[기고] 네트워크 보안의 새로운 패러다임, SASE

[글 제프 리드(Jeff Reed) | 시스코 클라우드 및 네트워크 보안 부문 수석 부사장]

[편집 최형주 기자]

2019년 가트너는 보고서를 통해 시큐어 액세스 서비스 에지(Secure Access Service Edge, SASE)라는 새로운 네트워크 보안 모델에 대해 언급했다. WAN에 네트워크 보안 기능을 제공하며 미래형 네트워크 보안 모델이라고 평가받는 SASE에 대해 알아본다.

뉴노멀과 네트워크 보안

지난 수년간 필자는 시스코의 네트워킹 사업과 보안 사업을 이끌어오며 네트워킹과 보안의 혁신적인 발전 과정을 지켜봤다. 기술의 발전과 다양한 플랫폼의 출현으로 기업들이 여러 곳에 분산된 인력을 애플리케이션, 데이터에 연결하는 방식이 변화했고, 특히 최근에는 코로나19 확산으로 인해 원격근무가 일상이 됐다. 기업 네트워크와 보안의 밀접한 관계와 중요성이 더욱 부각되는 시점이다.

이 같은 변화의 중심에는 멀티 클라우드로의 전환이라는 거시적인 트렌드가 있다. 멀티 클라우드란 데이터와 애플리케이션이 그야말로 모든 곳에 위치하는 것을 뜻한다. 동시에 예전보다 더욱 분산된 오늘날의 업무 환경 속에서 보다 안전한 애플리케이션 접근이 요구된다. 기업들은 멀티 클라우드 애플리케이션 연결을 위해 빠르게 SD-WAN을 도입하고 있다. 이 과정에서 기업들은 캠퍼스에서 클라우드로, 그리고 에지로 이어지는 접근과 보안 관리에 대해 되돌아봐야 한다.

오는 2021년까지 60%에 달하는 기업들이 대부분의 애플리케이션을 클라우드로 이전하고, 50% 이상의 기업들은 원격근무 체제를 확대할 계획인 것으로 나타났다. 이른바 뉴노멀 시대에 들어서며, 새로운 네트워킹과 보안 모델의 필요성이 대두되고 있는 것이다. 가트너는 최근 SASE 보고서를 통해 이 같은 변화에 대응하는 비전을 제시했다.

SASE로의 여정

SASE란 클라우드를 기반으로 WAN에 네트워크 보안을 융합한 기술을 뜻한다. 가트너는 SASE를 통해 엔드 유저나 디바이스, 사물인터넷(IoT)/운영기술(OT) 시스템, 에지 컴퓨팅 로케이션을 식별하고 데이터 센터 등 호스트 위치와 상관없이 모든 애플리케이션에 안전한 접근이 가능하다고 설명한다. SASE가 WAN 역량과 네트워크 보안 기능을 통합 제공함으로써 디지털 시대 기업들의 안전한 접근을 지원한다는 것이다.

SASE는 개인이나 단체, 디바이스, 심지어 IoT 서비스에 대한 인증(identity)을 바탕으로 애저(Azure), 아마존 웹 서비스(AWS) 및 구글 클라우드 등 클라우드 플랫폼이나 데이터 센터, 서비스형 소프트웨어(SaaS) 플랫폼에서 애플리케이션과 데이터에 대한 안전한 접근을 지원한다.

서비스 에지는 브랜치나 엔드 포인트 트래픽이 데이터 센터의 어포컬 포인트를 거치지 않고 보안화되어 목적지로 전달되는 지점인 접속 포인트(Point of Presence, PoP), 서비스형 인프라(IaaS) 혹은 코로케이션 시설을 뜻한다. 클라우드에서 보안과 네트워킹 서비스를 통합적으로 제공함으로써 누구나, 어떤 기기에서 모든 애플리케이션에 안전하게 연결할 수 있다.

