NaaS 모델로 간편하게 SASE를 구현하는 Cisco Meraki

앞서 1부에서 소개한 Cisco 글로벌 네트워킹 트렌드 보고서에서 살펴본것과 같이 설문조사에 참여한 글로벌 IT 리더 및 담당자들의 최대 관심사는 SASE를 구현하는 것이고, 그 방법 중 하나로 NaaS가 좋은 대안이 될 수 있다는 것을 알았습니다. 1부에서 NaaS에 대한 이야기는 충분히 한것 같으니 2부에서는 SASW에 초점을 맞춰보려고 합니다. 먼저 SASE를 구현하기 위해 필요한 주요 기술들은 무엇이고 왜 필요한지를 먼저 살펴보겠습니다.

이 콘텐츠는 Cisco의 지원으로 제작되었습니다.

2. Cisco 최신 네트워킹 기술로 만들어가는 SASE 환경

 1) SD-WAN

<이미지 출처 : ITWorld, 하이브리드 네트워크 시대를 맞이한 MPLS의 역할 변화>

기업의 비즈니스 규모가 커질수록 커버해야 하는 네트워크 트래픽 역시 증가합니다. 더 많은 지역에서 더 많은 고객에게 안정적인 품질의 서비스를 제공하기 위해서는 쾌적한 네트워크 환경이 필수적이고, 이를 위해 기업들은 일반 인터넷 회선이 아닌 MPLS를 통한 전용선을 사용해 왔습니다. 하지만 이 MPLS는 일반 인터넷에 비해 가격이 비싸도 너무 비싸며, MPLS로 연결한 지점이 많을 수록 관리 복잡성 역시 함께 증가하게 됩니다. 그래서 이러한 단점들을 극복하기 위해 탄생한 SD-WAN이 클라우드의 바람을 타고 더욱 주목받고 있습니다.

<이미지 출처 : CIsco, Cisco SD-WAN Design Guide>

SD-WAN은 다수의 네트워크 장비에 대한 운영과 관리를 소프트웨어로 자동화 함으로써 네트워크 관리 편의성을 획기적으로 향상시켜준 SDN 기술을 WAN 구간으로 확장한 것입니다. 기존에 MPLS가 가진 안정성을 이중 삼중으로 구성한 인터넷 회선으로 대체함과 동시에 SDN 기술을 통한 복잡한 네트워크 환경의 관리 편의성까지 가져온 SD-WAN 덕분에 기업은 클라우드 확산으로 급격하게 증가한 네트워크 트래픽 양에 대한 유연한 대응이 가능해 졌습니다. 

여기에 더해 여러 지역에서(회사 사옥, 지역 사무소, 임직원들의 집 혹은 또 다른 장소 등) 발생하는 트래픽의 모니터링 및 지능적인 트래픽 경로 지정을 통해 항상 최상의 애플리케이션 사용 경험을 제공할 수 있게 되었죠. 기존에 다수의 MPLS 전용망과 각 위치 별 네트워크 컨트롤러로 복잡하게 구성된 네트워크 환경을 보다 간편하게, 그리고 안정적으로 운영함은 물론 비용까지 절감할 수 있게 되었으니 SD-WAN 기술이 각광받고 있는 것은 어찌보면 당연한 현상으로 보입니다.

좀 더 구체적으로 SD-WAN의 필요성에 대해 살펴보죠. 2020년 12월에 진행된 IDC의 Enterprise Networking: Emergence of the New Normal Survey에 따르면, 코로나19 대응과 관련해 네트워크 운영에 있어 가장 중요한 변화는 "더욱 통합된 네트워크와 보안 관리", "원격/재택 근무 직원을 위해 향상된 지원", "향상된 네트워크 관리 도구"가 상위권을 차지했습니다. 

다양한 지점에서 기업 애플리케이션으로의 접근이 발생하게 되었기 때문에 분산된 네트워크 인프라에 대한 보안을 통합적으로 관리할 필요성이 생기게 되었고, 여러 지역에서 접근하는 원격/재택 근무자들의 생산성을 사무실과 같은 높은 수준으로 제공하기 위해 지연시간이 적은 고품질의 네트워크를 제공해야 했습니다. 그리고 이러한 환경을 종합적으로 분석하고 관리할 수 있는 도구도 필요해 졌다라고 위 표의 내용을 요약할 수 있겠습니다.

