향후 기업 네트워크의 교과서

[能田]

향후 기업 네트워크의 교과서

5가지 중요 테마의 해설

-Telecommunication_2019. 03. 25-

Telecommunication_20194 특집 요약 (p8~21)

향후 기업 네트워크의 교과서

-5가지 중요 테마의 해설-

디지털 기술의 진화를 배경으로 급속하게 변화하는 세상. 이 디지털 변혁의 흐름에 뒤처지지 않기 위해서는 그 토대인 네트워크의 변혁도 추진해야 한다. 그럼 앞으로의 기업 네트워크의 필수과목은 무엇일까? ‘무선화 오피스’ ‘서브스크립션’ ‘유선 LAN의 10기가화’ ‘온프레미스와 클 라우드의 통합 관리’ ‘상시 SSL 시대’의 5개 중요 테마에 대해 설명한다.

Part 1. IoT 시대의 무선화 오피스

최신기술로 문제 해결 퍼포먼스 향상

오피스 LAN의 주역이 되고 있는 무선통신. IoT 시대가 되면서 접속 디바이스 수는 더욱 증가할 것이다. 앞으로 트러블 슈팅의 신속화나 안정된 퍼포먼스의 실현을 위해서는 AI 등 최신 기술의 활용이 불가결하다.

노트북이나 스마트폰 태블릿 등의 스마트 디바이스는 지금은 업무에 반드시 필요한 툴이 되었다. 이들 디바이스를 효과적으로 활용하기 위해서는 무선 LAN이 필수다. 때문에 오피스 이전이나 리뉴얼을 계기로 사내 네트워크 환경을 전면적으로 무선화하거나 한발 더 나아가 ‘프리 어드레스’를 검토하는 기업이 증가하고 있다. 사내를 무선화하면 자기 자리에 얽매이지 않고 자유롭게 일할 수 있기 때문에 업무 효율화 등의 성과를 기대할 수 있다.

그러나 사무실의 무선화가 진행되면서 과제도 발생하고 있다. 하나는 트러블 슈팅의 복잡화다. ‘43%는’ IT 관리자가 트러블 슈팅에 할애하고 있는 시간 비율을 나타낸 숫자다. 특히 무선 LAN의 트러블에 고민하고 있는 IT 관리자는 적지 않을 것이다.

“WiFi가 연결되지 않을 때도 원인이 되는 포인트는 100개 이상이 된다”. Cisco Systems의 마에하라(前原) 프로덕트 매니저는 이렇게 지적한다. 이 지적대로 무선 LAN 환경에서는 원인 분류작업이 유선 LAN 환경보다도 복잡해진다. 사람이 로그를 수집∙분석하여 트러블 슈팅을 하는 기존 방법은 한계에 달했다.

요구되는 것은 트러블 슈팅의 지동화다. 최신 솔루션을 활용하면 상당히 많은 것을 자동화할 수 있게 된다.

-- 트러블 원인을 쉽게 가시화 –

Cisco는 네트워크 컨트롤러관리 툴인 Cisco DNA Center에서 Assurance라는 관리 기능을 제공하고 있다. 네트워크 기기로부터 올라 온 로그를 실시간으로 수집하여 유저나, 디바이스 어플리케이션의 스테이터스를 계속적으로 모니터링 네트워크의 문제점을 표시할 수 있는 기능이다.

예를 들면 어느 유저가 WiFi가 연결되지 않는다는 문제 제기를 했다고 하자. “Assurance기능의 가장 큰 특징은 유저 ID를 입력하면, 그 ID와 관련된 문제(이슈) 리스트가 나온다는 것이다. 그것을 하나하나 클릭해 나감으로써 ‘실은 무선이 아니라 스위치의 ACL 설정이 이상했다’ 등 문제의 상세한 내용을 알 수 있다” (마에하라 매니저).

유저가 문제 제기를 하기 전에 선제적으로 문제를 해결할 수 있게 된다. DNA Center는 네트워크의 상황을 항상 감시하여 기기 별 상태를 스코어링 하는 기능도 갖추고 있기 때문이다.