가트너는 SASE를 네트워크와 보안 모델의 미래 비전으로 내다보고 있다. 즉 아직 이를 완전하게 제공할 수 있는 서비스 벤더는 없다는 의미다. 시스코 또한 머라키(Meraki), 빕텔라(Viptela), 오픈DNS(OpenDNS), 클라우드락(CloudLock), 듀오(Duo) 등 네트워킹과 보안 기업의 인수와 기술 혁신을 바탕으로, 수년 동안 SASE에 주력해오고 있다.

오늘날 SASE는 클라우드 기반의 SD-WAN과 보안 융합을 통해 가장 근접하게 구현되고 있는데, 이는 시스코가 오랜 기간 지속적으로 주력해온 핵심 역량이기도 하다. 시스코 SD-WAN의 경우 멀티 클라우드 환경에서 언제 어디서나 모든 사용자와 애플리케이션을 안전하게 연결하고, 최적의 애플리케이션 성능을 지원한다.

또한 시스코의 주력 보안 솔루션인 엄브렐라(Umbrella)는 시큐어 웹 게이트웨이(Secure Web Gateway, SWG), DNS 계층 보안, 방화벽 및 클라우드 액세스 시큐리티 브로커(Cloud Access Security Broker, CASB) 기능을 하나의 클라우드 네이티브 플랫폼에서 통합 지원한다.

이를 통해 오늘날 원격 근무를 위해 필요한 확장성과 안정성을 모두 제공한다. 그뿐만 아니라 애플리케이션 신원 확인과 액세스 보호를 위해 시스코 듀오 및 SD-Access를 기반으로, 네트워크와 애플리케이션 및 사용자 환경을 포괄적으로 관리, 보호하는 제로 트러스트(Zero Trust) 보안을 지원한다.

SASE 전환 시 발생하는 어려움

기업의 IT 팀은 분산된 직원들을 업무에 필요한 정보와 어떻게 연결할 것인가를 고민하는데, 이 과정에서 기업의 SASE 전환이 점진적으로 이루어진다. 특히 이 때 유연한 접근성이 매우 중요하다. 기업의 사업 환경이나, 규제 요건 및 애플리케이션 종류에 따라 가장 적합한 보안 및 네트워킹 기술을 선택해야 하기 때문이다.

보안 서비스의 경우 클라우드를 기반으로 모든 엔드포인트에 걸쳐 일관된 접근 정책을 제공해야 한다. 그러나 글로벌 기업들의 경우, 지역별 여건을 고려해 보안과 라우팅 서비스를 다르게 적용해야 할 때도 있다.

또한 IT 팀은 올바른 아키텍처 선택뿐만 아니라 어떻게 보안과 네트워킹 서비스를 능률적으로 운영해야 할지도 고려해야 한다. 일반적으로 이런 기술들은 구매 사이클이 다르며, 이는 기업의 SASE 도입 속도를 늦추는 요인이 될 수도 있다.

네트워킹 라이선싱 구조도 다르다. 네트워킹은 주로 처리량(through-put)을 기반으로 하지만 보안 서비스는 다양한 사용자와 엔드포인트 보호에 기반을 둔다. 기업들이 온프레미스에서 하이브리드 또는 클라우드 우선 방식으로 전환하면서, 보다 유연한 서비스형(as-a-service) 모델에 대한 수요가 늘어날 것이다.

IT 인프라를 SASE 모델로 전환하기 위해서는 클라우드 네이티브와 마이크로 서비스 아키텍처가 필수다. SASE가 기존의 온프레미스 기술을 단순히 클라우드 서비스 역할을 하는 가상의 환경으로 옮기는 것으로만 생각한다면, SASE의 이점을 온전히 경험할 수 없을 것이다. 기업들이 정보 관리에서 겪는 문제점을 해결하고자 SASE라는 비전을 향한 가교를 건너면서, 클라우드 보안과 네트워킹서비스에 대한 중요성은 더욱 부각될 것이다.