[기고] 기존 브랜치 방화벽을 대체할 고급 SD-WAN 솔루션 필요성

[글=데렉 그라나스(Derek Granath) | HPE 아루바 제품 및 기술 마케팅 담당 상무]

최근 하이브리드 방식으로 근무 형태가 전환됨에 따라 기업 대부분은 기존 사무실에서 근무하던 방식을 카페, 집 등으로 옮겨가고 있다. 이와 함께 네트워크 아키텍처는 이제 데이터센터에서 클라우드와 새로운 에지에 이르는 모든 것을 통합하며, 사물인터넷(IoT) 덕분에 기업 네트워크에 연결된 기기 또한 폭발적으로 증가하고 있다.

네트워크가 점점 복잡해지고 기존의 조직 보안 범위 밖에서 네트워크를 연결하려는 사용자와 기기가 증가함에 따라 IT 팀은 점점 더 많은 잠재적인 보안 취약성을 갖게 됐다. 하지만 이러한 문제가 증가하고 있음에도 기업과 직원들은 더 많은 유연성과 접근성을 요구한다.

MPLS(Multi-Protocol Label Switching), 라우터 및 방화벽을 기반으로 하는 기존의 네트워크 인프라와 보안 아키텍처는 이제 더 이상 사용자의 다양한 요구에 대응하기 어렵게 됐다. 기존의 비용, 경직성 및 복잡성이 새로운 기술과 현재 우리가 처한 근무 방식에 맞게 설계되지 않았기 때문이다.

이 문제를 해결하기 위해 기업은 광역 네트워킹과 보안을 모두 커버할 수 있는 새로운 솔루션을 찾아야 한다. 이를 위해 SD-WAN 가상 오버레이에서 제공하는 유연성을 활용하고 차세대 방화벽 기능을 통합하여 LAN, WAN 및 클라우드 전반에 걸쳐 보안을 제공하는 고급 SD-WAN 솔루션이 새롭게 등장했다. 실제로 일부 고급 SD-WAN 솔루션은 차세대 방화벽과 보안 기능에 대해 기업이 기존 브랜치 방화벽을 완전히 교체하거나 폐기할 수 있을 정도로 발전시켰다.

고급 SD-WAN의 이점은 여기서 끝이 아니다. 클라우드 퍼스트(cloud-first) 시대에서 네트워크와 보안 아키텍처를 모두 현대화하기 위해서는 브랜치 방화벽을 SD-WAN 솔루션으로 교체해야 할 필요가 있다. 이에 대한 4가지 이유를 정리해 봤다.

1. 고급 SD-WAN은 포괄적인 브랜치 보안 서비스를 제공한다

고급 SD-WAN 솔루션은 오늘날의 분산된 기기 중심 조직에 따라 조정된 광범위한 차세대 기능을 통합한다. 이를 통해 IT 팀은 조직의 보안을 손상시키지 않으면서도 간편하고 신속하게 네트워크를 구현할 수 있다. 또한 침입과 디도스(DDoS) 공격을 탐지 및 방지하고, 활성 네트워크 연결의 전체 상태를 모니터링하며, 여러 조직 간의 데이터 암호화로 연결을 보호한다.

침입 방지는 일반적으로 특정한 공격 시그니처와 일치하는 네트워크 트래픽의 패턴을 모니터링한다. 침입이 감지되면 시스템은 검사, 삭제 및 트래픽 허용과 같은 작업 목록을 수행한다. 그리고 디도스 공격이 발생할 경우, 고급 SD-WAN 솔루션은 이를 한 단계 더 발전시켜 빠른 에이징, 초과 손실, 소스 차단과 같은 작업으로 악의적인 요청 수를 제한한다.

한편, 원격 브랜치와 기업 데이터센터 간의 안전한 연결을 제공하기 위해 고급 SD-WAN은 MPLS, 인터넷 및 5G와 같은 이종 링크를 연결하여 단일 가상화된 연결 언더레이를 형성할 수 있다.

SD-WAN 내에서 이러한 연결을 보호하기 위해 해당 솔루션은 AES 256비트 암호화를 사용하여 전체 SD-WAN 패브릭에 IPsec 터널을 구축하고 잠재적인 데이터 위협으로부터 보호한다. 가상 SD-WAN 어플라이언스를 퍼블릭 클라우드에 구축할 때도 이 방식을 적용하여 기존의 기업 보안 정책을 클라우드로 효과적으로 확장할 수 있다.

