SDN-NFV 시대, 네트워크보안 어떻게 바뀌나

일반입력 :2014/12/09 16:51

손경호 기자

동영상, 각종 소셜네트워크서비스, 인터넷전화 등 스마트폰 등장 이후 수 많은 애플리케이션들이 등장하면서 네트워크에서 처리해야하는 데이터량도 기하급수적으로 늘어나고 있다.

이같은 흐름 속에서 네트워크 자원을 이전보다 효율적으로 사용하기 위해 등장한 소프트웨어정의네트워킹(SDN), 네트워크기능가상화(NFV)는 보안 생태계에도 새로운 변화를 꾀하고 있다.

주요 네트워크 보안 기능을 맡고 있는 애플리케이션들을 모두 컨트롤러단에 올려 놓은 뒤 필요할 때만 적절히 배치해 활용하는 일이 가능해지기 때문이다. 네트워크 보안 장비를 물리적으로 설치할 필요가 없이 가상머신(VM)을 통해 구현해 활용할 수 있도록 하는 기술이 이미 상용화되기 시작했다.

최근 SDN 전문회사인 나임네트웍스는 '네트워크 가상화 보안현황 및 보안연관성'을 주제로 SDN-NFV 트렌드가 앞으로 보안성에 어떤 영향을 줄 수 있을지에 대해 소개하는 자리를 가졌다.

나임네트웍스 교육컨설팅팀을 맡고 있는 안종석 전무는 SDN 생태계가 본격적으로 구축되기 시작하면 보안장비개발자들이 코딩을 얼마나 잘 할 수 있는가가 중요해질 것이라고 말했다.

안 전무가 말하는 코딩은 기존 방화벽, 침입방지시스템((IPS), 가상사설망(VPN) 등을 구축하는데 필요한 네트워크 프로토콜에 대한 것이 아니다. 그는 이전까지는 네트워크 코딩의 90%가 프로토콜을 위한 코딩이었지만 앞으로는 이런 것들이 필요 없어진다고 설명했다.

네트워크 프로토콜은 네트워크를 타고 흐르는 트래픽이 어디로 가야 최적경로로 갈 수 있는지 확인하고, 알려주는 역할을 한다. 우리가 알고 있는 SNMP, HTTP 등도 모두 네트워크 프로토콜이다.

그러나 SDN 생태계에서는 각 네트워크 장비별로 별도의 프로토콜을 위한 코딩이 필요 없어진다. 모든 애플리케이션이 올라가 있는 컨트롤러단에서 필요로 하는 기능을 수행하기 위한 최적의 경로가 나오기 때문이다.

따라서 보안장비개발자 입장에서는 컨트롤러 단에서 실행되는 애플리케이션이 데이터를 어디로 보낼지를 다루는 코딩만 수행하면 된다는 것이다.

예를 들어 서울에서 부산까지 간다고 하면 그 중간 과정에 있는 신호등의 신호를 보고 내가 알아서 판단해 최적경로를 찾아야 되는 것이 기존 네트워크 보안 장비의 역할 중 하나였다면 SDN, NFV 환경에서는 출발 전 교통량을 확인하고, 최적화된 이동경로를 실시간으로 알아낼 수 있도록 하는 내비게이션과 같은 기능을 수행할 수 있다는 설명이다.

보안관점에서 SDN은 분산서비스거부(DDoS) 공격과 같이 실시간으로 빠른 대응이 필요한 공격에 유용하게 쓰일 수 있다.

지난해 6.25 사이버테러 당시 정부통합전산센터를 노린 DDoS 공격이 발생한 바 있다. 이 때 공격을 막기 위해 활용됐던 것이 SDN과 같은 개념이다. 가상화된 클라우드 서비스를 통해 관리되고 있었던 통합전산센터에서 DDoS 공격을 막기위한 몇가지 정책들을 컨트롤러단에서 내리는 것만으로 일괄적으로 대응이 가능했었다는 것이다.

SDN을 기반으로 가상화된 방화벽, IPS, VPN 등을 구축하면 어떻게 될까. 보안담당자가 일일이 장비를 설정할 필요가 없이 말그대로 필요한 곳에 적절히 활용할 수 있도록 '컨트롤(control)'하기만 하면 된다.

예를 들어 DDoS 공격이 발생한다면 기존에는 기지국, 기지국과 연결된 미니데이터센터, 데이터센터까지 보안적으로 관리해야하는 영역들이 늘어난다.

반면 SDN환경이 구축된 상태에서는 공격이 들어온 곳에만 DDoS에 대응할 수 있는 가상화된 장비에 필요한 보안정책을 내리면 해야할 일이 끝나는 셈이다. 방화벽의 경우도 필요에 따라 물리적인 장비를 설치하는 일 없이 기능을 넣었다 뺏다 하는 일이 가능해진다.

안 전무는 내부 네트워크에 방화벽을 도입하기 위해서 SDN 환경에서는 컨트롤러단에서 하나의 방화벽 애플리케이션만 갖추고 나머지 영역에서는 컨트롤러에서 내리는 기능을 활성화할 수 있도록 돕는 에이전트만 넓게 퍼져있으면 된다고 설명했다.

SDN과 NFV가 네트워크 보안에 몰고 올 변화에 대응하기 위해 안 전무는 기존 네트워크 보안장비 개발자들이 오픈소스 형태로 공개되는 오픈플로, 오픈스택 등 기술을 활용하는 동시에 아직 부족한 사용성을 개선해 고객들이 더 쉽고 편리하게 활용할 수 있는 형태로 만드는 방법을 고민해야할 것이라고 밝혔다.

관련기사

이미 해외에서는 SDN 환경에 맞춘 보안서비스를 제공하는 보안회사들이 등장하기 시작했다. 캣버드 네트웍스는 방화벽, IPS 등을 가상환경에서 구현하는 아이디어로 약 1억2천만달러(약 1조2천억원)의 투자금을 받았다.

엠브레인은 SDN 컨트롤러와 함께 방화벽, 로드밸런서 등 애플리케이션은 무료로 설치하도록 해주는 대신 가입자들이 많이 들어오면 수익을 나누는 방식의 비즈니스 모델을 제시하고 있다.