Brain739. 마이크로 세그멘테이션 (Micro-Segmentation) - 횡적 확산(Lateral Movement) 차단
핵심 인사이트: 배가 암초에 부딪혀 구멍이 났다. 바닷물이 쏟아져 들어오면 배 전체가 침몰해야 한다. 하지만 타이타닉호 등 거대한 유람선은 배 밑바닥을 10개의 격벽(방수 구획)으로 쪼개 놓았다. 구멍 난 1번 방에 물이 꽉 차면, 무거운 강철 문을 쾅 닫아버려 2번 방으로 물이 넘어가지 못하게 막아 배의 침몰을 막는다. 사내망 서버실을 수만 개의 강철 방으로 쪼개서 해커의 바이러스 전파를 막는 구원의 기술, 마이크로 세그멘테이션이다.
Ⅰ. 횡적 확산 (Lateral Movement)의 공포
- 해커의 가장 치명적인 타겟 공격(APT, 랜섬웨어) 시나리오는 정문을 바로 부수는 것이 아닙니다.
- 공격 흐름: 보안이 허술한 말단 신입사원의 PC(교두보)에 피싱 메일을 보내 하나만 감염시킵니다. 그리고 이 PC를 숙주 삼아, 사내망 내부(East-West 트래픽)를 옆으로, 옆으로 기어 다니며 이 서버 저 서버를 조용히 찔러보고 감염을 퍼뜨려 나가는 악질적인 확산 기법이 횡적 확산(Lateral Movement)입니다.
- 기존망의 맹점: 기존 사내망은 "우리는 한식구"라며 같은 대역(서브넷) 안에서는 서버들끼리 아무런 통제 없이 평문으로 쌩쌩 통신이 가능했기 때문에 해커가 한 번 들어오면 막을 방법이 없었습니다.
Ⅱ. 마이크로 세그멘테이션 (Micro-Segmentation)의 개념 🌟
- 개념: 데이터센터(클라우드) 내부의 네트워크를 크게 덩어리(VLAN) 짓는 것을 넘어서, 서버 1대, 가상 머신(VM) 1대, 심지어 컨테이너(Docker) 1개 단위의 극단적으로 작은 조각(Micro)으로 쪼개어, 각 조각들 사이에 엄격한 소형 방화벽(통제 정책)을 겹겹이 세우는 최첨단 네트워크 격리 기술입니다. (제로 트러스트 아키텍처의 핵심 구현체)
Ⅲ. 동작 원리 (어떻게 쪼개는가?)
물리적으로 랜선을 다 자를 수는 없습니다. 100% 소프트웨어의 마법으로 해결합니다.
1. 소프트웨어 정의 네트워크 (SDN) 기술 활용
- VMWare NSX, Cisco ACI 같은 SDN 기술을 사용하여, 서버실에 있는 가상 머신(VM) 하나하나마다 투명한 **'논리적 미니 방화벽(Distributed Firewall)'**을 캡슐처럼 씌워버립니다.
- 이 방화벽은 IP 주소가 바뀌든 서버가 물리적으로 옆방으로 이사가든 상관없이, 꼬리표(Tag)처럼 평생 서버를 따라다니며 경호원 역할을 합니다.
2. 정책 적용: "화이트리스트 (Whitelist) 기반 통제" 🌟
- 조각난 서버들 사이의 통신은 기본적으로 **'All Deny (전면 차단)'**입니다.
- 관리자가 "A 웹 서버(웹)는 오직 B 데이터베이스 서버(DB)의 3306 포트로만 말을 걸 수 있다"라고 화이트리스트를 허락해 줍니다.
- 만약 해커가 A 웹 서버를 장악한 뒤, 옆에 있는 C 인사팀 서버나 D 재무팀 서버로 악성코드를 쏘려고 찔러보면? A 서버를 감싸고 있던 미니 방화벽이 "DB 서버 가는 길 말고는 다 막혀있어!"라며 해커의 패킷을 그 자리에서 찢어발겨 버립니다.
Ⅳ. 도입 효과
해커의 횡적 전파(Lateral Movement)를 원천 차단하여 피해를 최소화합니다. 신입사원 PC 하나가 랜섬웨어에 걸려도, 네트워크가 조각조각 분리되어 있으니 그 PC 하나만 포맷하면 그만입니다. 회사 전체 서버가 암호화되어 마비되는 대재앙을 완벽하게 방지합니다.
📢 섹션 요약 비유: 기존 네트워크망은 광활한 '거대 평야의 목장'입니다. 양 한 마리(PC)가 전염병(랜섬웨어)에 걸리면, 밤새 평야를 돌아다니며 수만 마리의 양 떼 전체를 다 감염시켜 버립니다. 마이크로 세그멘테이션은 목장 주인이 수만 마리의 양들 각각에게 유리로 된 '1인용 투명 독방(미니 방화벽)'을 씌워버린 것입니다. 양 한 마리가 전염병에 걸려 죽더라도, 사방이 유리벽으로 완벽히 차단되어 있어 옆방에 있는 다른 양에게 침이나 콧물(악성 트래픽)을 절대 튀길 수 없어 전염병 확산이 그 자리에서 100% 종식됩니다.