통신 서비스 사업자를 위한 사이버 보안
고성능 네트워크 트래픽
통신 서비스 사업자(CSP)는 네트워크 보안에 어려움을 겪고 있습니다. 통신 네트워크는 종류가 많고 전 세계적으로 분산되어 있으며, 온프레미스 데이터 센터, 퍼블릭/프라이빗 클라우드 배포, 오프라인 리테일 매장까지 아우릅니다. 이러한 시설은 기업 광역 네트워크(WAN)에 연결된 게스트 무선 네트워크와 사물 인터넷(IoT) 기기가 있는 경우가 많습니다.
통신 서비스 사업자에게 사이버 보안은 가장 큰 걱정거리입니다. 모든 고객 트래픽은 기업의 데이터 센터를 거치기 때문에 공격하기에 가장 좋은 타깃이 됩니다. 사이버 범죄자는 오프라인 리테일 매장의 POS 시스템도 노리는 경우가 많습니다. CSP는 자신에게 맡겨진 민감한 데이터를 관련 표준(예: 결제 카드 산업 데이터 보안 표준(PCI DSS), 도입 예정인 PCI 소프트웨어 보안 프레임워크(SSF))에 따라 보호해야 할 뿐만 아니라, 고객에게 제공하는 서비스를 저해하기 위한 공격도 방어해야 합니다. 이 목표를 달성하려면 네트워크 성능과 고객 경험에 부정적인 영향을 미치지 않는 포괄적인 보안과 중앙으로 집중된 가시성이 필요합니다.
통신 서비스 사업자(CSP)의 사무실 네트워크는 운영에 반드시 필요하고, 엄청난 양의 민감한 정보가 저장되어 있습니다. 고객에게서 수집한 결제 카드 및 청구 정보가 이 네트워크를 통해 이동하고 저장됩니다. 고객의 트래픽은 데이터 센터를 통해 라우팅 및 처리되어, 공격자가 액세스 권한을 얻으면 대량의 귀중한 정보를 넘겨주게 됩니다. 기업은 이 모든 데이터를 보호하고 관련 규정을 준수할 능력이 있어야 합니다.
그러나 CSP는 사이버 위협은 데이터 유출에만 노출된 것이 아닙니다. 분산형 서비스 거부(DDoS) 공격이나 랜섬웨어 감염으로 인해 중요한 서비스가 중단될 수 있습니다. 그 과정에서 엔터프라이즈 네트워크를 해킹한 공격자가 네트워크에서 인터넷에 연결된 모니터링 기기를 익스플로잇하고 악용할 수 있습니다.
많은 CSP가 디지털 혁신으로 인해 기존 회사 데이터 센터는 물론이고, 퍼블릭 및 프라이빗 클라우드까지 포함하도록 WAN을 확장했습니다. 이런 이질적인 네트워크 환경을 보호하려면 완전히 통합된 포괄적 사이버 보안 솔루션이 필요합니다. FortiManager, FortiSIEM및 FortiAnalyzer를 사용하는 사이버 보안팀에서는 네트워크 전체를 아우르는 중앙 집중적 가시성과 컨트롤을 얻을 수 있으며, 쉽게 규정 준수 현황을 확인 할 수 있습니다. FortiClient 및 FortiEDR(엔드포인트 탐지 및 대응)은 직원 워크스테이션과 POS 시스템 등에 지능적 통합 엔드포인트 보안 솔루션을 제공합니다. FortiWeb 및 FortiNAC는 웹사이트 보안과 자동 신원 인증, 네트워크에 연결된 사물 인터넷(IoT) 기기의 취약성 스캔을 제공하고 FortiAuthenticator는 ID 관리를 단순화합니다.
CSP는 포티넷 솔루션의 다음과 같은 기능으로 복잡하고 분산된 네트워크 보안의 부담을 덜 수 있습니다.
PCI DSS(결제 카드 산업 데이터 보안 표준)는 통신 서비스 사업자(CSP)에게는 큰 고민거리입니다. 리테일 매장은 전국에 흩어져 있기 때문에 소비자 결제 카드 데이터를 추적하고 보호하는 과정이 복잡합니다. 새로운 PCI 소프트웨어 보안 프레임워크(SSF)가 공개되면 이러한 요건은 더욱 엄격히 적용되고, 규정을 준수하면서 그 상태를 유지하는 과정의 복잡성이 커질 것입니다.
