클라우드 컴퓨팅에서 IT자산을 직접 갖지 못한다는 점은 데이터 유출, 해킹 등에 대한 불안감을 가중시킨다. 각 시장조사업체의 보고서에서 기업 IT관리자들이 클라우드에 대한 가장 큰 장애물로 보안을 꼽는 이유다.
또한 클라우드에 대한 불안감은 사용자, 서비스제공자 모두를 엄습한다. 사용자는 안전성을, 서비스제공자는 무거운 책임감을 걱정해야 하기 때문이다.
이같은 상황에서 대다수 보안업체의 클라우드 보안 관련 메시지는 ‘특별할 것 없다’로 요약된다. 기술적인 면에서 완전히 새롭게 개발해야 할 사안은 아니란 것이다. 기술개발보다 클라우드 환경에 맞도록 보안을 구현하는 접근방식의 문제라고 업계는 입을 모은다.
최근 만난 한국주니퍼네트웍스의 김현준 기술영업본부 수석의 시각도 다르지 않았다. 김 수석은 개념과 접근방법을 달리 해야 한다고 강조했다.
“클라우드 보안이 특별한 것은 아닙니다. 단지 클라우드 환경에 맞춘 새로운 개념의 접근이 필요하죠. 확실한 것은 복잡한 가상 네트워크 환경을 아우를 수 있어야 한다는 겁니다. 한 맥락에서 집중화된 보안 포트폴리오가 필요합니다.
■클라우드 보안, 방화벽만 크면 해결된다?
클라우드 컴퓨팅은 물리적으로 떨어진 여러 IT인프라를 가상화시켜 하나의 대규모 자산으로 만드는 아키텍처를 갖게 된다. 문제는 IT자원을 집중시킨다는 데서 생긴다.
기존 방화벽 구조를 막연히 클라우드 컴퓨팅에 적용하려면 시스템을 완전히 분리시키고 문지기만 세우는 형태여야 한다. 막대한 트래픽을 감당하기엔 용량부터 문제를 일으킬 수밖에 없다. 저마다 다른 용도로 생성되는 가상서버(VM)마다 보안정책을 다르게 적용하는 것도 어려워진다.
“이전엔 서버와 클라이언트를 오가는 트래픽이 대부분이었지만, 클라우드는 데이터센터와 데이터센터, 서버와 서버 간 트래픽도 많아집니다. 대형 방화벽으로 해결할 수도 있겠지요. 그러나 VM간 보안성을 별도로 유지해야 한다는 점에서 또 다른 문제를 만들죠. 사용자마다 구분을 해줘야 하는데, 결국 보안담당자의 업무만 늘어나는 꼴이에요.”
주니퍼는 이에 애플리케이션 보안이란 접근법을 택했다. 보안업계에서 조금씩 대두되고 있는 차세대 방화벽과 같은 맥락이다. ‘앱시큐어’라 명명된 이 기능은 애플리케이션별로 보안정책을 부여한다. 차별점을 물었다.
“타사는 ASIC기반의 차세대 방화벽입니다. ASIC은 동적인 정보를 잘 처리하지 못해요. 애플리케이션 차원에서 보안을 지원한다고 해도 확장성이 상대적으로 좋지 않죠. 트래픽이 늘어나서 모듈을 새로 끼운다 해도 정책, 경로를 수동으로 설정해야 합니다. 주니퍼 앱시큐어는 모듈을 새로 끼워도 용량과 성능만 향상됩니다. 확장성과 보안정책을 모두 잡아야 한다는 거죠.
주니퍼 SRX시리즈에 탑재되는 앱시큐어는 앱파이어월, 앱트랙, 침입방지시스템(IPS), 앱DOS , 앱QoS 기능 등 5가지의 애플리케이션 보안기능을 제공한다.
“앱트랙은 어플별, 사용자별 트래픽 사용량을 모니터링하는 기능입니다. 앱파이어월은 어플기반 방화벽이고요. 앱QoS는 애플리케이션 별로 밴드위스를 다르게 설정하는 기능입니다. 앱도스 기능은 애플리케이션 취약점을 이용한 디도스(DDoS) 공격을 막아줍니다.”
다른 기능은 익숙하지만 앱DOS는 생소한 단어다. 더구나 디도스는 트래픽을 늘려 서버를 폭주시키는 공격이기 때문에 L4기반이다.
