네트워크 보안을 위한 지능적인 자동화 솔루션의 발전 동향

 * 본 아티클의 원문은 2020년 11월 19일 Google Cloud 블로그(영문)에 게재되었습니다.  

Google은 기업이 핵심 비즈니스에 계속 집중할 수 있도록 고급 보안 기술을 보다 쉽게 구현할 수 있는 방안을 끊임없이 모색하고 있습니다. 올해만 하더라도 DDoS 방지 체계를 강화했으며, 막아내는 데 성공한 대형 공격에 대해 알렸으며, 방화벽 방어 효과를 한층 높이는 등의 성과를 일궈냈습니다. 이처럼 묵묵히 보안 혁신을 위한 행보를 이어나가는 가운데 오늘 Google에서는 기존 보호 기능의 개선사항과 더불어 고객이 클라우드에서 사용자, 데이터, 애플리케이션을 보호할 수 있도록 돕는 새로운 기능을 발표합니다.

1. Adaptive Protection을 통해 머신러닝을 사용하여 DDoS 공격 감지 및 차단

최근 게시물에서 밝힌 것처럼 Google Cloud 인프라는 여러 공격 수단을 동원하여 6개월간 진행된 2.54Tbps 규모의 DDoS 공격을 견뎌냈습니다. 수천 개의 IP를 동시다발적으로 타겟팅하여 자동 방어망을 침투하려던 것으로 보이는 공격은 수포로 끝났습니다.

Google은 DDoS 공격이 압도적인 규모로 진행될 가능성이 있음을 확인했습니다. Google Cloud Armor를 Cloud Load Balancing 서비스에 통합된 상태로 배포하면 엄청난 규모의 DDoS 공격을 막을 수 있도록 확장되어 Google Cloud, 기타 클라우드 또는 온프레미스에 배포된 서비스를 공격에서 보호할 수 있습니다. DDoS 방어 및 WAF를 서비스 방식으로 제공하는 Cloud Armor는 Google 서비스를 지원하는 기술 및 인프라를 그대로 활용하여 설계되었습니다.

오늘 Google은 머신러닝을 사용하여 수많은 보안 과제를 해결한 수년간의 노하우와 레이어 7 DDoS 공격으로부터 Google의 사용자 속성을 보호한 풍부한 경험을 바탕으로 탄생한 독자적 기술인 Cloud Armor Adaptive Protection을 발표하게 되어 기쁩니다. Google은 Adaptive Protection 내 여러 머신러닝 모델을 통해 웹 서비스별 보안 신호를 분석하여 웹 앱 및 서비스에 대한 잠재적인 공격을 감지합니다. 

이 시스템은 웹 앱과 서비스에 대한 대량의 애플리케이션 레이어 DDoS 공격을 감지하고 해결 시간을 크게 앞당길 수 있습니다. 예를 들어 공격자는 페이지를 생성하는 작업에 서버 리소스를 소진하기 위해 검색결과 같은 동적 페이지 또는 웹 앱의 보고서를 대량으로 요청하는 작업을 목표로 삼는 경우가 많습니다. 이 시스템이 사용 설정되면 서비스에 전달되는 트래픽에 대한 많은 요인과 속성을 기반으로 '정상적인' 상태를 파악합니다. 워크로드의 관련 컨텍스트 정보를 모두 고려하여 잠재적인 공격이 있다고 생각되면 알림을 생성합니다. 즉 기존의 임곗값 기반 감지 메커니즘은 신뢰도가 낮은 알림을 다량으로 생성하므로 감지 임곗값까지 공격이 가속화되어야 조사와 문제 분류를 요구하지만 Adaptive Protection은 공격이 증가하는 중에도 잠재적인 공격을 알리는 신뢰성 높은 신호를 조기에 생성합니다. 

Adaptive Protection은 공격을 알려줄 뿐 아니라 시스템에서 공격을 악의적이라고 느끼는 이유에 대한 컨텍스트 정보와 공격을 완화할 수 있는 규칙까지 제공합니다. 이 보호 기술은 Google 클라우드 시스템에 이미 내포되어 있으며 운영자에게 보다 심각한 문제를 알릴 때는 컨텍스트, 공격 서명, 이후 미리보기 또는 차단 모드로 배포할 수 있는 Cloud Armor 규칙까지 제공합니다. 애플리케이션 소유자와 이슈 대응자는 진행 중인 공격을 분류하기 위해 몇 시간 동안 트래픽 로그를 분석할 필요 없이 악의적일 가능성이 있는 트래픽을 중단시킬지 여부와 방법에 대한 결정을 내리는 데 필요한 모든 컨텍스트 정보를 얻게 됩니다. 보호 과정을 대폭 간소화할 Cloud Armor Adaptive Protection 기술은 조만간 미리보기 버전으로 대중에 공개될 예정입니다.

