221. East-West 트래픽 (수평 방향 통신 및 내부 위협 통제)

⚠️ 이 문서는 인터넷(외부)에서 사내망(내부)으로 들어오고 나가는 전통적인 수직적 통신(North-South 트래픽)과 달리, 데이터센터나 클라우드 내부에서 **'서버와 서버', '가상머신과 가상머신', '컨테이너와 컨테이너' 끼리 데이터를 주고받는 횡적인(수평적인) 네트워크 트래픽 흐름인 'East-West 트래픽'**과 그 보안 통제 전략을 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 마이크로서비스 아키텍처(MSA)와 분산 처리 기술이 보편화되면서, 하나의 사용자 요청을 처리하기 위해 내부 서버들끼리 수십 번의 API 호출을 주고받는 '내부망 횡단 통신'을 지리적 방위(동-서)에 비유한 개념이다.
  2. 가치: 전체 네트워크 트래픽의 80% 이상을 차지할 만큼 방대해졌으나, 과거에는 "내부망은 모두 안전한 아군"이라는 착각 속에 방화벽 없이 활짝 열어두어 랜섬웨어나 해커의 수평 확산(Lateral Movement)에 속수무책으로 당하는 최악의 사각지대였다.
  3. 기술 체계: 이를 통제하기 위해 제로 트러스트(Zero Trust) 사상을 기반으로, 스위치 단에서 가상으로 쪼개는 마이크로 세그멘테이션(VMware NSX)이나, 컨테이너 사이의 통신을 깐깐하게 암호화하고 차단하는 서비스 메시(Istio) 기술이 필수적으로 도입되고 있다.

Ⅰ. 데이터센터 트래픽의 지각 변동: N-S에서 E-W로

현대의 데이터센터는 밖으로 나가는 데이터보다 안에서 도는 데이터가 압도적으로 많다.

  1. North-South (북-남) 트래픽의 시대:
    • 사용자가 스마트폰(인터넷, 북쪽)에서 사내 웹 서버(데이터센터, 남쪽)로 접속해 화면을 받아가는 통신이다.
    • 이 길목에는 값비싼 외부 방화벽과 IPS(침입 방지 시스템)를 두꺼운 철문처럼 세워두고 모든 패킷을 엑스레이 검사하며 철저히 통제했다.
  2. East-West (동-서) 트래픽의 폭발적 증가:
    • 모놀리식 덩어리가 마이크로서비스(MSA)로 잘게 쪼개졌다.
    • 이제 고객이 "장바구니 담기" 버튼을 한 번 누르면(N-S 1회), 사내망 내부에서는 쪼개진 API 게이트웨이 $\rightarrow$ 장바구니 서버 $\rightarrow$ 재고 서버 $\rightarrow$ 회원 DB 끼리 서로 안부를 묻는 횡적 통신(East-West)이 순식간에 20번 이상 발생한다.
    • 빅데이터 하둡(Hadoop) 클러스터에서 노드끼리 블록을 주고받는 데이터 셔플링 역시 막대한 East-West 트래픽이다.

📢 섹션 요약 비유: 옛날 공장은 외부에서 트럭(N-S 트래픽)이 완제품 재료를 한 번에 실어 오고 실어 나갔습니다. 하지만 현대식 분업 공장(MSA)은 외부 트럭은 1대만 오더라도, 공장 안에서 수십 대의 소형 지게차(E-W 트래픽)가 1번 컨베이어 벨트, 2번 작업대, 창고 사이를 미친 듯이 쉴 새 없이 오가며 조립을 완성하는 거대한 개미굴 시스템입니다.

Ⅱ. 부드러운 속살: 내부망 방치와 랜섬웨어의 먹잇감

경비원(외부 방화벽)은 정문만 지킬 뿐, 복도에는 CCTV조차 없었다.

  1. 평평한 네트워크 (Flat Network)의 공포:
    • 수많은 기업이 편의를 위해 내부 서버 1,000대를 방화벽 없이 하나의 스위치(VLAN)에 다 물려놓았다. "다 우리 직원들이고 우리 서버니까 믿어도 돼"라는 안일함 때문이다.
  2. 수평 확산 (Lateral Movement) 공격:
    • 해커가 피싱 메일 하나로 영업팀 대리의 PC 1대를 감염시켰다 (초기 침투).
    • 해커는 이 PC를 발판으로 삼아, 방화벽이 없는 사내망의 사각지대(East-West)를 마음껏 헤집고 다닌다. 인사팀 서버로 넘어가고, 결국 최고 권한이 있는 액티브 디렉토리(AD) 서버나 핵심 DB까지 차례대로 감염시킨 뒤 전체 파일을 암호화해버린다(랜섬웨어 사태).
    • 정문을 지키는 외부 방화벽은 이 모든 내부 참극을 단 1바이트도 눈치채지 못한다.

📢 섹션 요약 비유: 궁궐 외곽 성벽(정문)은 20미터 철옹성으로 지어놓고, 막상 궁궐 안의 왕의 침소, 금고, 주방 사이에는 문짝(내부 방화벽)을 하나도 달아놓지 않은 황당한 구조입니다. 첩자(랜섬웨어) 1명이 담장을 몰래 넘어오기만 하면, 궁궐 내부를 제집 앞마당처럼 휘젓고 다니며 모든 보물을 하룻밤 새 싹 쓸어갈 수 있는 치명적 약점입니다.

Ⅲ. 제로 트러스트와 마이크로 세그멘테이션 방어막

내부에서도 아무도 믿지 마라. 숨 쉬는 모든 구간에 벽을 쳐라.

  1. 내부 방화벽(Internal Firewall)의 한계:
    • 1,000대의 서버 사이에 모두 하드웨어 방화벽 기계를 사서 꽂는 것은 천문학적인 비용이 들고 트래픽 병목(속도 저하)으로 서버가 멈춰버린다.
  2. 마이크로 세그멘테이션 (Micro-Segmentation):
    • 기계(하드웨어)로 막는 것을 포기하고, 소프트웨어로 가상의 방탄유리를 친다.
    • VMWare NSX 같은 기술을 쓰면 가상머신(VM) 하나하나의 OS 커널 단에 '미니 방화벽'이 씌워진다.
    • A 컨테이너가 바로 옆의 B 컨테이너에게 말을 걸 때조차도, 이 미니 방화벽이 튀어나와 "너 인사팀 맞지? 재무팀 컨테이너 찌르지 마 차단(Drop)!"이라며 East-West 통신을 아주 잘게 쪼개어(Micro) 통제한다.
  3. 서비스 메시 (Service Mesh) 암호화:
    • 방화벽을 치는 것에 더해, 쿠버네티스의 Istio 같은 도구는 컨테이너끼리 주고받는 East-West 트래픽 자체를 서로 누군지 철저히 인증하고 통신 내용을 암호화(mTLS)해 버린다. 해커가 중간에서 엿듣거나 조작하는 것을 원천 봉쇄한다.

📢 섹션 요약 비유: 회사 복도마다 실제 경비 아저씨(하드웨어 방화벽)를 세워두는 건 돈이 너무 많이 드니까, 아예 모든 직원의 목에 '스마트 AI 신분증(마이크로 세그멘테이션)'을 걸어줍니다. 영업팀 직원이 회계팀 방문 손잡이를 잡으려 하면 신분증이 찌릿! 하고 전기 충격을 줘서 물리적으로 접근을 막아버리는(통신 차단) 1:1 밀착형 최첨단 내부 보안 통제 시스템입니다.