또 다른 설문 결과를 살펴보면 SD-WAN의 필요성이 더욱 부각됨을 알 수 있습니다. 코로나19 팬데믹 이후 재택 근무 사용자를 위해 활용했던 신기술은 무엇이었는지 물었더니 VPN이 34.8%, 클라우드 호스팅, 즉 SaaS로의 전환이 33.6%를 차지했고, 클라우드 액세스 보안 솔루션이 25.6%, 클라우드 매니지드 네트워킹이 19.2%, SD-WAN 사용이 18.4%를 기록했습니다. 다른 항목들까지 포함해서 생각해보면 공통적으로 클라우드 기술을 활용하고 있다고 볼 수 있겠죠.

하지만 이렇게 클라우드를 활용하는 데에 있어서 몇 가지 문제들이 있습니다. 임직원들의 기기에서 발생하는 네트워크 트래픽이 퍼블릭 클라우드로 가게되는 것에 대한 통제 권한이 부족하기 때문에 사용자들마다 네트워크 속도와 품질에 차이가 있을 수 있습니다. 그리고 여러 지역에서 퍼블릭 클라우드로 접근하는 만큼 네트워크 접근 경로가 복잡지기 때문에 관리 역시 힘들어지는 문제가 생기게 되죠. 

이러한 문제들을 해결하기 위해 SD-WAN은 네트워크를 중앙에서 설계하고 관리할 수 있는 플랫폼을 제공합니다. 그리고 여러 지역의 분산된 WAN 전반에 걸쳐 실시간 동적 경로 지정을 통해 사용자들이 항상 지연이 적고 안정적인, 높은 품질의 네트워크를 통해 업무를 처리할 수 있게 함으로써 업무 생산성을 유지할 수 있도록 합니다.

IDC Business Value 연구에 따르면 Cisco SD-WAN 솔루션을 사용하면 앞서 언급한 이점들을 누림과 동시에 위와 같이 많은 혜택을 얻을 수 있습니다. 퍼블릭 클라우드의 단일 사용에 따른 위험성을 경감시키기 위해 멀티 클라우드 정책을 가져가는 기업들이 늘어나고 있는데, Cisco SD-WAN은 멀티 클라우드를 사용하는 기업들에게 알맞은 WAN 아키텍처입니다. 뿐만아니라 방화벽, 보안 웹게이트, 데이터 센터와 기업 사옥 및 지역 사무소 등 다양한 지점에 대한 접근 제어 기능을 세세하게 적용할 수 있는 통합 보안 기능까지 갖추고 있으며 네트워크 전반에 대한 가시성을 제공해 문제 발생 시 보다 빠르게 조치할 수 있다는 것 역시 Cisco SD-WAN을 통해 얻을 수 있는 혜택 중 하나입니다. 

그런데 네트워크 담당자들이 흔하게 가지게 되는 오해 중 하나가 이러한 SD-WAN의 혜택을 누리기 위해서는 직접 전문인력을 두고 관리하거나  외부 업체를 통해 매니지드 서비스를 받아야 하기 때문에 규모가 큰 대기업이 아니고서는 도입하기 어렵다는 것입니다. 하지만 Cisco는 앞서 쭉 열거한 SD-WAN의 다양한 장점들을 규모가 작은 기업들, 전문 인력이 적은 기업들도 온전히 누릴 수 있도록 Cisco Meraki 올인원 SD-WAN 보안 플랫폼도 제공합니다. 그리고 SD-WAN의 도입이 바로 SASE로 가는 첫걸음이라고 할 수 있겠습니다.

2) Wi-Fi 6

<이미지 출처 : Cisco, Wi-Fi 6란 무엇입니까?>

기업 네트워크 인프라의 중심 축은 어전히 유선으로 연결되는 라우터, 스위치이지만 비대면 업무, 화상회의, 재택근무 활성화 등으로 인해 최종 사용자들이 네트워크에 접근하는 형태는 무선이 기본이 된 시대가 되었습니다. 그리고 이 추세는 더욱 가속화 될 것이고 사용자 한명 당 사내 네트워크에 접속하는 기기는 노트북과 스마트폰 2개는 기본이고 태블릿과 추가적인 모바일 기기까지 더해지면 무선 AP에 접속하는 기기의 양은 이전과는 비교가 무의미한 수준으로 늘어나고 있습니다. 그리고 이렇게 많은 수의 기기를 안정적으로 네트워크에 연결시키기 위해, Wi-Fi 6가 필요해 졌습니다.

