마이크로세그멘테이션 소개

마이크로세그멘테이션은 조직의 데이터센터 또는 클라우드 환경에서 워크로드 간의 네트워크 액세스를 제어하고 제한하는 데 도움이 되는 보안 모범 사례입니다. 

이 세그멘테이션 기법은 새로운 것이 아닙니다. IT 팀은 오래 전부터 네트워크와 애플리케이션에 세그멘테이션을 적용해 왔습니다. 예를 들어, 네트워크 세그멘테이션은 네트워크를 여러 세그먼트로 나누어 공격 노출면을 줄입니다. 그러면 어떤 네트워크 세그먼트의 호스트에 보안 침해가 일어나더라도 다른 세그먼트의 호스트에는 영향을 주지 않습니다. 

마이크로세그멘테이션은 데이터 또는 애플리케이션 단계에서 이루어지는 세분화의 정도가 다릅니다. IT 팀에서는 여러 개의 물리적 방화벽 대신 네트워크 가상화 기술을 사용하여 네트워크를 개별 데이터 공유 또는 워크로드 수준까지 분할한 다음 각각에 대해 고유한 정책 기반 보안 제어를 구현할 수 있습니다. 그러면 사실상 데이터센터 및 클라우드 환경 전반에서 고도로 특정화된 보안 영역이 형성되어 해당 기업의 보안 태세와 공격에 대한 방어 체계를 강화하고 사이버 이벤트의 영향 범위를 최소화합니다. 

마이크로세그멘테이션은 오늘날 클라우드의 인기에 힘입어 점점 더 많이 쓰이고 있습니다. 클라우드에서는 절대적인 데이터 및 워크로드 분리와 통합 정책 실행이 필요하기 때문입니다. 또한 컨테이너와 같이 표준 경계 보안으로는 완전히 보호할 수 없는 워크로드를 배포할 때 더 확실한 보호 기능을 제공할 수 있습니다. 예를 들어, 클라우드 네이티브 워크로드에는 대개 동적 IP 주소가 있으므로, IP 주소를 기반으로 규칙을 만들려고 하면 효과가 없습니다. 

마이크로세그멘테이션의 작동 원리

지금까지는 조직의 네트워크에 경계 보안을 주로 사용했습니다. 이러한 보안 프로토콜 및 디바이스에서는 클라이언트와 서버 간에 이동하는 트래픽, 또는 외부 소스에서 네트워크로, 아니면 그 반대로 전송되는 데이터를 모니터링합니다. 이 네트워크의 내부에 있는 것은 대개 신뢰할 수 있었고, 데이터는 모니터링 없이도 워크로드 간에 이동할 수 있었습니다. 

그러나 클라우드가 인기를 얻으면서 오늘날 조직의 트래픽 대부분은 워크로드 간에 이동하는 트래픽입니다. 그리고 경계 보안으로는 이 트래픽을 검사하지 못합니다. 마이크로세그멘테이션에서는 이러한 워크로드를 격리합니다. 그리고 두 워크로드가 상호 데이터에 액세스하는 것을 허용할 지를 결정하기 위해 정책과 규칙을 적용합니다. 

IT 관리자는 하나의 네트워크에서 워크로드를 서로 분리함으로써 경계 공격과 달리 네트워크 내에서 일어나는 래터럴 공격으로 인한 피해를 줄이거나 없앨 수 있습니다. 그러면 공격자가 경계 보안을 통과하더라도 시스템은 서버 간 위협으로부터 보호받습니다.  

마이크로세그멘테이션의 보안 제어는 일반적으로 크게 세 가지 범주로 나뉩니다. 

• 소프트웨어 에이전트 또는 기타 에이전트 기반 솔루션 - IT 팀에서 세그멘테이션 대상인 워크로드와 시스템을 포괄하는 소프트웨어 에이전트를 사용할 수 있습니다. 그중에는 워크로드 속성을 보고 격리 방법을 결정하는 솔루션이 있는가 하면, 워크로드에 내장된 방화벽을 기준으로 삼는 경우도 있습니다. 
• 네트워크 기반 제어 - 여기서는 물리적 네트워크 인프라 또는 가상 네트워크 인프라(예: 소프트웨어 정의 네트워크(SDN), 스위치, 로드 밸런서 등)를 사용하여 정책을 생성하고 구현합니다. 
• 기본 제공 클라우드 제어 - 여기서는 시스템이 클라우드 서비스 제공업체의 기본 제어, 이를테면 AWS의 Amazon Security Group, 또는 기본 제공된 방화벽을 활용합니다. 

제로 트러스트 보안 소개

마이크로세그멘테이션 보안 제어는 일반적으로 최소 권한(least privilege)과 제로 트러스트 아키텍처(ZTA)를 토대로 합니다. 이 제로 트러스트 보안 모델에서는 기존 보안 접근 방식에 내재된 암시적 신뢰를 적용하지 않습니다. 예전에는 네트워크 시스템 내에서 사용자에게 암시적 신뢰를 부여하는 게 일반적이었으나, 현재 제로 트러스트 원칙에서는 사용자에게 필요한 시스템, 정보, 애플리케이션에 한해 액세스 권한을 부여하고 그 밖의 요소와는 계속 사용자를 격리시킵니다. 그러면 데이터가 여러 시스템/애플리케이션 간의 불필요한 래터럴 무브먼트를 제한합니다. 

제로 트러스트 모델에서는 어떤 조직의 네트워크에 로그인하여 들어가더라도 자유롭게 이동할 수 있는 게 아닙니다. 사용자가 해당 시스템 내의 특정 데이터 및 애플리케이션에 액세스하려면 끊임없이 인증 및 승인 절차를 거쳐야 합니다.  