규정을 준수하고 그 상태를 유지하려면 이를 위한 통합적이고 계획적인 전략이 필요합니다. 많은 기업이 규제 요건에 맞춰 보안 컨트롤을 구현하고자 합니다. 이런 노력은 대개 기본 구조 없이 포인트 보안 솔루션이 어지럽게 흩어지는 결과로 끝나고 실질적 보안 혜택은 거의 없거나 전혀 발생하지 않습니다.
리테일 매장으로 구성된 회사 네트워크가 확장되고 PCI 요건이 복잡해질수록, 규정 준수 상태를 유지하고 입증하는 데 필요한 네트워크 전체적 가시성과 중앙 집중형 관리는 달성하기 어렵게 됩니다. 디지털 혁신 이니셔티브는 IT와 보안팀의 부담을 가중합니다. 새로운 기기가 네트워크에 추가되고 회사의 디지털 영역이 클라우드로 확장되기 때문입니다. 게다가 클라우드 컴퓨팅의 성장도 이런 현상을 더욱 악화합니다. 기업에서는 클라우드 인프라에서 처리되고 저장되는 보호 대상 데이터를 적절히 보호하고 액세스 권한을 관리해야 하는데, 이를 완전히 통제할 수는 없습니다.
포티넷 시큐리티 패브릭을 사용하는 CSP는 PCI DSS/SSF 및 다른 규정 준수 영역에 필요한 중앙 집중형 가시성과 컨트롤을 얻을 수 있습니다. 시큐리티 패브릭에는 패브릭 커넥터 12개, 패브릭 애플리케이션 프로그래밍 인터페이스(API) 135개 이상이 포함되어 있으며, 타사 통합이 기본으로 제공됩니다. 위협을 공유하는 30개 이상 기업과 협업하고, 타사 공급업체 제품 100개 이상과 통합된 개방적 API 에코시스템을 통해 모든 보안 솔루션에 간편한 통합과 중앙 집중형 관리를 지원합니다.
포티넷 시큐리티 패브릭이 제공하는 보안 통합은 다음과 같이 CSP를 위한 규정 준수 관련 기능을 다양하게 제공합니다.
통신 서비스 사업자(CSP) 지점에서는 빠르고 안정적인 확장형 네트워크 연결에 액세스할 수 있어야 합니다. 리테일 매장에서는 수시로 고객을 위한 문제를 해결하고 점검이 필요하므로, 고객 데이터에 신속하게 액세스하고 안정적이고 신뢰할 수 있는 네트워크 연결이 필요한 테스트가 가능해야 합니다.
기존의 다중 프로토콜 레이블 스위칭(MPLS) 회선을 통해 이 연결을 배포하는 데는 큰 비용이 들고, 솔루션도 유연하지 못합니다. 그에 비해, 소프트웨어 정의 광역 네트워크(SD-WAN)는 MPLS에 안정성을 보장하면서도 광대역 연결을 통해 운영됩니다. SD-WAN은 여러 가지 전송 미디어 사용을 최적화함으로써 총소유비용(TCO)은 낮추고 연결 속도는 높입니다. 네트워크 인프라를 최적화하면 네트워크 성능이 개선되고, 엔터프라이즈 데이터 센터에서 부하가 감소해 운영 효율이 향상됩니다. 따라서 CSP는 서비스 수준 계약(SLA)을 준수하면서도 운영 경비(OpEx)를 최소화할 수 있습니다.
SD-WAN을 배포할 때는 추가적 보안 프로비저닝이 필요하다는 것을 고려해야 합니다. SD-WAN 기능을 제대로 사용하려면 네트워크 엣지에 보안을 배포해야 해서, 결과적으로 여러 개의 포인트 제품을 사용하게 됩니다. 포티넷 Secure SD-WAN은 그렇지 않습니다. Secure SD-WAN은 시중의 다른 솔루션과 달리, 강력한 SD-WAN 위협 보호를 포함한 올인원 솔루션을 제공합니다. 내장된 차세대 방화벽(NGFW)이 L3~L7까지 보안 컨트롤을 제공하고, 업계 최초의 SD-WAN 전용 애플리케이션 집적 회로(ASIC) 칩이 탑재된 어플라이언스로 업계 최고의 성능을 선보입니다. 또한, 포티넷 Secure SD-WAN 어플라이언스에는 통합 침입 방지 시스템(IPS)이 내장되어 있어서, 지점에서 완전한 트래픽 검사가 가능합니다. 트래픽을 목적하는 대상으로 직접 라우팅해서 보안을 해치지 않고 (특히, 클라우드에 바인딩된 트래픽의) 네트워크 성능을 개선합니다.
