“보안 시스템”… 네트워크가 되어야 하나?

[디지털비즈온 김맹근 기자] NetworkWorld 아시아의 존 버크 지음 네트워크 환경에 따르면, 최근 소규모이지만 빠르게 성장하고 있는 기업과의 조사 면접에서 네트워크 벤더가 없는 네트워크를 가진 조직을 처음 접했다. 즉, 스위칭과 라우팅에 Cisco나 델, 화이트 박스 솔루션을 사용하는 대신 네트워크 전체에 Fortinet 기기만을 도입했다. 즉, 모든 네트워크 컴포넌트는 보안 인프라스트럭처의 일부이다.

이러한 방법으로 네트워크를 구축한 것은 시큐러티를 핵심으로 하는 것 뿐만이 아니라, 다음과 같은 목적을 위해서 이다.

첫째 관리의 용이성은 1개의 툴을 사용하여 모든 컴포넌트를 관리할 수 있다. 둘째 도입의 용이성은 각 어플라이언스의 버전은 2개 또는 3개뿐이며 용량과 포트 수를 제외하고 모두 동일하다. 셋째 새로운 장소로 쉽게 확장 가능은 모든 사이트가 동일한 크기의 다른 사이트와 동일하다

선반에는 교환용 어플라이언스의 재고가 적기 때문에 모든 장소에서 신속하게 회수할 수 있다. 또, 시큐러티 오퍼레이션 센터의 서비스로서의 사용도 용이하게 할 수 있어 네트워크의 거의 모든 운용에 프로페셔널한 서비스를 이용할 수 있다. 기본적으로 보안 솔루션은 완전한 네트워크 솔루션이 될 수도 있다.

Fortinet을 사용하지만 Versa Networks나 Watchguard 등을 선택할 수 있다.

보안 벤더가 네트워킹 분야에 진출함에 따라 기업은 자사의 비전을 받아들여야 할까?

한마디로 이야기할 수 없다.

또, 1개의 벤더와 통합 네트워크/보안 스택을 구성하는 어플라이언스 타입을 최소한으로 억제하는 것에 의해서, 운용의 심플화와 관리의 용이성을 중심으로 하는 몇개의 분명한 메리트가 있다. 보다 중요한 것은 보안을 네트워크의 핵심으로 하면 보안정책과 네트워크 프랙티스 사이에 연결이 끊길 가능성이 매우 낮다는 것이다. 이러한 문제는 보안이 접속과 분리되어 있는 환경에서 흔히 볼 수 있다.

단점으로는 IT의 모든 단일문화는 인프라스트럭처를 선택한 플랫폼의 약점과 벤더와의 문제에 더욱 민감하게 만든다. 코어 어플라이언스의 operating system에 시큐러티 결함이 있는 경우, 네트워크 전체와 모든 로케이션이 동시에 같은 방법으로 취약할 가능성이 있다. 한 번의 공격으로 모든 것이 손상된다. 보안에 별도의 인프라스트럭처 계층이 있는 경우 보안 계층이 네트워크 위험을 완화하듯이 네트워크 계층에서 구성을 변경하면 보안 계층의 문제를 완화할 수 있다. 벤더가 다른 벤더에 인수되거나 다른 벤더를 인수할 경우 이행 중에 접속 인프라스트럭처 전체에 대한 지원이 위험에 처하게 된다.

그리고 문제가 있을 때 한쪽 목을 조르는 것의 반대점은 가격 협상에서의 레버리지가 줄어들고 비용이 증가할 가능성이 적다는 것이다. 한 벤더에 의존하는 일이 많을수록 지분을 늘리고 새로운 벤더로 이동하는 것은 더 어려워진다.

보안 시스템을 네트워크 전체로 하는 것의 매력과 진정한 이점은 중소기업에게 가장 명확하다. 이들은 균일하고 비교적 단순한 요구를 가지고 있을 가능성이 높으며, 또한 직원 수가 더 적다. 이들은 보안과 네트워킹 모두에서 필요한 인재를 확보, 유치 및 유지하는 데 어려움을 겪을 가능성이 높다. 따라서 전문 인력이 되기 위한 플랫폼이 1개뿐이기 때문에 새로운 직원을 교육하거나 관리를 아웃소싱할 수 있는 플랫폼이 1개뿐이기 때문에 직원을 최대한 활용할 수 있다.

대기업의 이익은 명확하지 않다. 이러한 환경은 더 복잡한 경향이 있으며 혼합된 생태계를 지원하고 인력을 충원할 수 있기 때문에 단일 문화의 위험을 감수할 가능성이 낮다.

그렇다면 보안 시스템이 네트워크가 되어야 할까? 소규모 조직에서는 위에서 설명한 주의사항을 고려하여 실행 가능한 것으로 보인다. 대부분의 대규모 조직에서는 현재 "아니오" 대신 네트워크 시스템을 보안 인프라스트럭처의 더 큰 부분으로 만드는 데 주력해야 한다.

제로 트러스트 아키텍처(및 모든 사람이 마찬가지) 또는 SD-LAN을 실장하거나 소프트웨어 정의 경계(SDP)를 도입할 때 네트워크 스위치가 중심적인 역할을 할 수 있고, 또 그렇게 해야 한다. 스위치는 일종의 보안 정책 엔진에서 정의 및 관리되는 정책을 시행하는 정책 시행 포인트여야 한다. 같은 보안 벤더는 말할 것도 없고 모두 같은 벤더의 것이 아니더라도 이 기능을 사용할 수 있어야 한다.