중소기업들은 자신들의 생각과 달리 가상 네트워크 보안이 물리적 네트워크 보안과 크게 다르지 않음을 인식하기 시작했다. 이는 클라우드 채택을 좀더 용이하게 해 줄 것이다. 그러나, 여기에도 그들만의 과제는 존재한다.
가상 네트워크 자원을 보호하는 일은 겉으로는 일면 낯선 인상을 주는 것이 사실이다. 하지만 사실 이는 그렇게 복잡한 작업은 아니다. 그 세부적인 내용들을 살펴본다면 당신도 그곳에서 친숙한 모습들을 확인할 수 있을 것이다.
호스트형 가상 데스크톱 및 서버, 클라우드 스토리지를 제공하는 로스엔젤레스 기반의 클라우드 서비스 공급자 딘클라우드(dinCloud)는 중소기업들에게 직관적인 보안 기능들을 제공하는 것으로 시장에서 인정 받고 있다.
기업의 CTO 베리 웨버(Barry Weber)는 가상화 보안에 관해 “나는 이를 단지 진입 장벽과 걸림돌의 문제라 생각한다. 가상화는 그 자체적으로 심각한 보안 이슈를 만들어내는 테크놀로지가 아니다. 다만 이는 복잡성의 층을 더해주고, 그로 인해 잠재적 취약성을 가져오는 것뿐이다. 하지만 그 이면에는 여전히 무수한 물리적 장비들이 존재한다. 이 물리적 장비들과 가상 장비들은 이미 검증된 표준적 방식으로 보호될 수 있다”라고 설명했다.
이러한 생각에 기초해 딘클라우드는 비야타(Vyatta, 현재는 브로케이드 커뮤니케이션즈 시스템즈(Broacde Communications Systems)에 인수되었다)의 가상 방화벽을 배치했다. 고객이 그들의 퍼스트 서버(first server)를 요청하면 딘클라우드는 프라이빗 클라우드 생성의 첫 단계에서 가상 방화벽을 구동한다. 이후 고객들은 그들의 사설 IP 주소 공간을 원하는 데로 분할할 수 있게 된다.
가상 방화벽은 가상 자원과 물리적 자원의 연결에도 도움을 준다. 웨버는 “우리의 고객 대부분은 하이브리드 고객(hybrid customer)이다. 그들은 클라우드 환경뿐 아니라 한 곳 이상의 구축형 지점과의 연결 역시 필요로 한다”라고 설명했다.
웨버는 비야타의 도움을 통해 딘클라우드가 고객들의 방화벽 매개변수 및 보안 요구 수준에 기반한 개별적 IPsec 터널링(IPsec tunneling) 옵션을 지원할 수 있었다고 말했다. 이를 통해 고객들은 그들이 구축형 방화벽에 적용하는 것과 같은 매개변수를 가상 환경에도 적용할 수 있게 되었다. 가상 방화벽은 또한 프라이빗 클라우드 내 복수의 LAN 들을 분할하는 것도 가능케 한다.
웨버는 전송되는 데이터의 보호는 터널링이 담당하지만 물리적 볼륨 레이어(volume layer)에 남아있는 데이터의 경우에는 딘클라우드가 암호화를 적용해 보호하고 있다고 설명했다. 최종 사용자 인증 역시 또 다른 보호 층을 제공한다.
클라우드 컨설팅 조직을 운영했던 웨버는 올 1월 딘클라우드에 합류했다. 그는 가상 클라우드 내의 보안이 구축형 환경의 보안과 비교할만하고 말했다. 그는 “보안 문제로 고민하는 많은 기업들과 함께해왔다. 그리고 결론적으로, 그들은 클라우드 보안을 적용함으로써 그들이 자체적으로 시행해오던 것보다 뛰어난 보안 성능을 경험할 수 있을 것이다”라고 강조했다.
물리적 기술을 위한 ‘즉각적인 대체로서의 가상 보안’
보안 컨설턴트들은 딘 클라우드가 다루는 가상 네크워크 보안의 상대적 용이함이 예외의 경우보다는 규칙이 적용되는 사례를 더 많이 보여준다고 설명한다.