-- 매일 변하는 전파 환경에 대응 –

-- 디바이스 증대로 새로운 무선 필수 –

-- AI로 수상한 유저를 감지 –

Part 2. 네트워크기기도 서브스크립션화

계속적인 기능 추가가 장점

네트워크 기기의 영역에서도 ‘Subscription(이용기간에 따라서 요금을 지불하는 방식)’형 사업 모델이 확산되고 있다. 애플의 iTunes모델이 주류가 될 것으로 보인다. 최신 기능을 서브스크립션형으로 즐기는 시대로 이행할 것이다.

최근 다양한 업계에서 서브스크립션형 사업 모델을 도입하는 움직임이 확산되고 있다. 예를 들면 올 2월에 도요타자동차가 자동차의 서브스크립션 서비스를 11월부터 시작한다고 발표하며 큰 화제를 모았다. 이러한 서브스크립션화를 리드해 온 것이 ICT업계다. 잘 알려진 것 중에서는 AWS(아마존웹서비스)의 클라우드 서비스나 마이크로소프트의 ‘Office 365’가 있다.

또한 최근에 지금까지 서브스크립션화가 그다지 진척되지 않았던 네트워크 기기 영역에서도 서브스크립션 모델이 점점 확산되고 있다. 일례가 클라우드 Wi-Fi 서비스다. 초기 비용이 필요 없고 월 이용료만으로 이용할 수 있는 서비스가 각 사에서 등장하고 있다.

-- 서브스크립션은 비싸다 –

그러나 네트워크 기기의 하드웨어 그 자체가 서브스크립션 모델로 앞으로 크게 확산되기에는 어려운 면도 있다. 스위치나 무선 LAN 액세스 포인트와 같은 하드웨어는 개별로 집 안에 설치해야 하기 때문에 자동차처럼 ‘셰어’는 불가능하다. 또한 중고 시장도 정비되어 있지 않다. 때문에 서브스크립션형에서도 실질적으로는 판매형에 가까운 모델이 돼야 한다. 그래서 초기 비용이 무료인 클라우드 Wi-Fi 서비스는 최저 이용기간을 설정하는 것이 보통이다.

도중에 해약한 경우는 남은 기간에 따른 해약금이 필요하다. 또한 휴렛팩커드 엔터프라이즈(HPE) Aruba 사업총괄부의 이케다(池田) 부장은 “매월 지불하기 때문에 월 단위 비용은 내려가는 것처럼 보일지도 모른다. 그러나 5년, 10년으로 장기간 사용한다면 구입하는 편이 싸다”라고 지적한다.

그러나 네트워크 기기에 ‘서브스크립션 모델은 어울리지 않는다’는 것은 아니다. Cisco는 스위치 제품 ‘Cisco Catalyst 9200’시리즈에서 서브스크립션 모델을 채용하였다.

-- Cisco의 서브스크립션 도입 이유 –

Part 3. 이것이 정답! 유선 LAN 고속화

2스텝으로 무리∙낭비없이 10기가로

‘1G는 부족하지만 10G는 그림의 떡’. LAN을 고속화하고 싶어도 케이블 교체 비용 때문에 망설였던 기업도 많을 것이다. 그러나 드디어 때가 되었다. ‘멀티 기가비트’를 잘 사용해서 10G를 목표하자.

무선 LAN(Wi-Fi)의 통신 속도가 유선 LAN을 웃도는 역전 현상이 생긴 것은 2016년 무렵이다. IEEE 80211ac Wave2의 도입이 시작됐을 때다.

11ac Wave2의 논리 상의 최대 속도는 69Gbps(8스트림시)로, 주로 유통하고 있는 4스트림 대응 액세스 포인트(AP)에서도 최대 속도는 약 2Gbps가 된다. AP를 수용하는 유선 LAN이 1G 이더넷의 경우 그 성능은 100% 발휘하지 못한다.

그리고 앞으로는 차세대 Wi-Fi 규격인 11ax의 도입이 시작된다. 기업용의 11ax 대응 AP는 당초에 최대 속도가 25Gbps 정도의 것이 나올 것 이라고 예상, 유선 LAN 증속의 필요성은 더욱 높아진다. 그리고 가정용에서는 4스트림에서 최대 속도가 약 6Gbps5GHz대에서 48Gbps, 24GHz대에서 115Gbps의 AP도 등장하고 있다.