포티넷 Secure SD-Branch는 포티넷 SD-Branch로 지점 보안을 확장하기 위한 기반을 제공합니다. 포티넷 SD-Branch는 인터넷에서 스위칭 레이어까지 지점에서 보안 인프라의 가시성 및 관리 기능을 한 곳에서 제공합니다. 보안 관제의 효율이 향상되며, 보안 컨트롤의 적용과 규정 준수 활동 데이터 수집을 간단히 처리할 수 있고, 엔터프라이즈 WAN의 가시성과 보안이 개선됩니다. CSP는 오버헤드를 낮추고 OpEx를 최적화할 수 있습니다. 포티넷 SD-Branch에서 FortiAP무선 액세스 포인트는 비즈니스 및 게스트 네트워크에 안전한 고성능 네트워크 연결을 제공하고, FortiNAC네트워크에 연결된 모든 기기에 자동 식별 및 액세스 제어를 지원합니다.
포티넷 Secure SD-WAN이 제공하는 안정적이고 안전한 네트워크 연결을 사용하는 지점에서는 대역폭 사용량, 가용성, 환경 품질에 대한 걱정 없이 별도의 전화 서비스 대신 VoIP(Voice over IP)를 배포할 수 있습니다. 이때 FortiVoice는 포티넷 SD-Branch에 내장된 스위칭 및 액세스 제어 기능을 사용하여 다른 비즈니스와 공용 Wi-Fi 네트워크와 분리할 수 있고, 쉽게 구성할 수 있는 유연한 VoIP 솔루션을 제공합니다. 네트워크 장애가 발생했을 때 연결을 유지하기 위해 FortiExtender가 3G/4G/LTE/5G 백업 솔루션을 제공합니다.
CSP는 성능 및 보안 기준을 충족하고, 다음과 같은 기능을 제공하는 네트워크 솔루션을 선택해야 합니다.
포티넷 SD-Branch는 CSP가 다음과 같은 기능을 사용하여 중앙 집중형 보안 가시성과 관리 기능을 지점에까지 확장하도록 지원합니다.
통심 서비스 사업자(CSP)는 수시로 멀웨어 공격의 표적이 됩니다. CSP의 네트워크를 거점으로 삼아 고객과의 신뢰 관계를 이용해 고객에게까지 멀웨어를 확산하는 데 이용합니다. CSP는 네트워크에서 움직이는 멀웨어를 탐지하고 차단할 수 있어야 합니다. 그러나 FortiGuard Labs의 분석에 따르면, 매일 탐지되는 새로운 멀웨어의 40%가 제로데이 멀웨어이거나 처음으로 발견된 멀웨어입니다.
지능형 위협 보호는 다음과 같은 기능을 포함한 다계층 방어가 필요합니다.
FortiGuard Labs는 하루에 100억 개 이상의 보안 이벤트를 분석하여 얻은 데이터를 활용하여 빠르게 위협을 수집, 분석하고 매우 정확하게 분류합니다. AI 및 ML을 활용하여 멀웨어 서명을 작성하고, 포티넷 시큐리티 패브릭 전체에 게시합니다. 포티넷 시큐리티 패브릭을 통해 기업 네트워크를 전체적으로 통합하면 보안팀에서 보안 오케스트레이션, 자동화 및 대응(SOAR)의 최신 기능을 활용할 수 있습니다.
CSP의 네트워크는 넓게 분산되어 있어서 알려지지 않은 위협이 액세스 권한을 얻을 수 있는 빈틈이 여러 곳 있습니다. 예를 들어 공용 Wi-Fi, 모바일 기기, 연결된 사물인터넷(IoT) 기기 등이 있습니다. FortiGate 차세대 방화벽(NGFW)에서 탐지한 의심스러운 콘텐츠는 네트워크로 보내기 전에 FortiSandbox에 전달해 (SSL/TLS 콘텐츠 복호화를 포함한) 격리, 검사 절차를 거칩니다. FortiSandbox에서 생성한 위협 인텔리전스는 포티넷 시큐리티 패브릭을 통해 다른 보안 요소에 공유됩니다. FortiEDR(엔드포인트 탐지 및 대응) 지능형 엔드포인트 보호는 용량을 많이 차지하지 않고 높은 가용성을 보장하는 지능적 엔드포인트 보호 기능을 제공해, 비즈니스에 중요한 시스템도 보호할 수 있습니다.
