- 팔로알토네트웍스, 망분리 환경 차세대 보안방안 제시

[디지털데일리 이유지기자] “망분리 환경에서는 사용자 기반 제어, 가상화 시스템을 이용한 차세대 보안 방안이 필요합니다.”

이 부장은 먼저 “보안을 강화하기 위해 물리적 망분리나 CBC(클라이언트기반컴퓨팅)·VDI(가상데스크톱인프라)를 활용한 논리적 망분리 환경을 구축하고 있지만, 각각의 망을 통해 들어오는 트래픽을 제어하기 위해 여전히 각 영역마다 네트워크 보안 장비를 그대로 사용하고 있다”면서 “인터넷망, 내부 업무망, 망연계 구간 영역마다 방화벽, 침입방지시스템(IPS)같은 보안 장비를 망별로 늘려나가게 돼 운영자 입장에서는 고민이 늘어나고 있다”고 지적했다.

이같은 문제를 해결할 핵심적인 차세대 보안 방안이 차세대 방화벽을 활용해 사용자 기반 정책 적용 및 제어 방식이며, 물리적 장비를 가상화해 인터넷망과 여러 업무영역별로 분리된 논리적 방화벽을 구성할 필요가 있다는 것이다.

이 부장은 “네트워크 보안에서 IP와 포트만으로 정책을 수립한다면 가상머신(VM)이 끊임없이 생성됐다 사라지는 VDI 환경에서 운영자들이 새로운 정책을 계속 추가해야 하면서 그만두고 싶은 욕망이 생겨날 수준”이라며 “기존의 IP와 포트 중심에서 벗어나 사용자 기반으로 전환하고, 보안장비를 나눠 구축, 나열하지 말고 하나의 물리적 장비를 논리적으로 구분해 영역별 가상 보안시스템을 통합 구성하는 것이 해답”이라고 강조했다.

사용자 기반 제어는 인증시스템과 연동해 사용자 정보를 바탕으로 구현할 수 있다. 팔로알토 방화벽은 액티브디렉토리(AD)뿐 아니라 AD 없이 사내 인사DB, 네트워크접근제어(NAC)와 보안 장비를 연동할 수 있다고 이 부장은 설명했다. 이들 방식은 현재 국내 은행, 카드사 등에 적용돼 운영 중이다.

그는 또 “고객사에서 VDI 환경을 구축할 때 가장 고민하는 부분이 내부 트래픽을 제어하는 방법”이라며 “이 경우 인터넷 트래픽을 모두 팔로알토 장비에 보내 사용자별 제어가 가능하며, NAC에서 시스로그(Syslog)로 연동할 수 있다면 직접 장비와 연동할 수 있다”고 설명했다.

이 부장은 추가적인 차세대 보안 요건으로 “웹(URL) 필터를 통한 사용자별 웹 사용 제어, 사용자별 애플리케이션 기반의 트래픽 제어(QoS), 애플리케이션 제어를 통한 내부 데이터 유출 방지”를 꼽고 “어떠한 사용자가 무슨 애플리케이션으로 어떠한 행위를 수행해 위협을 갖고 있는지 한눈에 볼 수 있는 가시성도 확보해야 한다”고 덧붙였다.

이밖에도 그는 “팔로알토 보안 제품은 클라우드와 프라이빗 샌드박스 방식으로 지능형지속가능위협(APT) 공격에 대응해 보안 기능을 확장하고 있다”고 말했다. 팔로알토 제품의 APT 대응 기능은 먼저 ▲허용된 애플리케이션과 고위험 애플리케이션을 분류해 차단함으로써 APT 공격 유입경로를 줄이고 ▲추가 애플리케이션 분석과 암호화된 SSL·HTTP 트래픽 분석, 행위 기반 분석으로 알려지지 않은 위협을 차단한다. 이와 함게 ▲명령제어(C&C) 트래픽을 탐지해 1시간 내로 시그니처를 만들어 멀웨어·URL 필터를 방화벽을 통해 배포해 보호하는 방식으로 이뤄진다.

<이유지 기자>yjlee@ddaily.co.kr