물론 Wi-Fi를 사용하지 않는 경우라도 상황은 다르지 않다. 기업에서 사용되는 데이터 양은 급증하고 있다. 현재는 1G가 주류인 유선 LAN도 이제 ‘10G화’로 이행해야 할 때다. 중소기업용 네트워크 제품에서 높은 글로벌 셰어를 차지하는 Netgear Japan의 소리(曽利) 씨는 “10G 스위치의 요구는 높다. 최근까지는 판매점이 제안에 적극적이었지만 고객이 우리에게 직접 10G 스위치를 문의하는 경우도 많다”라고 말한다.

-- 스위치 교환만으로 255Gbps –

그럼 현재 사용하고 있는 1G 스위치를 10G 스위치로 교환하면 좋을까? 그렇게 간단한 문제가 아니다. 원래 25Gbps 정도의 Wi-Fi 속도와 비교하여 오버스펙이 되고 비용도 비싸기 때문이다.

10G 스위치의 가격은 매우 저렴화되었기 때문에 이 점은 크게 문제되지 않는다. 문제는 LAN 케이블의 배선 비용이다. 10G 전송을 하기 위해서는 카테고리 6A(이하, Cat 6A처럼 표기) 이상의 케이블이 필요하기 때문에 Cat 5e/6 케이블을 부설하고 있는 경우는 교체를 해야 한다.

이 문제를 해결하기 위해 10G 이더넷 후에 표준 규격화된 것이 ‘멀티 기가비트 이더넷’이다. 25Gbps 또는 5Gbps의 전송속도를 Cat 5e/6 케이블로 실현하는 규격이다. 이것이라면 스위치만을 교체하면 된다.

멀티 기가비트 이더넷이 등장한 것은 2016년이다. 11ac Wave2 보급에 대비하여 9월에 IEEE 8023bz-2016으로서 승인되었다. 이보다 앞서 2015년에 Cisco가 ‘MGig’의 기능명으로 대응 스위치를 발매 휴렛팩커드 엔터프라이즈도 ‘SmartRate’의 기능명으로 대응 스위치를 제공하는 등 많은 제품이 유통하고 있다.

-- 멀티기가가 드디어 보급기로 –

-- ‘25Gbps만’도 선택지로 –

Part 4. 온프레미스와 클라우드의 통합 운용

네트워크 관리는 멀티 도메인으로

데이터센터와 클라우드, LAN/WAN으로 분단되어 있던 네트워크 관리가 통합되려 하고 있다. 멀티 도메인형으로 온프레미스와 클라우드를 일관되게 운용할 수 있는 환경을 실현하자.

기업 IT의 새로운 조류인 멀티 클라우드와 엣지 컴퓨팅은 모두 데이터가 분산화해 나가는 미래를 나타내고 있다.

기존에 데이터와 그것을 처리하는 어플리케이션은 데이터 센터에 집약되어 있었다. 그것이 지금은 퍼블릭 클라우드로 이행, 게다가 복수의 클라우드와 온프레미스 환경을 왕래하기도 한다. 기업에는 이 분산∙이행하는 데이터와 어플리케이션을 어떻게 연결하여 정책을 관리할 것인가 라는 난제가 있었다. 엣지 컴퓨팅이 보급되면 더 복잡해진다.

네트워크의 운용 관리는 지금까지 LAN/WAN, 데이터 센터, 클라우드와 도메인 별로 나뉘어 있었다. 데이터가 ‘센터’에 수집되어 있다면 그것도 불편은 없었다.

그러나 지금부터는 다르다. 여기저기서 데이터가 산출되고 이동하고 처리된다. 일관된 정책으로 이를 관리하기 위해서는 ‘멀티 도메인’ 네트 워크 운용이 필수다.

-- 온프레미스와 클라우드에 일관성을 –

운용 방법은 어떻게 변할까? 우선 주요 벤더의 동향을 정리해 보자.

