외부에 공개된 네트워크 인프라 보안을 위한 새로운 모델
클라우드 기반 보안을 통한 심층 방어 구현
외부에 공개된 네트워크 인프라를 목표로 하는 공격자들이 늘어나고 있습니다. 2024년 초에는 이 인프라에 대하여 오랫동안 지속된 위협이 된 DNS 기반 분산 서비스 거부(DDoS) 공격이 전년 대비 80% 증가했습니다. 1년 동안 랜섬 DDoS 공격도 전 분기 대비 늘었습니다. 전반적으로 2024년 중반을 기준으로 DDoS 공격은 전년 대비 20% 증가했습니다.
이러한 공격은 고객 대면 모바일 애플리케이션 및 파트너 포털부터 VPN 서비스, 이메일에 이르기까지 다양한 주요 애플리케이션과 서비스를 위험에 빠뜨리고 있습니다. 다양한 유형의 DDoS 공격으로 인해 운영 중단 외에도 심각한 데이터 유출이 발생할 수 있습니다.
기존의 하드웨어 방화벽과 기타 온프레미스 애플리케이션은 이를 따라잡기 위해 고군분투하고 있습니다. 이러한 시스템에는 조직을 취약하게 만들고 보안 관리를 복잡하게 만들 수 있는 중요한 제한 사항이 있습니다.
외부에 공개된 네트워크 인프라를 보호하기 위해 조직에서는 이러한 레거시 시스템을 넘어서야 합니다. 최신 클라우드 기반 보안 전략을 채택한 기업은 공격을 차단하고 이 중요한 인프라를 가동하고 유지하는 데 더 성공적이었습니다.
하드웨어 기반 보안 장비의 한계
오늘날 조직에서는 다양한 위협으로부터 공개 네트워크 인프라를 보호해야 합니다. 공격자는 패치를 개발하거나 설치하기 전에 향후 악용될 수 있는 취약점을 찾기 위한 정찰 및 포트 스캐닝을 수행할 수 있습니다.
많은 조직에서는 다양한 유형의 DDoS 공격을 경험하기도 합니다. 예를 들어 볼류메트릭 DDoS 공격의 경우 처리해야 할 트래픽의 양이 압도적으로 많습니다. 프로토��콜 DDoS 공격은 SYN 폭주와 같은 기술을 사용하여 세션 수를 압도합니다. 또한 애플리케이션 계층 DDoS 공격은 애플리케이션 계층 프로토콜과의 통신을 이용하여 서비스 거부를 유발합니다.
기존 방화벽과 같은 하드웨어 기반 솔루션으로는 이러한 위협을 적절하게 방어할 수 없습니다. 첫째, 이러한 솔루션으로는 모든 엔터프라이즈 트래픽을 볼 수 없으므로 가시성이 제한됩니다.
둘째, 용량이 제한적이고 비탄력적이므로 볼류메트릭 위협에 대응하여 쉽게 확장할 수 없습니다. 예를 들어, 2023년 2월에 Cloudflare에서는 수십 건의 초대규모 DDoS 공격을 감지했습니다. 최대 규모의 공격은 초당 7,100만 건 이상의 요청으로 정점을 찍었으며, 이는 당시로서는 기록상 가장 큰 공격이었습니다. 이 공격은 인기 게임 공급자, 암호화폐 회사, 호스팅 공급자, 클라우드 컴퓨팅 플랫폼을 겨냥했습니다. 대부분의 볼류메트릭 공격은 이 정도 규모는 아니지만, 기존의 하드웨어 기반 솔루션은 이보다 훨씬 적은 양의 볼류메트릭 공격도 처리할 수 없습니다.
방화벽의 한계를 보완하기 위해 조직에서는 '방화벽 도우미'를 추가하는 경우가 많습니다. 조직에서는 웹 애플리케이션 방화벽(WAF)과 같은 애플리케이션을 보호하기 위해 온프레미스 장비를 구현할 수 있습니다. 스크러빙 센터를 추가해 조직에 트래픽이 도달하기 전에 트래픽을 필터링합니다. ISP 필터링을 이용해 공격의 트래픽을 흡수할 수도 있습니다.
하지만 이러한 도우미들은 자체적인 문제를 야기합니다. 이로 인해 사용자 경험이 저하되고 관리 복잡성이 가중될 수 있습니다. 도우미가 물리적인 장치로 구현되면 적절한 확장을 통해 대규모 공격을 막을 수 없다는 하드웨어 방화벽과 동일한 핵심 문제를 겪을 수 있습니다.