2. 고급 SD-WAN은 로컬 운영을 단순화한다

오래된 라우터를 기반으로 하는 WAN 아키텍처는 IT 팀이 수년간 축적해 온 풍부한 네트워크와 보안 장비를 처리해야 한다. 대부분의 경우 장치는 명령 라인 인터페이스(CLI)를 사용하여 기기 별로 수동 구성해야 한다. 현지 브랜치에서는 이러한 모든 장비를 설치하고 유지 관리할 숙련된 IT 직원이 부족하다. 따라서 문제나 업데이트를 위해서는 비용이 많이 드는 현장 방문이 필요하다.

고급 SD-WAN 솔루션은 라우팅과 WAN 최적화처럼 필요한 모든 WAN 기능을 통합하지만, 이제 일부는 기업이 네트워크 장비를 단일 어플라이언스로 간소화할 수 있도록 내장형 차세대 방화벽도 포함한다.

이러한 간소화 덕분에 고급 SD-WAN 솔루션을 한 번 구성하고 몇 번의 마우스 클릭만으로도 수십, 수백, 심지어 수천 개의 사이트를 제로 터치 프로비저닝(Zero Touch Provisioning)하여 구축할 수 있어 숙련된 현지의 IT 직원이나 콜 아웃이 필요하지 않다. 대신 홈 오피스에서 구성 및 보안 정책을 자동으로 전달하여 브랜치를 빠르고 쉽게 설정할 수 있다.

3. 고급 SD-WAN은 클라우드 퍼스트 기업과 업계 최고의 SASE를 완벽하게 지원한다

기업이 자체 데이터센터에서 대부분의 비즈니스 애플리케이션을 호스팅 할 때는 브랜치 위치에서 다시 데이터센터로 애플리케이션 트래픽을 라우팅하여 보안 검사를 수행하는 모델을 수용할 수 있었고 실제로도 필요했다. 이제 점점 더 많은 애플리케이션이 클라우드로 이동함에 따라, 트래픽을 데이터센터로 다시 전송하는 것은 애플리케이션 성능에 많은 영향을 미치고 있지만 더 나은 결과는 아니다.

고급 SD-WAN을 구축함으로써, IT 팀은 기업의 특정 정책에 따라 인터넷으로 트래픽을 자동 처리하여 최종 사용자 경험 품질을 크게 향상시킬 수 있다. 즉, 조직의 보안 정책에 정의된 대로 신뢰할 수 있는 클라우드 애플리케이션은 인터넷을 통해 클라우드로 바로 전송할 수 있는 반면, 신뢰할 수 없는 애플리케이션은 클라우드 제공 보안 서비스로 먼저 전송하거나 클라우드 보안 서비스가 없는 경우 데이터센터 방화벽으로 다시 전송된다. 결과적으로 주요 애플리케이션의 성능이 크게 향상되어 생산성과 고객 만족도가 모두 향상된다.

클라우드 우선 아키텍처를 완전히 수용하려면 고급 SD-WAN 솔루션이 여러 업계 최고의 클라우드 보안 공급업체와 완벽하게 통합되어 최고 수준의 SASE(Secure Access Service Edge) 아키텍처를 지원해야 한다. 클라우드 우선 기업은 맞춤형 보안 요구 사항에 따라 최고의 보안 서비스를 선택할 수 있는 자유가 필요하다.

4. 고급 SD-WAN 마이크로 세분화를 통해 IoT 기기를 안전하게 보호한다

최근 몇 년 동안 IoT 기기가 폭발적으로 증가했다. 근무지가 분산되면서 공격 표면이 증가하고 잠재적으로 주요 보안 문제가 제기되었다. IoT 기기 보안의 근본적인 문제는 일반적으로 보안 에이전트(VPN 또는 ZTNA 클라이언트)를 실행할 수 없다는 것이다. 따라서 IT는 IoT를 식별하고 세분화할 수 있는 또 다른 메커니즘이 필요하다

고급 SD-WAN 솔루션은 제로 트러스트 네트워크 세분화를 구현함으로써 차세대 방화벽과 SASE를 능가한다. 이렇게 하면 ID와 역할 기반 액세스 제어를 기반으로 승인된 사용자나 기기만 사용 권한과 일치하는 네트워크의 특정 영역에 액세스할 수 있다.

예를 들어, HVAC 온도 조절기는 고객 POS(Point of Sale) 애플리케이션과 데이터에 절대 액세스할 수 없도록 세그먼트화해야 한다. 또한 방화벽과 달리 고급 SD-WAN 솔루션은 LAN에서 WAN을 통해 브랜치를 넘어 데이터센터 및 클라우드로 확장할 수 있는 마이크로 세분화를 지원할 수 있다.

이처럼 고급 SD-WAN을 도입함으로써 IT 효율성을 높이고 관리를 간소화하며 일관된 보안 정책을 시행함으로써 하이브리드 시대에 맞게 보안을 강화할 수 있다.