물론, 사이버 위협은 외부 공격자에게만 국한되지 않습니다. FortiDeceptor를 사용하는 기업은 네트워크에 대한 액세스 권한을 얻은 악의적 내부자나 공격자를 찾아낼 수 있습니다. FortiInsight의 사용자 및 엔터티 동작 분석(UEBA) 기능은 엔드포인트와 사용자에게서 기업을 위협할 만한 비정상적이거나, 규정을 위반하거나, 의심스러운 동작을 찾아내는 데 도움을 줍니다.
클라우드에서는 중앙 집중적 가시성과 일관적인 보안 구성 관리를 구현하기가 복잡합니다. 클라우드 공급업체마다 서로 다른 보안 컨트롤과 인터페이스를 제공하기 때문입니다. 클라우드를 보호하려면 온프레미스와 클라우드 배포에 대한 가시성을 한 곳에서 제공해야 하고, 멀티 클라우드 환경에서 클라우드 기반 애플리케이션에 일관적 보안 및 정책 관리를 제공할 보안 솔루션이 필요합니다.
멀티 클라우드 네트워크를 보호하는 첫 단계는 네트워크 전체에 대한 가시성과 중앙 집중적 구성 관리를 확보하는 것입니다. 포티넷 시큐리티 패브릭은 주요 클라우드 공급업체 및 250개 이상의 타사 보안 솔루션과 기본 통합됩니다. 각 클라우드 배포 사이의 사일로를 무너뜨려, 네트워크 전체에 대한 가시성을 통합적으로 제공하고 보안 정책을 적용할 수 있습니다. 중앙 집중적 컨트롤이 있으면 보안팀에서도 각 클라우드 서비스 공급업체가 제공하는 보안 설정을 수동으로 구성할 필요가 없습니다.
기업의 클라우드 배포에 대한 완전한 가시성을 확보하고 나면 이제 클라우드 기반 애플리케이션을 보호해야 합니다. 결제 카드 산업 데이터 보안 표준(PCI DSS) 등의 규정에서는 웹 애플리케이션 방화벽(WAF)을 요구합니다. PCI DSS 요건 6.6.에 따르면, DevOps 환경에 WAF는 필수입니다. 단, 기업에서 애플리케이션을 수정할 때마다 코드 전체를 검토하는 경우만 예외입니다.
따라서 WAF는 회사 클라우드 보안 배포에서 중요한 부분을 차지합니다. FortiWeb WAF는 물리적 어플라이언스, 가상 머신(VM) 또는 서비스형 소프트웨어(SaaS) 형태로 기업 웹사이트, 결제 포털, 웹 API를 클라우드에서 보호합니다.
또한, 클라우드 배포에 대한 액세스 권한을 전체적으로 관리해야 합니다. FortiCASB와 FortiCWP는 클라우드 네이티브 액세스 제어와 워크로드 보호를 제공함으로써, 멀티 클라우드 배포에서 가시성과 보안 관리를 단순화합니다. 마지막으로 FortiGate 차세대 방화벽(NGFW)은 클라우드 네이티브 서비스형 인프라(IaaS) 폼팩터를 통해 모든 배포 환경에 확장할 수 있는 보안을 제공합니다.
기업에서 보호해야 할 클라우드 기반 자산은 애플리케이션과 데이터 스토리지 외에도 많습니다. 클라우드 기반 SaaS 이메일 솔루션(예: Google Mail, Microsoft Office 365)을 활용하는 기업도 늘어나고 있습니다. FortiMail은 SaaS 및 온프레미스 이메일 배포를 동일한 이메일 게이트웨이로 보호하도록 지원합니다.
요컨대, 포티넷 다이나믹 클라우드 보안 솔루션에는 멀티 클라우드 환경에서도 보안을 제공하는 데 필요한 기능이 포함되어 있습니다.
고객은 CSP 네트워크에서 높은 성능을 기대합니다. 리테일 매장에서 제공하는 무선 액세스를 사용하든, 회사 데이터 센터를 통해 트래픽이 라우팅되기를 기다리든 마찬가지입니다. 보안 기술로 인해 네트워크 성능이 저하된다면 고객 경험에 부정적 영향을 미칩니다.
CSP의 방대한 네트워크를 보호하려면 여러 가지 보안 요소가 필요합니다. 보안 솔루션을 통합하지 않으면 보안 워크플로를 수동으로 관리해야 합니다. 이러한 운영 비효율은 위협 탐지, 예방, 대응에 지연을 일으키고, 중복을 발생시키며, 운영 경비(OpEx)도 늘어나게 됩니다.