2. 방화벽 통계를 통한 방화벽 규칙 관리 개선 

Google은 네트워크 방화벽에 다방면의 투자를 하여 통계를 제공하고 제어 방법 간소화를 통해 보다 복잡한 환경을 더욱 쉽게 관리할 수 있도록 만들고 있습니다. 방화벽 통계는 여러 감지 기능을 통해 방화벽 구성을 최적화하도록 도와주며 여기에는 더 높은 우선순위의 규칙과 상충되어 의도치 않게 섀도 처리된 방화벽 규칙을 파악하는 섀도 처리된 규칙 감지도 포함됩니다. 즉 우선순위가 더 높은 규칙과 겹쳐 방화벽 규칙 평가에서 제외된 규칙을 자동으로 감지할 수 있습니다. 

이 기능은 중복된 방화벽 규칙, 개방형 포트, IP 범위를 감지하고 운영자가 보안 경계를 강화하는 데 도움이 됩니다. 또한 방화벽 규칙의 적중 횟수 급증 사실을 관리자에게 알리고 트래픽의 원인을 드릴다운하여 새로운 공격을 포착하도록 도와줍니다.

방화벽 통계에는 최종 적중 시기를 비롯해 방화벽 규칙이 활성화되는 빈도를 보여주는 측정항목 보고서가 표시됩니다. 보안 관리자는 이 보고서를 통해 방화벽 규칙이 의도한 방식으로 사용되고 있는지 확인하여 방화벽 규칙이 의도한 연결을 허용하거나 차단하도록 만들 수 있습니다. 이러한 통계 정보는 방대한 양을 처리할 수 있으며 방화벽 규칙 구성과 관련된 사람의 실수를 배제하거나 단순히 시간 경과에 따른 환경 변화로 필요 없어진 규칙을 강조표시할 수 있습니다. 방화벽 통계는 조만간 정식 버전으로 제공될 예정입니다.

3. 계층식 방화벽 정책의 유연하고 확장 가능한 제어 기능

방화벽은 거의 모든 IT 보안 계획에서 필수적인 역할을 담당합니다. Google Cloud는 Google에서 개발한 완전 분산형 방화벽 기술을 통해 모든 엔터프라이즈 워크로드에 최고 성능과 확장성을 제공하는 것을 목표로 하고 있습니다.  

Google Cloud의 계층식 방화벽 정책은 새롭고 유연한 제어 수준을 제공하므로 관리자는 조직 및 폴더 수준에서 중앙 집중식 제어의 이점을 누리는 한편 프로젝트 내 제어 권한을 보다 세분화하여 안전하게 프로젝트 소유자에게 위임할 수 있습니다. 

계층식 방화벽은 GCP 리소스 계층 구조 내에서 조직 및 폴더 수준으로 방화벽 규칙을 적용하는 수단이 됩니다.  이로써 계층 구조의 각기 다른 수준에 있는 보안 관리자가 여러 프로젝트에 걸쳐 일관된 방화벽 규칙을 정의하고 배포할 수 있게 되어 현존하는 프로젝트는 물론 앞으로 생성될 프로젝트까지 모든 VM에 규칙을 적용할 수 있습니다.

계층식 방화벽 정책에서는 VPC 수준의 방화벽 규칙과 더불어 조직 및 폴더 수준의 규칙도 구성할 수 있습니다. 계층식 방화벽을 활용할 때는 필요한 방화벽 규칙이 더 적기 때문에 여러 개의 환경을 더욱 간단하고 효과적으로 관리할 수 있게 됩니다. 그뿐만 아니라 한곳에서 가장 핵심적인 방화벽 규칙을 관리할 수 있기 때문에 프로젝트 수준의 관리자가 조직 전반의 변경되는 정책을 따라야 하는 부담에서 벗어나게 됩니다. 계층식 방화벽 정책은 조만간 정식 버전으로 제공될 예정입니다.

4. 패킷 미러링을 위한 새로운 제어 기능

Google Cloud 패킷 미러링 기능을 사용하면 기존 Virtual Private Cloud(VPC)의 네트워크 트래픽을 제3자 네트워크 검사 서비스에 미러링할 수 있습니다. 이 서비스와 제3자 도구를 함께 사용해 네트워크 트래픽을 규모에 맞게 수집 및 검사하면 침입 감지, 애플리케이션 성능 모니터링, 향상된 보안 가시성이 제공되므로 Compute Engine 및 Google Kubernetes Engine(GKE)에서 실행되는 워크로드의 보안 및 규정 준수를 개선하는 데 도움이 될 수 있습니다. 

패킷을 미러링하는 필터를 새로 추가하여 곧 정식 버전으로 선보일 예정입니다. 트래픽 방향 제어 기능을 통해 인그레스 또는 이그레스 트래픽 중 하나를 미러링하여 사용자가 트래픽 볼륨을 보다 잘 관리하고 비용을 절감하도록 도울 수 있습니다.

Google Cloud는 이와 같은 개선사항을 통해 고객이 Google의 네트워크 보안 제품을 사용하여 안전한 환경을 누릴 수 있도록 돕고 있습니다. Google의 네트워크 보안 포트폴리오를 직접 체험해 보려면 여기에서 네트워크 보안 실험실에 등록할 수 있습니다. Google Cloud Security Talks 최신호에서도 Google Cloud 보안에 대한 자세한 내용을 알아볼 수 있습니다.