젬알토 ‘HSE’, 네트워크 암호화로 WAN 보안 문제 해소

홈 > 뉴스 > 뉴스 > 보안

젬알토 ‘HSE’, 네트워크 암호화로 WAN 보안 문제 해소

2019년 03월 16일 07:31:29

데이터넷

webmaster@datanet.co.kr

전통적인 WAN은 높은 비용과 낮은 전송속도, 보안 등의 문제를 갖고 있다. 보다 저렴한 비용으로 안전한 네트워크 연결을 위해 애플리케이션 암호화 기술이 사용됐지만, 보안과 성능 문제를 해결하지 못했다. 젬알토의 ‘HSE’는 SSL·IPSec VPN·MACSec 등 기존 네트워크 암호화 보다 월등히 높은 성능을 제공하며, 글로벌 인증 기관으로부터 인증받은 높은 암호화 기술을 제공한다. 이를 통해 모든 네트워크 환경에서의 보안을 보장한다. <편집자>

현재 IT 환경에서 데이터는 한곳에 머물러 있지 않으며, 집선, 분산, 그리고 백업·복구 등 다양한 형태로 공유되고 클라우드로 확대된다. 더 많은 데이터가 WAN 구간으로 이동하고 있다.

가트너에 따르면 WAN 구간 회선은 기존의 전용선, SDNET/SDH에서 현재 다른 형태로 대체 되고 있다. 2019년 현재 약 10%의 MPLS WAN 회선은 VPLS로 대체 될 것이며 약 40%의 xDSL은 이더넷과 파이버로 대체될 것이다.

기존 WAN 회선은 높은 비용, 낮은 전송 속도로 인해 다양한 데이터 이동에 적합하지 않다. 현 시점과 미래에도 계속해서 증가 하는 WAN 회선은 메트로 이더넷/파이버로 전환될 전망이다.


▲ 레이어 2/3 암호화 따른 성능과 지연(자료: 로체스터 공과대학)

데이터 유출·복잡한 네트워크
기존의 전용선은 암호화가 지원되지 않으며 물리적으로 회선을 구분했다. 새로운 이더넷과 VPLS는 가상화 기술을 이용해 물리적인 회선을 논리적으로 분리했으며, 다양한 기술로 서로의 회선을 침범하지 않게 설정했다.

기존 구리선은 탭핑(TAPPING)이 비교적 간단해 데이터 유출에 취약한 반면, 파이버는 탭핑이 불가능해 상대적으로 안전하다고 여겨졌다. 그러나 파이버도 탭핑이 가능하다. 특히 탭핑 시 약 3dB 이하 감쇄로 감지하기 불가능하다. 이 탭핑 도구는 1000달러 이하의 저렴한 가격에 판매되고 있다.

전송 속도와 데이터 이동거리만 생각했던 현재 WAN 라인은 데이터 유출과 복잡한 네트워크 구성, 인가 받지 않은 사용자 접근, 실시간 위협에 대해 자유롭지 못하다. 이로 인해 다양한 위협과 취약점 공격을 감소시킬 수 있는 다양한 암호화 방식과 암호화 구간을 고민해야 한다.

애플리케이션 암호화를 위한 SSL VPN, 네트워크 암호화를 위한 IPSec VPN, 그리고 레이어 2 LAN 암호화를 위한 MACSec을 사용하게 됐다. SSL VPN은 클라이언트와 서버를 연결할 때 암호화하기 위해 사용되며, 특히 애플리케이션의 암호화와 접근 통제에 많이 사용된다. SSL VPN은 상대적으로 성능이 낮은 편이다.

IPSec은 지사와 본사 혹은 지사와 지사 구간을 사이트 투 사이트로 연결하며 네트워크 전체를 암호화한다. 네트워크 레이어에서 동작해 비교적 구성이 용이하다. 개별 IP에 대한 보안 정책을 설정할 수 있어 서버와 클라이언트 간 접근제어를 제공한다. 전용 하드웨어를 사용해 중간 정도의 성능을 보인다.

MACSec은 레이어 2에서 LAN 구간을 암호화하기 위해 만들어 졌으며, 이는 레이어의 한계로 인해 다양한 구성을 지원 하지 않아 WAN 구간 적용이 용이하지 않다. 전용 ASIC으로 암호화해 가장 높은 성능을 제공한다.


▲ IPSec·MACSec·HSE 비교(자료: 로체스터 공과대학)

새로운 네트워크 환경서 데이터 암호화하는 ‘HSE’
WAN 구간의 사용량 증대와 중요 데이터의 빈번한 이동으로 기존과 다른 새로운 대안이 필요하다. 본사와 지사 구간, 데이터센터와 본사의 모든 WAN 구간을 포괄해 암호화 할 수 있어야 하며, 그에 따른 속도 감소와 레이턴시가 최소화 돼야 한다. 또한 암호화는 정교해야 하고 다양한 환경을 포괄해야 만 최소한의 노력과 비용으로 보안 위협과 문제를 해결 할 수 있어야 한다.

젬알토 ‘HSE’는 새로운 네트워크 환경에서 데이터를 암호화할 수 있는 대안이 된다. 패킷 크기에 상관없이 높은 암호화 성능을 제공하며, 마이크로초 단위의 레이턴시를 보장해 기존 IPSec보다 성능 감소를 50% 줄이고, 밀리초 단위 레이턴시 문제를 해결한다. 젬알토는 유연하고 특화된 FPGA를 사용해 성능 문제를 해결했다.

MACSec 구성의 한계를 극복해 라인 모드, MAC 모드, VLAN 모드로 구성할 수 있으며, 안한 키를 사용해 중앙에서 관리할 수 있고, 동시 509곳을 확장 연결한다.

HSE 솔루션은 단일한 양 지점, 단일 지점에서 여러 지점, 여러 지점간 연결 등 다양한 구성을 지원한다. 또한 MAN/WAN, 이더넷/VLAN, MPLS/VPLS 등 다양한 환경에서 최소 1Gbps부터 100Gbps까지 암호화 대역폭을 제공한다.

아울러 웹 기반 관리 플랫폼 ‘SMC’를 통해 전 구간의 효율적인 초기 설치와 변경, 지속적인 운영이 가능하다. 높은 보안과 AES-256 알고리즘을 사용해 강력한 암호화를 지원하며, 높은 안정성을 인정받은 하드웨어 기반 어플라이언스와 VNF로 제공된다.