커피숍 네트워킹 제공

네트워크 간소화와 더불어 안전한 원격 접속을 지원합니다.

지난 10년 가까이, 엔터프라이즈 IT 리더들은 두 가지 서로 다른 현실을 동시에 관리해 왔습니다. 우리는 사무실을 위한 ‘요새’를 구축했습니다. 방화벽, 엄격한 가상 LAN(VLAN), 값비싼 MPLS 회선으로 보호되는 요새 말이죠. 동시에, 원격 근무자를 위해 VPN과 최근에는 ZTNA(Zero Trust 네트워크 액세스) 솔루션으로 보호되는 ‘터널’을 구축했습니다.

이러한 병행 이니셔티브가 가치를 제공하긴 했지만, 결과적으로 단절된 현실을 초래했습니다. 원격 사용자의 네트워크 경험은 사무실에서 근무하는 사람의 경험과 근본적으로 다릅니다. 이로 인해 팀의 운영 효율이 떨어지고, 조직 전체의 보안 태세가 일관되지 않게 됩니다.

이제 이 두 흐름을 통합할 때입니다. 이제 지점을 데이터 센터처럼 관리하는 것을 멈추고, 커피숍처럼 관리할 때입니다.

Gartner는 이러한 변화를 설명하기 위해 “커피숍 네트워킹”이라는 용어를 만들었습니다. 이 전제는 단순해 보이지만 속임수가 있습니다. 직원 전체에게 집이든, 지점 사무실이든, 동네 카페든 상관없이 필요한 모든 애플리케이션에 안전하게 접근할 수 있는 간단하고 빠른 인터넷 연결을 제공하라는 것이죠.

이 접근법은 더 이상 쓸모없는 ‘신뢰된 LAN’ 개념을 버리고, 대신 공용 인터넷을 주요 기업 WAN으로 활용합니다. 이를 통해 인프라 비용을 크게 줄이면서도 보안을 실제로 강화할 수 있죠.

겉보기에는 단순해 보이지만, 커피숍 네트워킹을 구현하려면 어느 정도 계획이 필요합니다. 전략적 로드맵을 따르면 경영진은 네트워크 아키텍처를 단순화하고, 직원들에게 일관된 ‘인터넷 우선’ 경험을 제공할 수 있습니다.

“신뢰할 수 있는” 사무실의 역설

전통적으로 지점 보안은 인증을 위한 네트워크 접근 제어(NAC) 솔루션, 세분화를 위한 VLAN, 그리고 권한 부여를 시행하는 네트워크 방화벽과 같은 로컬 어플라이언스 스택에 의존했습니다. 이러한 '개별' 관리 모델은 대규모로 지속 가능하지 않습니다. 현지 전문 지식이 필요하고 대규모로 업데이트를 자주 확인해야 합니다. 또한 사용자의 위치에 따라 보안 정책이 결정되는 취약한 환경을 조성합니다.

커피숍 모델은 다음과 같은 근본적인 질문을 제기합니다. 네트워크 자체의 보안에 의존하지 않고 모든 사용자를 위한 연결을 어떻게 확보할 수 있을까요?

여기서 등장하는 것이 SASE(Secure Access Service Edge)입니다. 이는 소프트웨어 정의 네트워킹과 보안 서비스를 통합하는 클라우드 기반 아키텍처죠. SASE 플랫폼의 핵심 요소 중 하나는 ZTNA이며, 이는 기본적으로 모든 사용자, 장치 및 위치를 신뢰할 수 없는 것으로 간주합니다. ZTNA가 원격 사용자를 위해 더 뛰어난 세분화된 ID 기반 제어를 제공한다면, 왜 그들이 사무실에 들어오는 순간 그걸 꺼버릴까요? ZTNA를 ‘항상 켜둔’ 상태로 유지하면, 사무실 네트워크는 그냥 멍청한 파이프가 됩니다. 스타벅스나 공항 라운지와 구별되지 않는 단순한 전송용 네트워크 계층일 뿐이죠.