클라우드 기반 보안을 통한 심층 방어 구현
공개된 네트워크 인프라는 계층화 또는 심층 방어 보안 전략으로 더 잘 보호할 수 있습니다. 이러한 계층 중 하나는 들어오는 트래픽이 기업 네트워크 인프라에 도달하기 전에 필터링해야 합니다. 이 필터는 정적 하드웨어 장비를 기반으로 해서는 안 됩니다. 이 필터는 가장 큰 규모의 글로벌 공격도 흡수할 수 있도록 동적으로 확장할 수 있어야 합니다.
클라우드 기반 보안에서는 이러한 위협으로부터 보호할 수 있는 보다 탄력적이고 확장 가능한 리소스를 제공할 수 있습니다. 특히 통합 플랫폼에서 클라우드 네이티브 보안 및 네트워킹 서비스를 제공하는 클라우드 연결성은 계층화된 최신 전략에 적합한 기능 조합을 제공할 수 있습니다.
클라우드 연결성의 전역 네트워크는 공개 네트워크 인프라의 1차 방어선 역할을 합니다. 네트워크는 위협 트래픽을 분산 및 흡수하는 동시에 조직에서 직면하고 있는 문제에 대한 가시성을 향상할 수 있습니다. 예를 들어 Cloudflare의 네트워크 용량은 321 Tbps이며, 이는 지금까지 기록된 최대 규모의 DDoS 공격보다 훨씬 큰 규모입니다.
Cloudflare에서는 패킷 속도 및 HTTP 요청 속도가 매우 빠른 DDoS 공격도 완화한 바 있습니다. 예를 들어, 2024년 9월 Cloudflare에서는 초당 20억 패킷 및 초당 3테라비트(Tbps)를 초과하는 다수의 대규모 볼류메트릭 DDoS 공격을 완화했습니다. 가장 규모가 큰 공격의 경우 정점은 3.8Tbps였습니다.
클라우드 연결성은 에지에서 추가 보안 서비스를 제공하여 심층 방어를 구축할 수도 있습니다. 방화벽과 DDoS 필터링은 볼류메트릭 공격 등 알려진 위협과 새로운 위협으로부터 보호합니다. 애플리케이션 보안 서비스는 DDoS 공격, 악용, 공급망 공격, 봇, 사기로부터 애플리케이션과 API를 보호합니다.
클라우드 연결성 서비스의 구성 가능성은 우리에게 꼭 필요한 민첩성과 유연성을 제공합니다. 조직에서는 필요에 따라 보안 서비스를 추가하거나 조정하여 새로운 위협을 방어하고 Zero Trust 전략을 확장할 수 있습니다.
네트워크 및 보안 혁신으로 나아가기
외부에 공개된 네트워크 인프라는 현대 기업에 매우 중요하지만, 장비 기반 하드웨어 솔루션으로 적절하게 해결할 수 없는 위협에 취약합니다. 계층화된 클라우드 기반 전략의 기반으로 클라우드 연결성을 채택하면 조직에서 기존 솔루션의 한계를 극복할 수 있습니다. 모든 범위의 위협을 필터링하고 차단하여 네트워크 인프라를 효율적으로 보��호하고 외부에 공개된 네트워크의 요구 사항을 지원할 수 있습니다.
외부에 공개된 네트워크를 위해 기존 장비에서 클라우드 기반 보안으로 전환하면 더 큰 네트워크 및 보안 전환을 추진하는 데 도움이 될 수 있습니다. 더 많은 네트워킹 및 보안을 클라우드로 전환하면 사람, 애플리케이션, 네트워크를 연결하는 유연성을 높일 수 있습니다. 또한 새로운 보안 기능을 더 쉽게 통합하여 진화하는 위협으로부터 보호할 수 있습니다. 궁극적으로 이러한 전환은 비즈니스 민첩성을 향상하고 혁신을 촉진하는 동시에 IT 복잡성을 제어하는 데 도움이 될 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
클라우드 제공 네트워크 보호의 역할 이해 백서에서 클라우드 연결성 덕분에 공공 네트워크 인프라가 보호되는 방법을 자세히 알아보세요.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
공개 네트워크 인프라에 대한 주요 위협은?
하드웨어 기반 방화벽의 한계는 무엇일까요
클라우드 기반 보안으로 공개 네트워크를 더 잘 보호할 수 있는 이유