Wi-Fi 6는 이전 세대에 비해 지연시간이 획기적으로 감소되었고 하나의 AP에서 커버할 수 있는 클라이언트 기기의 수도 크게 증가했습니다. 여기에 전력 관리 개선에 강력한 보안 기능까지 더해졌으니 기업이 Wi-Fi 5인 무선 AP를 Wi-Fi 6 모델로 업그레이드하지 않을 이유가 없습니다.

<이미지 출처 : digitaltrends, 5G vs. Wi-Fi: How they’re different and why you’ll need both>

좀 더 구체적으로 Wi-Fi 6의 성능 향상 폭을 알아볼까요? 트래픽 처리량은 이전 세대에 비해 20배, 지연 시간은 3배가 낮고 대역폭은 4배입니다. 덕분에 다수의 사용자가 몰려있는 코워킹 스페이스와 같은 혼잡한 지역에서 Wi-Fi 6가 적용된 무선 AP는 다수의 기기들에게 최적의 채널을 동적으로 선택해 기기간의 간섭을 최소화 함으로써 사용자들이 항상 안정적인 네트워크 품질을 사용할 수 있도록 합니다. 

다수의 무선 기기들이 사용되는 공간에서 화상회의에 참여했는데 네트워크 지연 혹은 연결 끊김이 발생할 경우 그 회의 결과야 뭐, 불보듯 뻔하죠. Wi-Fi 6는 이전 세대 대비 획기적으로 개선된 네트워크 성능을 토대로 다수의 기기들이 포진해 있는 장소에서도 안정적인 네트워크 연결을 지원합니다.

그리고 Wi-Fi 6는 강력한 암호화를 통해 네트워크 보안을 강화했으며 전력 관리를 대폭 개선해 많은 학생들이 동시에 네트워크에 접속해 고화질 영상으로 학습하는 상황이 발생하는 대학교와 같은 교육기관, 다수의 무선 기기와 IoT 기기를 사용해 원격 의료 및 환자의 상태를 모니터링하는 의료 환경에서 이전 세대보다 더욱 유용하게 활용됩니다. 

<이미지 출처 : Meraki-Go, WiFi for Small Business>https://www.meraki-go.com/

Cisco는 Wi-Fi 6가 적용된 다수의 무선 AP 모델을 제공함과 동시에 AP에 수집된 데이터를 분석하고 이를 다시 애플리케이션과 연결해서 다양한 용도로 활용할 수 있는 API를 제공합니다. 이를 기반으로 무선 AP에 접속한 사용자 기기를 효율적으로 관리할 수 있는 MDM 기능을 제공함과 동시에 더해 사용자 기기 별로 트래픽을 과하게 발생하지 않도록 제어함으로써 다른 사용자의 네트워크 품질 저하를 방지할 수 있고, 기업에서 운영하는 특정 애플리케이션에 대한 접근도 사용자 역할 별로 제어할 수 있어 사내 시스템을 보다 안전하게 보호할 수 있습니다.

SASE의 핵심은 최종 사용자 지점에서부터 안전한 보안 환경을 구축하는 것입니다. Wi-Fi 6가 적용된 무선 AP는 가장 일선에서 기업 애플리케이션, 사내 시스템으로의 접근을 맞이하는 출입문 역할을 합니다. 기본적인 인증 수단(무선 AP 비밀번호 혹은 내부 시스템 인증)을 가진 자만이 출입문을 통과할 수 있을 테니까요. SASE 환경에서의 최종 사용자에 대한 가장 기초적인 보안을 Wi-Fi 6가 담당한다고 봐도 되겠죠. 그리고 Cisco Meraki는 총 4종의 Wi-Fi 6 무선 AP를 제공하고 있습니다.

 3) Endpoint Security

<이미지 출처 : Cisco, What is Network Security?>

사무실에서는 항상 각종 보안 솔루션이 적용되어 있는 안전한 사내 네트워크에 접속되어 있습니다. 그래서 사용자들은 일차적인 외부 위협은 대부분 네트워크 단에서 차단된다고 굳게 믿고있죠. 하지만 대기업이 하지만 대기업이 아니고서야 이정도로 안전한 보안 환경을 갖추기란 쉽지 않습니다. 기업 네트워크로의 진입을 가장 앞에서 막아주는 방화벽이야 필수라고 봐도 되겠지만 이 방화벽을 우회해서 기업 내부 시스템으로 침투할 수 있는 위협이 너무도 많아졌죠. 게다가 재택근무라도 할 경우 사내 네트워크가 아닌 퍼블릭 인터넷을 통해 기업 시스템에 접근하게 되니 보안 구멍은 이전보다 더욱 커졌다고 볼 수 있습니다.