매사추세츠 주 서드베리에 위치한 시스템엑스퍼츠(SystemExperts)의 선임 컨설턴트 폴 힐은 물리적 환경과 가상 환경에서 기업들이 마주하는 이슈는 별반 차이가 없다고 설명했다. 그는 물리적 환경에서 사용하는 보안 제어를 약간의 조정만으로 가상 환경에도 적용할 수 있다고 설명하며 “이는 직접적 전환이라 설명할 수 있는 수준이다”라고 말했다.
그 결과 비야타와 같은 가상 네트워크 보안 업체들은 기존 시스템에 가해지는 혼란을 최소화하며 테크놀로지를 공급할 수 있게 되었다. 이에 관해 힐은 “그들의 목표는 물리적 보안을 즉각적으로 대체하는 것이다”라고 강조했다.
이제는 비야트 뿐 아니라 다른 여러 벤더들도 가상 네트워크 보안 상품 시장에 뛰어들고 있다. 일례로 캣버드 네트웍스(Catbird Networks)는 가상, 프라이빗 클라우드 데이터센터 보안 상품인 v시큐리티(vSecurity)를 제공하고 있다. 이들 기업은 지난 해 말 메디나 캐피탈(Medina Capital)의 투자를 받기도 했다. 당시 투자 발표 성명에서 메디나 측은 “향후 5년 내 데이터센터 보안 시장에서 소프트웨어 정의 보안(software-defined security)의 점유율은 물리적 어플라이언스(physical appliance)를 크게 앞지를 것”이라고 전망한 바 있다.
또다른 보안 업체로는 시스코 시스템즈, HP, 하이트러스트(HyTrust), 주니퍼 네트웍스, VM웨어 등이 있다. 이 가운데 시스코는 올 2월 넥서스 1000V 인터클라우드(Nexus 1000V InterCloud) 상품을 출시하며 이것이 기업 데이터센터에서 클라우드 서비스 공급자로 이어지는 네트워크의 보안 수준을 향상 시키는데 도움을 줄 것이라 설명했다.
IT업체들은 가상 방화벽과 같은 포인트 솔루션(point solution)을 제공하는 동시에 소프트웨어 정의 보안, 혹은 보다 광범위하게는 소프트웨어 정의 네트워킹(SDN, Software-Defined Networking) 산하의 통합적 오퍼링을 공급하고 있기도 하다. 하지만 이러한 신생 SDN 테크놀로지들에 대한 시장의 반응은 아직 그리 뜨겁지 않은 것이 사실이다.
웨버 역시 SDN을 ‘정말 좋은 아이디어'라 칭하면서도 아직 상업적 클라우드 환경에 진입하기에는 부족한 측면이 많다는 입장이다. 그는 SDN이 얼리 어답터들을 넘어서 시장의 일반적 구매 계층을 끌어들일 만큼 정교한 모습을 갖추려면 최소 5년 이상은 소요될 것이라 전망했다.
힐은 시스코의 인프라에 많은 투자를 한 기관들도 방화벽과 네크워트 보안을 가상화하는 데에는 민첩한 모습을 보여주지 않고 있다는 것을 언급하며 “우리의 고객들은 분명 그들의 테크놀로지에 관심을 가지고 있다. 하지만 그 방향으로의 이전을 시작한 고객은 소수에 불과하다”라고 설명했다.
가상 보안의 비즈니스적 영향: 좀더 간소한 클라우드 채택
우리는 이와 같은 전문가들의 설명을, 가상 네트워크 보안을 받아들이는 것이 기업의 비즈니스 모델을 보강하는 역할을 수행할 수 있다는 의미로 이해할 수 있을 것이다.
그 구체적인 사례로는 중소기업들을 타깃으로 (보안을 포함한) 클라우드 채택 과정을 용이하게 하는 상품들을 제공하는 딘클라우드를 생각해볼 수 있을 것이다. 딘클라우드의 웨버는 몸집 줄이기를 하고 있는 오늘날의 기업들에선 보안 전문 인력이 부재하는 경우가 많고, 따라서 네트워크 보안을 핵심 비즈니스 활동으로 여기지 않는 경향이 많아지고 있다고 설명했다.
하지만 이들의 비즈니스에 보안이 중요한 역할을 하지 않는 것은 절대 아니다. 웨버는 방화벽 전반에 500개의 점대점 터널을 필요로 했던 자신들의 한 고객을 언급하며 “우리는 그들이 원하는 바를 실현해줬다. 우리의 목표는 이를 최대한 쉽게 진행하는 것이었다”라고 말했다.