SASE와 ZTNA, 그리고 다른 서비스형 네트워크(NaaS) 기능 및 메시 네트워킹을 활용해 네트워크 접근 방식을 현대화하면 다음과 같은 중요하고 즉각적인 이점을 얻을 수 있습니다.

• 단순성: 직원들은 더 이상 VPN을 켜고 끌 필요가 없습니다. 어디에서나 동일한 경험을 제공합니다.

• 민첩성: 새 지점 사이트는 전용 회선을 몇 달씩 기다릴 필요 없이 일반 브로드밴드만으로도 바로 구축할 수 있습니다.

• 비용 절감: 조직은 무거운 지점 하드웨어에 대한 자본 지출과 MPLS 운영 비용을 줄일 수 있습니다.

‘보이지 않는’ 보안 경험

역사적으로, '보안 강화'는 최종 사용자에게 더 많은 불편을 야기했습니다. 커피숍 모델은 이러한 역학 관계를 뒤집습니다. 사무실 네트워크를 신뢰할 수 없는 전송 계층으로 취급하면 역설적으로 직원에게 더욱 원활하고 일관적인 워크플로우를 제공할 수 있습니다.

기존 설정에서는 사용자 경험이 크게 변동합니다. 사무실에서는 직접 액세스할 수 있는 신뢰할 수 있는 LAN을 사용하지만, 집에서는 VPN 연결 및 백홀 트래픽 대기 시간으로 어려움을 겪습니다. 커피숍 모델에서 Zero Trust 에이전트는 균일한 연결 계층을 생성합니다. 에이전트는 항상 켜져 있으며, 백그라운드에서 인증 및 라우팅을 투명하게 처리합니다.

이는 두 가지 즉각적인 경험상의 이점을 제공합니다.

• 성능 형평성: 사용자가 본사에 있든 호텔에 있든, 트래픽이 중앙 데이터센터로 돌아가는 헤어핀 경로를 거치는 대신 글로벌 백본을 통해 애플리케이션으로 가장 직접적인 경로로 이동합니다.

• 선제적 지원: 보안 및 네트워킹 스택이 장치에 통합되어 있으므로 IT 팀은 사용자의 실제 디지털 경험을 파악할 수 있습니다. 해당 팀은 느린 기기 문제인지, 열악한 로컬 Wi-Fi인지, 애플리케이션 장애인지를 구분할 수 있으며, 종종 사용자가 티켓을 열기도 전에 문제를 해결할 수 있습니다.

자, 어떻게 시작해야 할까요? 3단계 접근 방식을 통해 구현을 간소화할 수 있습니다.

1단계: ID를 새로운 경계로 삼기

이 변화의 첫 단계는 신뢰하기 어려운 공용 네트워크로부터 보안 통신을 분리하는 것입니다. 우리는 클라우드 기반 인프라, 즉 ZTNA를 사용해 어느 위치에서든 사용자가 사설 애플리케이션과 인프라 대상에 안전하게 접근하도록 중개해야 합니다. VPN이나 방화벽 같은 엔드포인트를 네트워크 ‘위에’ 두는 방식 대신, ZTNA는 직원들에게 업무 수행에 필요한 정확한 수준의 접근만 제공하고 그 이상은 허용하지 않습니다.

에이전트를 쓰기 어려운 서드파티 외주 장비나 BYOD 같은 비관리 장치의 경우에는 에이전트 없이 동작하는 ZTNA를 활용할 수 있습니다. Cloudflare는 리버스 프록시 및 브라우저 격리를 사용하여 장치를 건드리지 않고도 컨텍스트 기반 제어(예: 위치 또는 시간 기반)를 시행합니다.

2단계: 인터넷을 기업의 기간망으로 활용하기

사용자가 에이전트로 보호되는 순간, 지점 네트워크 자체는 대폭 단순화될 수 있습니다. 목표는 무거운 하드웨어 중심 WAN에서 SD-WAN 연결의 진화를 대표하는 "가벼운 분기, 견고한 클라우드" 모델로 전환하는 것입니다.

