에이전트 기반 보안과 에이전트 없는 보안: 가장 좋은 접근 방식은 무엇일까요?
수년 동안 사이버 보안은 절충의 대상이었습니다.강력한 보안을 원하시나요?복잡성과 성능 저하에 대비하세요.간단한 접근 방식이 필요하신가요?가시성과 제어력을 포기할 준비를 하세요.
이것이 바로 에이전트 기반 보안과 에이전트 없는 보안에 대한 논쟁이 애초에 존재하는 이유입니다.
기존 보안 팀은 심층 보호와 운영 효율성 중 하나를 선택해야 했습니다.에이전트 기반 솔루션은 세분화된 가시성과 적용 기능을 제공하지만 리소스 오버헤드가 따릅니다.에이전트리스 보안은 워크로드에 미치는 영향을 최소화하지만 심층적인 인사이트와 정밀한 제어가 부족합니다.
그렇다면 현대 사이버 보안에 적합한 접근 방식은 무엇일까요?자세히 설명해 보겠습니다.
사이버 보안 요원: 장단점
사이버 보안 에이전트를 워크로드에 직접 배포하는 것은 보안을 강화하는 강력한 방법이 될 수 있습니다.하지만 여기에는 장단점이 따르기도 합니다.
워크로드에 직접 에이전트로 보안 솔루션을 배포하면 이를 필요로 하는 리소스에 최대한 가까운 수준의 보호를 제공하는 것입니다.즉, 다음과 같은 의미입니다.
- 보안 강화. 신뢰 경계가 필요한 곳에 있어 격차가 발생할 위험이 줄어듭니다.
- 세분화된 가시성. 애플리케이션이 어떻게 작동하는지 정확히 확인하고, 프로세스를 추적하고, 워크로드 자체에서 바로 심층 분석을 수집할 수 있습니다.
- 더 나은 위협 탐지. 커널 수준 (시스템의 핵심) 에서 얻은 인사이트는 에이전트리스 솔루션이 놓칠 수 있는 위협을 식별하는 데 도움이 됩니다.
물론 워크로드에 에이전트를 추가하는 데 단점이 없는 것은 아닙니다.
- 시스템 리소스를 사용합니다. 모든 에이전트를 실행하려면 약간의 CPU와 메모리가 필요합니다.
- 트래픽 관리 고려 사항. 상담원은 줄을 서서 트래픽을 검사하거나 (이로 인해 속도가 느려질 수 있음) 대역 외 모드에서 실행해야 합니다. 병목 현상은 피하지만 가시성이 제한될 수 있습니다.
일부 팀은 리소스 낭비를 피하기 위해 에이전트가 필요 없는 보안을 선호합니다.대신 클라우드 서비스, 네트워크 스위치 또는 API를 사용하여 트래픽 흐름 데이터를 수집하고 정책을 적용합니다.
이 방법을 사용하면 오버헤드를 줄일 수 있습니다.하지만 가시성과 제어력도 떨어집니다.워크로드에 에이전트가 없으면 프로세스를 모니터링하거나 위협을 조기에 탐지하거나 정확한 정책을 적용하기가 더 어렵습니다.
결국 결정은 절충안으로 귀결됩니다.워크로드에 에이전트를 배포하기로 선택한 경우 에이전트의 경량화도 결정해야 합니다.잘 설계되고 효율적인 에이전트는 워크로드 속도 저하 없이 심층 보안의 모든 이점을 제공할 수 있습니다.
OS에서 보안 에이전트를 어디에 배포해야 할까요?
많은 애플리케이션 소유자에게 에이전트는 위험하다고 느낄 수 있습니다.대부분의 클라우드 및 데이터 센터 호스트에는 이미 여러 에이전트가 실행 중이므로 다른 에이전트를 추가하면 문제가 발생합니다.
- 기존 에이전트와 충돌할 수 있나요?
- 리소스를 너무 많이 사용하면 시스템 속도가 느려지나요?
- 에이전트가 실패하면 어떻게 되나요? 에이전트로 인해 신청이 중단될 수 있나요?
상담원이 장애를 일으켜 중요한 워크플로우가 중단되는 것을 원하는 사람은 없습니다.
에이전트는 운영 체제 (OS) 내에서 다음 두 위치 중 하나에 배포할 수 있습니다.
- 사용자 공간: 애플리케이션이 있는 곳
- 커널 공간: OS의 핵심, 시스템 라이브러리, 메모리 관리, 장치 드라이버 및 보안 구성 요소 처리
사용자 공간의 상담원: 더 안전하고 위험이 적은 옵션
사용자 공간에 보안 에이전트를 배포하는 것은 중요한 시스템 프로세스를 방해하지 않으면서 보안을 개선할 수 있는 위험성이 낮은 방법입니다.
사용자 공간은 애플리케이션이 실행되는 곳입니다.모든 것이 원활하게 작동하도록 하는 핵심 OS 기능과는 별개입니다.이렇게 하면 에이전트가 네트워크 트래픽 경로에서 대역 외 상태가 되어 트래픽 병목 현상이 발생할 위험을 피할 수 있습니다.
그러나 이 접근 방식의 단점은 커널 공간 깊숙한 곳에서 프로세스의 세부적인 세부 정보를 볼 수 없다는 것입니다.또한 심층 검사를 위해 트래픽을 가로채기도 더 어려워집니다.