이러한 제로 트러스트 보안 접근 방식이 오늘날 더욱 널리 쓰이게 된 이유 중 대표적인 3가지를 꼽는다면, 1) 업종을 불문하고 급격하게 증가하는 중대한 데이터 유출 사고, 2) 최근 몇 년 새 본격화된 원격 및 하이브리드 업무 모델로의 전환, 3) 한때는 데이터센터에 의해 명확하게 정의되었던 보안 경계를 무너뜨린 클라우드로의 리소스 이동을 들 수 있습니다. 실제로 Gartner의 예측에 의하면, 2025년에는 기존 보안 방식 대신 이 모델을 도입하는 조직이 60%에 이를 것입니다. 

제로 트러스트 vs 마이크로세그멘테이션

많은 전문가가 마이크로세그멘테이션을 제로 트러스트 네트워크 액세스(ZTNA)라고 하는 제로 트러스트 보안 프랙티스의 핵심 기술로 간주합니다. 이 두 가지 보안 접근 방식은 긴밀하게 연결되어 있습니다. 실제로 마이크로세그먼테이션을 통해 제로 트러스트가 가능해집니다. 워크로드가 매우 세부적으로 세그멘테이션되고, 제로 트러스트 원칙에 따라 어느 누구도 엄격한 또는 강제적인 인증 및 승인 절차를 거치지 않고서는 이 워크로드에 액세스하지 못합니다. 어떤 워크로드가 보안 침해를 당하더라도, 해당 위협이 조직의 다른 워크로드, 사용자, 리소스에 영향을 미치지 않으므로 안심할 수 있습니다. 

마이크로세그멘테이션의 이점

마이크로세그멘테이션은 조직의 시스템 내에서 래터럴 공격의 위협을 줄이거나 예방할 수 있다는 이점과 함께, 어떤 워크로드를 가장 중요하게 보호해야 하는지에 관한 보다 유익한 인사이트를 IT 팀에 제공합니다. 그리고 다음과 같은 이점도 누릴 수 있습니다. 

네트워크 공격 노출면 축소

어떤 조직의 공격 노출면(attack surface)은 누군가에 의한 네트워크 침투가 일어날 수 있는 모든 지점입니다. 이러한 지점을 공격 벡터(attack vector)라고 하는데, 여기에는 애플리케이션, API, 비밀번호 및 사용자 자격 증명, 암호화되지 않은 데이터, 사용자 본인 등이 포함될 수 있습니다. 

마이크로세그멘테이션으로 이 각 지점을 서로 격리할 수 있습니다. 즉, 공격자가 시스템에 침입하더라도 전체 네트워크의 극히 작은 부분에만 액세스할 수 있습니다. 공격 노출면면이 각 마이크로세그먼트의 크기로 축소되었기 때문입니다. 

그리고 IT 팀은 마이크로세그멘테이션을 통해 성능 저하나 예기치 않은 다운타임 없이 해당 조직의 네트워크 전 범위를 면밀하게 모니터링할 수 있습니다. 마이크로세그멘테이션 덕분에 앱 개발자가 개발 중에 보안 정책 및 제어를 정의하는 것도 가능합니다. 그러면 단지 애플리케이션 배포 또는 업데이트 때문에 새로운 취약점이 생기는 것을 방지할 수 있습니다. 

더 효과적으로 보안 침해 억제

IT 팀과 보안 팀은 마이크로세그먼트와 세부적인 정책을 통해 네트워크를 이동하는 데이터를 더 효과적으로 모니터링할 수 있습니다. 그리고 보안 팀에서 더 빨리, 효율적으로 공격을 식별할 수 있습니다. 위협을 완화하거나 공격에 대응하는 데 걸리는 시간도 단축됩니다. 마이크로세그먼트는 상호 격리되어 있어 보안 침해가 일어나더라도 그 범위가 해당 마이크로세그먼트 하나로 한정됩니다. 즉, 보안 침해가 확산되지 않아 네트워크의 다른 영역에 영향을 미치지 않습니다. 

더 충실하게 규정 준수

조직은 해당 데이터를 저장, 액세스, 관리, 사용하는 방법에 관한 온갖 지침을 준수해야 하기 때문에 규제 대상 데이터 보호는 일반 정보 보호보다 더 까다로울 수 있습니다. 마이크로세그먼테이션을 통해 조직은 개별 워크로드에 대한 정책을 만들고 구현함으로써 해당 데이터에 액세스하고 사용하는 방법을 훨씬 더 면밀하게 제어할 수 있습니다. 이러한 정책 자체가 규정 준수에 도움이 될 수 있습니다. 게다가 다른 워크로드와 격리되는 점 때문에 규정 준수 의무를 더 성실히 이행할 수 있습니다. 

정책 관리 간소화

일부 마이크로세그멘테이션 솔루션에서는 조직의 정책 관리를 원활하게 수행하게 해주는 도구가 내장되어 있습니다. 이러한 도구는 네트워크에서 애플리케이션을 자동으로 찾아 해당 애플리케이션 또는 시스템의 작동 방식에 따라 각기 다른 유형과 수준의 정책을 추천하는 기능을 제공합니다. 

가장 중요한 워크로드 보호

해당 조직의 비즈니스에 더 중요한 워크로드가 있기 마련입니다. IT 팀은 마이크로세그먼테이션의 세분화 특성을 활용하여 조직에서 정의한 맞춤형 보안 정책 및 제어를 생성함으로써 가장 중요하고 가치 있는 워크로드를 가장 확실히 보호하게 할 수 있습니다.