르는 모든 머신과 운영 체제에서 원활하게 작동한다. 즉, 하나의 인터페이스로 하나의 솔루션만 관리하면 물리적 위치에 관계없이 전체 환경에서 다양한 운영 체제 및 디바이스의 연결을 시각화하고 제어할 수 있다.
또한 아카마이는 성능 병목과 컴플라이언스 요구사항을 해결할 수 있는 적극적인 방법을 솔루션에 내장했다. 성능 병목 현상은 세그멘테이션 솔루션으로 인한 시스템의 기술적 부담으로 인해 발생하는 것이 아니라, 비즈니스 영역을 수동으로 세그멘테이션한 후 문제가 발생하면 해당 영역을 수동으로 해결해야 하는 인력 병목으로 인해 발생한다. 아카마이는 수동 세그멘테이션의 필요성을 줄이고 최고 수준의 기술 지원과 전문 서비스를 제공함으로써 이러한 문제와 배포의 가장 큰 장애물인 전문 지식의 부족 문제를 해결하기 위해 노력한다.
아카마이 세그멘테이션 전문가는 배포 프로세스 전반에서 고객과 협력해 고객의 고유한 IT 환경에서 세그멘테이션 목표를 달성할 수 있도록 지원한다고 전했다.
솔루션을 통해 배포에 대한 지원도 제공한다. 일반적인 사용 사례에 대한 AI 기반의 정책 권장 사항과 즉시 사용 가능한 정책 템플릿을 통해 시간과 클릭 수를 절약하고, 워크플로우를 간소화하고, 전체 정책 수립 시간을 단축하고, 인적 오류로 인한 잘못된 설정을 방지할 수 있다.
한 고객의 경우, 2년이 걸리고 총 비용이 100만 달러 이상 소요될 것으로 예상되는 정밀 세그멘테이션 프로젝트를 엔지니어 한 명이 단 6주만에 완료해 전체 프로젝트 비용을 85% 절감함으로써 정교한 세그멘테이션이 병목 현상 없이 빠르고 쉽게 배포될 수 있음을 입증했다.
또 컴플라이언스가 간편해지는 이유에 대해, 많은 고객이 PCI-DSS, SWIFT, Sarbanes-Oxley, HIPAA, GDPR 등 다양한 국내 및 국제 컴플라이언스 의무를 준수하고 이를 입증하기 위해 솔루션을 배포한다. 이러한 컴플라이언스 의무에 따라 일반적으로 범위 내 데이터를 사용자 환경의 다른 시스템과 분리해야 한다. 방화벽과 VLAN을 사용하면 이 작업이 불가능할 수 있지만, 소프트웨어 기반 솔루션을 사용하면 범위 내 데이터 전용 세그먼트를 생성하고 해당 데이터에 접속할 수 있는 항목과 접속할 수 없는 항목에 대한 통신룰을 적용할 수 있다.
조상원 상무는 “Akamai Guardicore Segmentation은 제로 트러스트 및 클라우드 보안에서 필수 요건인 마이크로 세그멘테이션 솔루션이다. 복잡한 하이브리드 환경의 워크로드를 단일 콘솔을 통해 모니터링 및 제어를 할 수 있다. 마이크로 세그멘테이션 분야에서 리더로 선정된 소프트웨어 기반 솔루션으로 온프레미스부터 클라우드 환경까지 데이터 흐름의 가시성을 L7레이어에서 제공하며, 이를 활용하여 접근 통제, 보안 정책 통합 관리를 제공하는 서비스다”라고 소개했다.
보다 상세한 내용은 아래 강연 영상을 참고하면 되고 강연 자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