<이미지 출처 : Tech News, Best 5 Managed Endpoint Security Services in 2018>

그래서 중요한 것이 Endpoint Security입니다. 가장 기본은 Anti Virus, 우리가 흔히 이야기 하는 백신 기능이고요. 나아가 지속적인 악의적 공격 행위를 미리 탐지하고 방어할 수 있는 침입 탐지 및 방지 기능이 있습니다. 그리고 메일이나 웹사이트에서 내려받은 파일 중 악성코드가 담겨져 있을 경우 이 파일이 실행되어 사용자 PC를 해킹할 수 없도록 파일 내용을 분석해 실행을 차단하거나 가상 공간에서 실행해보고 문제가 있으면 격리하는 등의 조치도 필요하죠. 

하지만 이러한 기능들을 무력화 시킬 수 있는 해커들의 수법은 나날이 진화하고 있습니다. 보안 솔루션은 늘 해커들의 공격을 뒤따라가는 입장이다보니(공격이 발생하면 해당 공격을 분석해 패턴을 업데이트 해서 반복적인 공격을 방어하는 형태) 선제적 대응이 어렵죠. 그래서 최신 Endpoint Security 솔루션들은 AI를 활용해 사전에 위협 요소를 분석하고 실시간으로 탐지해 낼 수 있도록 발전하고 있습니다. 그리고 공격이 발생했을 경우 빠르게 공격 지점 및 피해 상황을 파악하고 원인을 분석해 이후 유사 패턴의 공격이 발생할 경우 빠르게 대응할 수 있도록 돕는 기능도 필요합니다.

<이미지 출처 : Cisco, VPN and Endpoint Security Clients>

Endpoint Security는 사용자 기기를 안전하게 기업 네트워크에 연결하도록 하고 악성코드와 같은 멀웨어 공격을 방어해야 하며 침해 사고 발생 시 빠르게 현황을 파악하고 조치할 수 있는 방안을 마련할 수 있도록 도와야 합니다. Cisco Endpoint Security 솔루션은 다양한 영역에서 안전하게 최종 사용자의 기기를 보호할 수 있도록 지원합니다. Cisco의 최신 Endpoint Security 솔루션인 Secure Endpoint(이전에 AMP for Endpoint로 불리우던 바로 그 제품)은 앞서 언급한 다양한 사이버 공격으로부터 사용자 기기를 안전하게 보호합니다. 그리고 이 솔루션이 Cisco Meraki MX 보안 어플라이언스에 포함되어 있습니다.

Cisco Meraki MX 보안 어플라이언스는 AMP(Advance Malware Protection)와 IDS/IPS가 적용된 UTM 기능에 더해 에 원격 근무자를 위한 VPN, VPN 미 사용자 보호를 위한 기능(Cisco Umbrella), 최종 사용자 기기 관리를 위한 MDM(System Manager) 기능도 제공합니다. 최종 사용자단을 다양한 수단을 통해 철저하게 보호함으로써 SASE라는 목적지를 위한 지름길을 제공한다고 볼 수 있겠습니다.

 4) NaaS 모델로 간편하게 SASE를 구현하는 Cisco Meraki

<이미지 출처 : Cisco, What Is Secure Access Service Edge (SASE)?>

1부에서 살펴본 NaaS, 그리고 2부에서 소개한 SASE 구현을 위한 주요 기술인 SD-WAN, Wi-Fi 6, Endpoint Security를 개별적으로 알아보고 도입하는 것은 생각만해도 어렵고 비효율적인 방법입니다. 물론 앞서 언급한 각 분야 별 전문가들이 각각 존재하는 규모가 큰 기업이라면야 돌다리도 두드려 보고 건넌다는 식의 다소 비효율적인 방법도 괜찮겠지만 비즈니스 민첩성이 무엇보다 중요해진 현재의 상황에서는 그다지 추천드리고 싶은 방안은 아닌데요. 그렇다면, 이 모든 요소들을 한번에 충족시킬 수 있는 플랫폼을 사용하는 것이 최선이겠지만 과연 이런게 존재하기는 할까요? 네 있습니다. Cisco Meraki가 바로 그것입니다.