2019년 1월에 Cisco는 데이터센터용 SDN의 ‘Cisco ACI’를 퍼블릭 클라우드로 확장하는 ‘Cloud ACI’를 발표하였다. 온프레미스형 데이터센터와 퍼블릭 클라우드를 같은 정책으로 관리∙제어할 수 있도록 하는 것이다.

일본 법인이 2월에 실시한 발표회에서 미국 시스코 컴퓨팅의 토드 브래논 시니어디렉터는 “온프레미스로 만든 앱을 심리스로 퍼블릭 클라우드에서 작동시키는 환경이 필요하다”라고 현상을 설명, 온프레미스 환경과 클라우드에서 ‘일관성을 유지’하는 것의 중요성을 강조하였다.

ACI는 2014년부터 온프레미스 데이터센터용으로 제공된 것으로, 네트워크의 정책 관리∙제어나 자동화 기능을 갖추고 있다. 단계적으로 기능이 확장되어 2017년에는 복수 사이트를 관리하는 멀티 사이트 관리 기능을 추가, 현재의 최신 릴리스에서는 엣지/리모트 사이트에 전개하기 위한 ‘Virtual ACI’도 준비되어 있다.

-- WAN/LAN, 앱 감시도 연계 –

-- ‘클라우드 네이티브’가 주류로 –

Part 5. 상시 SSL 시대의 보안

암호화 통신에 숨어 있는 위협을 감지하는 방법

인터넷 통신의 대부분이 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 로 암호화되고 있다. 도청 등의 위협이 줄어드는 한편, 복호하지 않으면 통신 내용을 감시하지 못한다. 암호화 통신에 숨은 위협을 감지하는 3개의 대처법을 소개한다.

웹사이트의 모든 페이지에 대한 통신을 암호화하는 ‘상시 SSL/TLS’ 대응이 진행되고 있다. 지금은 인터넷 통신의 표준이 HTTP에서 HTTPS로 이행하였다. 모든 페이지를 암호화함으로써 도청 방지 등 보안을 향상시켜야 한다.

상시 SSL/TLS화의 흐름을 가속시킨 것은 구글이다. 2014년에 HTTPS 대응하지 않는 페이지의 검색 순위를 낮춘다고 발표하였다. 또한 2018년에는 구글 크롬에서 HTTPS 대응하지 않는 사이트에 액세스하면 정규 사이트에서도 경고가 표시되게 되었다.

구글 크롬의 이용 상황 리포트에 따르면 국내에서의 HTTPS 통신 비율은 2019년 3월 2일 시점에서 76%가 되었다(미국에서는 90%). 앞으로도 HTTPS 통신은 증가할 것으로 전망된다.

-- 위협을 감시하지 못한다 –

한편으로 상시 SSL/TLS화는 기업의 보안에 있어서 좋은 것만은 아니다. Cisco의 니노미야(二宮) 씨는 “통신이 암호화되어 버리기 때문에 내용이 보이지 않게 된다. 복호하지 않으면 위협이 빠져나가 버린다”라고 지적한다.

기업의 대응은 늦다. A10 Networks와 미국의 시장조사회사 Ponemon Institute는 2018년 1월에 5,000명 이상의 종업원이 있는 기업을 대상으로 한, 글로벌 조사 결과를 발표하였다. 결과에 따르면 47%의 기업이 ‘보안 기기는 이미 도입하였지만 SSL/TLS 트래픽을 복호하지 못한다”라고 응답하였다. 즉 많은 기업은 대부분의 트래픽을 실질적으로 감시하지 못하고 있다.

상시 SSL/TLS화에 대한 대응이 진척되지 못하는 이유에 대해, 시장조사회사 IDC Japan은 “최대 문제는 퍼포먼스다”라고 지적한다. SSL/TLS 복호 처리의 부하는 커서 복호 기능을 온으로 하면 보안 제품의 퍼포먼스가 극단으로 저하되고 만다.

-- SSL/TLS에 대한 대처법 –

-- 복호하지 않고 위협을 감지 –

-- 암호화된 공격은 40% 이상 --  -끝-

목차

자료원: 해동일본기술정보센터_월간브리핑 2019년 6월