커널 공간의 에이전트: 성능은 더 강하지만 위험은 더 커짐
커널 공간에 에이전트를 배치하면 애플리케이션 및 시스템 리소스에 대한 심층적인 가시성이 제공됩니다.이를 통해 보안팀은 프로세스를 모니터링하고 네트워크 트래픽을 실시간으로 검사할 수 있습니다.
인라인 배포를 통해 사용자 공간 에이전트가 제공할 수 있는 것 이상의 심층적인 패킷 검사 및 고급 보안 제어를 얻을 수 있습니다.
하지만 이 힘에는 위험이 따릅니다.에이전트는 OS의 핵심에서 작동하기 때문에 장애가 발생하면 워크로드가 중단되고 트래픽이 차단되거나 시스템이 위협에 노출될 수 있습니다.
이는 단순한 가설이 아닙니다. 지난 7월에 있었던 세간의 이목을 끄는 운영 중단은 커널 스페이스 에이전트의 실패로 인해 발생했으며, 이는 잘못 관리되는 배포의 위험성을 입증합니다.
Illumio VEN: 가벼운 페일 세이프 에이전트
Illumio의 가상 적용 노드 (VEN) 는 효율성과 보안을 위해 설계된 경량 에이전트입니다.
복잡성을 가중시키는 대신 운영 체제에 내장된 방화벽과 함께 작동하여 트래픽을 방해하지 않고 적용을 자동화합니다.
VEN의 작동 방식
Illumio는 OS의 기존 네트워크 보안 도구를 대체하지 않고 강화합니다.리눅스의 iptables, nftables, 윈도우의 윈도우 필터링 플랫폼, macOS의 ALF 등, Illumio의 VEN 에이전트는 이미 있는 것을 간단하게 관리합니다.
Illumio의 에이전트는 사용자 공간에서 실행되기 때문에 트래픽과 일맥상통하거나 애플리케이션 흐름을 가로채지 않습니다.대신 OS 방화벽에서 인사이트를 수집합니다.이를 통해 환경 전반의 모든 애플리케이션 종속성을 명확하게 파악할 수 있습니다.
또한 VEN은 레이블 기반 정책 모델을 사용하여 사람이 읽을 수 있고 쉽게 관리할 수 있는 보안 정책을 만듭니다.이러한 정책을 각 OS 방화벽의 올바른 구문으로 변환합니다.이를 통해 복잡성을 가중시키지 않고도 원활하게 적용할 수 있습니다.
기본적으로 Illumio의 에이전트는 안테나처럼 작동합니다.트래픽을 가로채거나 복사하지는 않지만 OS 방화벽에서 데이터를 수집하여 Illumio Core에 다시 보고합니다.

그런 다음 Illumio Core는 방화벽을 구성하는 에이전트에 정책 지침을 다시 보냅니다.이 접근 방식은 다음을 보장합니다.
- 애플리케이션 성능에 영향을 주지 않음
- 에이전트 장애 시 보안 허점 없음
- 애플리케이션 종속성에 대한 지속적인 가시성
Illumio는 기존 OS 방화벽을 대체하는 대신 자동화하여 기존의 인라인 적용의 위험 없이 가볍고 효과적이며 복원력이 뛰어난 보안 솔루션을 제공합니다.
Illumio의 페일 세이프 접근 방식
일부 솔루션은 보안 에이전트를 커널 공간 깊숙이 배치하여 시스템 프로세스에 직접 액세스하고 트래픽을 가로채어 세분화된 보안 제어를 제공합니다.
좋은 생각처럼 들릴 수도 있지만, 이렇게 하면 중복 적용 지점이 생겨서 트래픽이 한 개가 아닌 두 개의 방화벽을 통과하게 됩니다.
커널 우주 요원들도 교통 체증 때문에 고장이 나면 심각한 결과를 초래할 수 있습니다.
- 에이전트의 경우 실패 열기보안은 사라지고 시스템은 그대로 노출됩니다.
- 만약 그렇다면 실패 닫힘, 모든 트래픽이 중단되어 애플리케이션 및 비즈니스 운영이 중단됩니다.
Illumio의 경량 에이전트 모델은 이러한 위험을 제거합니다.에이전트 오류는 사용자 공간에서 실행되기 때문에 보안이나 트래픽에 영향을 주지 않습니다.OS 방화벽은 최근에 알려진 규칙으로 활성 상태를 유지하므로 지속적인 보호가 보장됩니다.

강력하고 위험도가 낮은 에이전트가 최선의 선택입니다.
현대 사이버 보안의 핵심은 적절한 균형을 찾는 것입니다.즉, 속도 저하 없이 필요한 곳에 신뢰 경계를 정확히 배치하는 것을 의미합니다.
Illumio의 에이전트 기반 접근 방식은 워크로드 속도 저하 없이 강력한 보안이라는 두 가지 장점을 모두 제공합니다.보호와 성능 사이에는 절충점이 없습니다.상담원 장애가 비즈니스에 지장을 줄 위험도 없습니다.
Illumio는 대역 외에서 실행되고 가볍고 수동적인 상태를 유지하기 때문에 엄격한 네트워크 규칙이 아닌 비즈니스 요구 사항에 따라 명확한 가시성과 관리하기 쉬운 보안 정책을 제공합니다.
실제로 작동하는 모습을 보고 싶으신가요? 오늘 저희에게 연락하세요 무료 상담 및 데모를 제공합니다.