<이미지 출처 : Cisco, 모두를 위한 강력한 기술>

Cisco Meraki는 간편하게 SD-WAN을 구축하고 활용할 수 있는 MX, Wi-Fi 6가 적용된 무선 AP MR과 함께 최종 사용자 기기를 안전하게 보호할 수 있는 Endpoint Security 기능을 MX에 탑재했습니다. Cisco Meraki 플랫폼을 활용하면 다른 것들은 고민할 필요 없이 오로지 Meraki 플랫폼 만으로 SASE를 구현할 수 있을 뿐만 아니라 100% 클라우드 기반 관리가 가능해 관리 편의성을 대폭 향상시켜 주고요. 애플리케이션 모니터링과 API 활용을 통해 기업에서 운영하는 애플리케이션의 안정적인 운영을 도와주는 한편 API를 통해 또다른 비즈니스 창출을 가능케 합니다. 그리고 이러한 Meraki 플랫폼의 운영을 매니지드 서비스 형태로 외부 업체에 맡겨서 운영에 대한 부담도 덜어낼  수 있습니다.

<이미지 출처 : Cisco, 고객 사례: 매드포갈릭(Mad for Garlic)>

이러한 내용은 최근에 구축된 매드포갈릭 사례로 자세히 살펴볼 수 있는데요. 코로나19 이후 사회적 거리두기 강화로 인한 외식 업계의 위기를 극복하기 위해 매드포갈릭은 Cisco Meraki 기반 KT 매니지드 서비스를 통해 비대면 주문 서비스를 구현했고 제한된 인원으로 전국 41개 매장 IT 인프라를 통합해서 운영할 수 있는 환경을 갖췄습니다. Cisco Meraki가 매드포갈릭의 SASE 환경 구현을 도왔다면, KT 매니지드 서비스는 Cisco Meraki를 NaaS 모델로 제공하고 있다고 볼 수 있겠습니다. 보다 자세한 내용은 아래 링크에서 확인해 보시기 바랍니다.

• ●메드포갈릭 Cisco Meraki 구축 사례 자세히 보기

<이미지 출처 : OnX, What is NaaS, and what can this solution do for my enterprise?> 

위와 같이 다양한 지점을 가진 기업이 MPLS를 통해 네트워크 인프라를 관리할 경우 각각 분산된 지점 별 네트워크 인프라를 직접 관리해야 하는 부담이 있지만 Naas 모델에서는 모든 지점의 네트워크 인프라가 Cisco Meraki로 대체되고 Meraki 장비들은 Meraki Cloud에 연결되어 자동으로 설치되고 업데이트가 진행됩니다. 그리고 Meraki 플랫폼 운영 및 관리는 OnX라는 별도의 외부업체에(매드포갈릭의 경우 KT) 맡기면 되니 보다 간편한 SASE 구현이 가능해 지는 것입니다.

1부와 2부에 걸쳐서 최신 글로벌 네트워킹 트렌드인 NaaS와 SASE, 그리고 이 두가지를 모두 접목시킨 플랫폼인 Cisco Meraki에 대해 소개해 드렸습니다. 이쯤되면 Cisco Meraki가 과연 앞서 설명한 내용들을 어느 정도까지 실현시켜줄 수 있는지, 과연 우리 회사 상황에 적합할지 궁금하시겠죠? 그런 분들을 위해 마련한 이벤트를 소개하고 마무리 하겠습니다. 딱 한달 간만 진행되는 이벤트인 만큼 관심 있으신 분들은 아래 링크를 통해 신청하시기 바랍니다.

• ●Cisco Meraki 상담신청 하기

<이미지 출처 : Cisco, Meraki Next Gen Wi-Fi 6>

코로나 19로 인한 비대면 중심의 일상이 여전히 지속되고 있고 올해도 쉽게 끝날 것 같지가 않습니다. 지난 2년여 동안 사내 임직원들의 안전하고 유연한 업무 환경을 지원함과 동시에 인프라 관리 격무에 시달리는 담당자 분들의 수고를 조금이나마 덜어드릴 수 있는 솔루션이 무엇일까 찾고 계셨던 분들이라면, 먼길 돌아가지 마시고 Cisco Meraki 플랫폼을 우선적으로 검토해 보시기 바랍니다. 

언제 어디서나 안전한 업무 환경을 위한 SASE를 가장 간편하게 구현할 수 있는 방법은 NaaS이고, Cisco Meraki가 이를 가능케 합니다. 정말 가능한지 의구심이 드는 분들은 Cisco와 함께 검증해 보실 것을 추천합니다. 보통 밑져야 본전인데 이번엔 백화점 상품권도 생기니 본전 이상을 챙기실 수 있는 좋은 기회이지 않을까요?

모쪼록 이번 콘텐츠가 새해에 보다 안전한 네트워크 환경 구현을 고민하시는 분들께 도움이 되었기를 바랍니다. 끝!