“OWASP가 매년 발표한 웹관련 보안취약성과 공격방식 자료 가운데 'HTTP Post Slow Attack'이란 게 있습니다. 특정 애플리케이션의 취약점을 이용하는 L7기반 공격이죠. 일반적으로 클라이언트에서 웹서버에 게시물을 올릴 때 콘텐츠 길이를 바이트단위로 지정하게 됩니다. 보통 10만바이트로 설정해 놓습니다. 이 공격방식은 전송하는 콘텐츠를 1바이트씩 조금씩 천천히 보내요. 결국 서버는 10만바이트가 다 도달할 때까지 커넥션을 열어놔야 하죠. 그동안 CPU가 계속 풀로 돌아가게 되고 서버는 결국 다운되고 말죠.”
L7 디도스는 아주 조금씩 진행되기 때문에 기존 방화벽은 공격을 탐지조차 할 수 없다. 김 수석은 10K 커넥션 시 대부분의 웹서버가 문제를 일으켰다고 설명했다.
“방대한 서버가 집중된 클라우드일수록 더욱 위험합니다. 예전에는 각 기업의 자원을 스스로 관리했지만, 클라우드로 가면 플랫폼에서 관리를 하잖아요. 때문에 내 자산을 얼마나 더 안전하게 관리할 수 있느냐가 더욱 중요합니다. 앱DOS란 기능은 그래서 필요합니다.”
■가상머신의 트래픽 제어는 '존'으로
다시 VM문제로 돌아가보면 VM마다 방화벽을 따로 붙여야 할 것인가가 남았다. VM을 새로 만들 때마다 방화벽도 같이 붙여야 한다면 관리복잡성 문제를 발생시키기 때문. 주니퍼는 존 정책을 사용한다.
“존은 유연한 방화벽을 위해 고안됐습니다. VM간 통신을 제어하는 용도죠. 사전에 고객사를 존으로 묶어서 정책을 적용하게 됩니다. IP주소나 서버랙에 기반해 존별로 정책을 달리하고, 존으로 트래픽을 제어하게 됩니다. VM마다 방화벽을 붙여줄 필요가 없어지게 되죠.”
SW기반 방화벽도 있다. VM웨어 하이퍼바이저 상에서 돌아가는 가상방화벽이다. 지난 12월 인수한 알토네트웍스의 솔루션이다.
알토 버추얼 파이어월이란 게 있는데요. VM웨어의 하이퍼바이저 위에 붙게 됩니다. SRX와 알토 방화벽을 연동하는 작업을 진행중이에요. 존 정보를 쉐어할 수 있고, SRX IPS기능과 알토 방화벽 기능을 합쳐 시너지를 줄 겁니다.”
그는 클라우드 환경의 보안은 고정되면 안 된다고 강조했다. 기업별, 사용자별로 맞춤형 접근을 해야 한다는 것이다. 데이터센터용은 대용량과 함께 다양한 기능을 제공하는 SRX 서비스 게이트웨이다.
관련기사
- 주니퍼 “네트워크는 서버 가상화와 다르다”2011.03.30
- 당신의 네트워크, 클라우드에 최선입니까?2011.03.30
- 주니퍼, 클라우드 겨냥한 보안 솔루션 출시2011.03.30
- 주니퍼, 가상화 보안솔루션업체 '알토네트웍스' 인수2011.03.30
모바일은 '주노스 펄스 모바일 스위트'가 있다. '주노스 펄스 모바일 스위트'는 모바일 기기 사용자들이 어디서나 간단히 자신의 계정정보를 제공하는 것만으로 장비 종류에 관계없이 기업 리소스에 접속할 수 있도록 한다.
“처음 대용량을 지원하는 주니퍼의 SRX시리즈가 나왔을 때는 모두들 대용량 장비가 언제 필요하겠냐는 반응을 보냈습니다. 하지만 클라우드 환경에서는 시각자체가 달라졌죠. 복잡한 환경만큼이나 일맥상통한 보안관리가 더욱 중요해졌습니다. 시대가 바뀌니 주니퍼는 클라우드 환경 사용자를 위한 맞춤형 보안 포트폴리오를 먼저 준비한 셈이 됐습니다. 종합선물셋트형으로 보안을 제공할 수 있어요.”