비야타의 상품 관리 및 마케팅 사업부 선임 이사 댄 튀슐러는 가상 네트워크 보안이 사용자들의 보다 정교한 클라우드 옵션 적용에도 도움을 줄 것이라 이야기한다. 클라우드 내에 가상 기기를 갖춘 기업들은 종종 단일 대형 서브넷(subnet)에 자리 잡곤 한다. 튀슐러는 이러한 상황이 고객들이 과거와 같은 방식으로 애플리케이션을 구축하는데 어려움을 준다고 지적했다.
일례로 어떤 기업이 웹 서버와 비즈니스 로직(business logic), 그리고 데이터베이스 티어(database tier, 각 티어들은 자체적 서브넷으로 분할되어 있다)로 구성된 웹 페이싱(Web-facing) 애플리케이션을 개발한다 가정해보자. 이들 기업은 이 과정에 이미 익숙해져 있다. 그러나 라우터가 서브넷들을 연결하고 방화벽이 티어들을 보호하는 기존의 방식을 가상 환경으로 옮겨오는 것은 고객에게 클라우드 내부에 독립적인 서브넷들을 구축할 것을 요구한다. 그리고 트래픽은 한 클라우드 서브넷에서 라우터를 통해 데이터센터로 전달된 뒤 다시 다른 클라우드 서브넷으로 흘러갈 것이다.
그러나, 다른 관점에서 보면 기업들은 클라우드 안에 가상 라우터와 방화벽을 배치해 데이터센터를 통과하는 라우팅 트래픽의 비효율을 제거할 수도 있을 것이다. 튀슐러는 “이것이 우리가 많은 관심을 가지고 연구하는 영역이다”라고 말했다.
가상 보안의 과제: VM 관리, 리소스 제약 회피
가상 보안이 매 순간 귀찮은 짐으로 다가오는 것은 아니지만, 여기에는 여러 복잡한 측면이 존재하는 것 역시 사실이다. 버지니아 주 레스톤에 기반을 둔 정보 보증 및 사이버보안 업체 EmeSec의 CEO 마리아 호튼은 “이는 각자의 시나리오에 달린 문제다”라고 말했다.
호튼은 가상 보안의 과제 중 한 가지 예로 서버 혹은 데이터센터의 가상 기기와 가상 앱들의 이전을 산정하는 것을 언급했다. 그녀는 앱 설치와 설치 과정의 변화를 모니터링 하고자 하는 기업들은 그들의 애플리케이션과 데이터가 어디에 머무르는지를 정확히 이해하지 않고는 그 과정에서 어려움에 부딪히게 될 것이라 설명했다.
호튼은 “배치 관리는 중요한 과정이다. 우리가 어디에 있는지를 보여주기 때문이다. 데이터가 어디에 있는지도 모르면서, 이것이 제 역할을 하는지를 어떻게 알 수 있단 말인가?”라고 반문했다.
힐은 이와는 다른 고민으로 소프트웨어 패치의 문제가 가상 환경에서 다소 증가하는 모습을 보여준다 설명했다. 그는 “단일 가상 머신의 단일 가상 호스트는 패칭과 업데이팅이 필요한 두 운영 체제를 낳는다”라고 말했다.
그는 “이는 복잡성을 약간 증대 시키는 요인이다. 하지만 일부 기관들은 그들의 모든 물리적 보안 적용에 적절히 패치를 적용하지 않고 있다는 것은 이미 알려진 사실이다. 이로 인한 문제는 단일 물리적 기기에서 다수의 가상 기기들이 호스팅될 때 더욱 악화될 수 있다”라고 덧붙였다.
힐의 조언은 기업들이 가상 네트워크의 보안을 먼저 확실히 한 뒤, 기존의 요소와 새로운 것의 조화를 이뤄내라는 의미로 이해할 수 있을 것이다. 그는 “예전부터 ‘간소한 구조는 관리의 용이성을 담보한다’는 원칙을 강조해왔다. 이 원칙만 잘 지킨다면, 나머지 과제는 가상 환경의 몇 가지 특수성에만 주의를 기울이면 해결될 것이다”라고 주장했다.