이러한 인터넷 우선 아키텍처에서 지점 어플라이언스는 최소한의 작업만 수행합니다.

1. 기본 경로 선택: 이중 인터넷 연결(광섬유, 5G 또는 광대역)을 통한 트래픽 라우팅으로 복원성을 확보합니다.

2. 터널링: IPsec을 통해 프린터, IoT 장치 또는 서버와 같은 비사용자 트래픽을 가장 가까운 보안 클라우드 노드로 캡슐화합니다.

이를 통해 공용 인터넷을 모든 연결의 기반으로 활용할 수 있습니다. SD-WAN 장비 또는 MPLS 회선 대신 SASE 플랫폼을 통해 모든 사이트 간 트래픽을 라우팅하여 로컬 인터넷 연결을 사용하여 WAN을 확장합니다. 클라우드가 성능 최적화, 라우팅, 보안을 처리하고, 로컬 하드웨어는 단순한 범용 장비가 됩니다.

3단계: 헤드리스 장치 처리하기

커피숍 모델에 대한 주요 반론은 ZTNA 에이전트를 실행할 수 없는 프린터, WiFi 액세스 포인트 및 기타 IoT/OT 장치와 같은 "헤드리스"(비사용자) 장치의 현실성입니다. 가벼운 에지 장비의 가치가 바로 여기에서 드러납니다. 복잡한 로컬 VLAN을 구현하는 대신, WAN 에지에서 이러한 장치들을 비-ZTNA 세그먼트로 분리하고 트래픽을 클라우드로 터널링하여 필터링할 수 있습니다.

이를 통해 LAN 설계를 단순화할 수 있습니다. 가능한 한, ZTNA 장치(신뢰할 수 있는 사용자)와 비-ZTNA 장치(IoT 장치 및 게스트용)라는 두 가지 세그먼트만을 목표로 해야 합니다. 로컬 액세스 제어 목록(ACL) 관리를 중단하고 모든 트래픽 필터링을 클라우드 정책 엔진으로 전환합니다.

커피숍 네트워킹 간소화

커피숍 개념은 특정 벤더에 종속되지 않지만, 이를 구현하려면 네트워크 연결과 Zero Trust 보안을 단일 제어판으로 통합하는 SASE 플랫폼이 필요합니다. 바로 이 점이 Cloudflare의 차별점입니다.

Cloudflare One은 커피숍 네트워킹을 위한 모든 요소를 제공합니다. Cloudflare One은 단일 통합 플랫폼에서 ZTNA, NaaS, 보안 웹 게이트웨이(SWG), 서비스형 방화벽(FWaaS) 기능 및 디지털 경험 모니터링(DEM)을 제공합니다. 전역적으로 분산된 클라우드 네이티브 아키텍처를 기반으로 구축되어 모든 서버에서 모든 서비스를 실행하여 높은 복원력과 일관된 정책 적용을 보장합니다. 안전한 사무실과 안전하지 않은 원격 근무의 단절된 모델은 경계 기반 시대의 유물입니다. 커피숍 네트워킹 아키텍처를 도입하면 하이브리드 근무 환경에 맞춰 인프라를 조정할 수 있습니다. 레거시 하드웨어 비용을 절감하면서 사용자가 어디에서 작업하든 일관되고 안전한 환경을 제공할 수 있습니다.

기업 네트워크의 미래는 요새가 아닙니다. 안전한 인터넷 기반 보안 연결의 글로벌 메시 네트워크입니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.

작성자

Daniel Creed
Cloudflare Field CISO

핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

• 조직이 재택 근무 사용자와 사무실 사용자를 위한 별도의 네트워크를 피해야 하는 이유

• “커피숍 네트워킹”이 경험을 통합하고 운영을 간소화하는 방법

• 커피숍 네트워킹 구현을 간소화하는 3단계

관련 자료

• 커피숍 네트워킹 청사진

• 네트워킹의 미래

• 기업 네트워크는 이제 인터넷입니다