CSP는 온프레미스 데이터 센터, 클라우드 배포, 인터넷에 연결된 POS 시스템이 있는 리테일 매장 등, 다양한 네트워크가 있습니다. 이런 이질적 네트워크를 보호하려면 네트워크 전체에 대한 가시성이 필요합니다. 그러나 복잡하고 지능적인 공격을 차단하기 위해 포인트 보안 제품을 배포하면 가시성을 저해하는 사일로만 생길 뿐입니다.
CSP 데이터 센터와 리테일 매장에 배포된 POS 기기는 사이버 범죄자에게는 군침 도는 표적입니다. 이런 기기에서 데이터를 훔치거나, 중요한 서비스에 대한 분산된 서비스 거부(DDoS) 또는 랜섬웨어 공격으로 중요한 시스템이 중단되면 CSP가 서비스 수준 계약(SLA)을 준수하는 데 어려움이 생깁니다. 디지털 혁신으로 새로운 공격 벡터(예: 리테일 매장의 게스트 무선 네트워크, IoT 기기 배포)가 생겨나면 이런 위협을 차단하기가 더더욱 어려워집니다.
CSP는 오프라인 리테일 매장이나 온라인 포털을 통해 고객에게서 결제 카드 정보와 다른 민감한 데이터를 수집합니다. 이 민감한 데이터는 온프레미스 데이터 센터, 프라이빗/퍼블릭 클라우드, 서비스형 소프트웨어(SaaS) 애플리케이션 등, 기업 네트워크 곳곳에 저장, 처리됩니다. 기업 네트워크의 복잡성이 커지면서 규제 기준(예: PCI DSS)에 따라 이 데이터를 보호하는 것은 더욱 어려워졌습니다.
CSP는 고객 온보딩, 문제 해결, 민감한 사용자 데이터를 처리하는 원격 사무실이 여러 곳 있습니다. 이런 지점들은 민감한 데이터에 액세스하려는 공격자나 이를 발판으로 삼아 사무실 네트워크에 액세스하려는 공격자의 표적이 될 수 있습니다.
포티넷 시큐리티 패브릭은 250개 이상 타사 보안 솔루션에 기본적으로 통합되며, CSP가 네트워크의 모든 보안 요소에 대한 단일 대시보드 가시성과 구성 관리를 제공합니다. 위협 탐지 및 대응 속도를 높이면서도 클라우드 환경에서 일관된 보안 정책을 적용할 수 있습니다. 이런 긴밀한 통합을 통해 운영 경비(OpEx)를 최소화하면서 SLA를 준수할 수 있습니다.
포티넷 솔루션은 보안 오케스트레이션, 자동화 및 대응(SOAR)의 최신 기능을 지원합니다. CSP에서 전체적으로 보안을 강화할 수 있고, 기술을 갖춘 가용 인력의 효용을 극대화하여 리소스를 확대하는 한편 리소스 제약 문제를 해결할 수 있습니다. 중앙 집중적 보안 관리를 통해 네트워크 전체에 정책을 적용하고, 규제 기관, 최고위 경영진, 이사들을 위한 보고서를 자동 생성합니다.
FortiGuard Labs에서 제공하는 인공 지능(AI)과 머신 러닝(ML) 기반 위협 인텔리전스는 포티넷 시큐리티 패브릭을 통해 실시간으로 보안 기기에 전달됩니다. 기업 내 POS 시스템에서 클라우드 기반 인프라에 이르기까지, 네트워크 전체적으로 알려진 위협과 알려지지 않은 위협에 대한 종합적 보호를 제공합니다.
FortiGate 차세대 방화벽(NGFW)은 NSS Labs에서 제공하는 성능 테스트를 통해 업계에서 가장 지연이 낮다는 것이 입증되었습니다. 포티넷은 고효율 맞춤형 FortiGate 애플리케이션 집적 회로(ASIC)와 세계 최초의 소프트웨어 정의 광역 네트워크(SD-WAN) ASIC를 통해 WAN 엣지와 네트워크에 우수한 성능의 보안을 제공합니다. 게다가 SSL/TLS 암호화 검사 등의 고급 기능을 활성화하더라도 속도나 처리량 측면에서 네트워크 성능에 영향을 미치지 않습니다. 또한, FortiGate VM 시리즈는 패킷 가속화 기술(예: 데이터 평면 개발 키트(DPDK), 단일 루트 입력/출력 가상화(SR-IOV), Intel QuickAssist Technology(QAT)) 및 포티넷 가상 보안 처리 장치(vSPU) 기술을 결합하여 온프레미스, 프라이빗 클라우드, 퍼블릭 클라우드를 비롯한 CSP 데이터 센터에 필요한 최적의 성능을 제공합니다.