원격·분산환경 공격면 축소해 보안 위협 낮춰
[데이터넷] ZTNA 구현 기술 중 소프트웨어 정의 경계(SDP)가 최근 많은 관심을 받고 있다. SDP는 사용자 인증과 데이터 통신을 컨트롤 채널과 데이터 채널로 구분해 접속시키는 아키텍처 설계다. 미 국방성이 개발한 기술을 클라우드보안연합(CSA)이 이전받아 상용화한 모델과 구글이 ‘작전명 오로라’ 공격을 당한 후 사내 벤처 비욘드코프를 설립해 신원인증을 강화한 보안 접속 방법을 개발한 것으로 나뉜다.
둘 다 접속 전 사용자 신원과 기기를 인증한 후 보호되는 애플리케이션으로 암호화 통신을 통해 연결한다는 공통점이 있지만, CSA의 모델은 엔드포인트 관점, 비욘드코프는 서비스 관점에서 접근이라는 약간의 차이가 있다. CSA 모델은 엔드포인트에 에이전트를 설치해 SDP 게이트웨이를 통해 인증한 후, 보호되는 애플리케이션으로 VPN 암호화 통신을 한다. 에이전트 설치와 관리가 복잡하다는 단점이 있지만 보안 정책을 세밀하게 적용할 수 있다는 장점이 있다.
비욘드코프는 사내 임직원이나 파트너, 계약자, 고객 등 다양한 사람들을 권한에 따라 접속할 수 있도록 하며, 에이전트 없이 운영된다. 사용자의 신원을 확인한 후 프록시나 암호화 인터넷 통신을 통해 허용 된 애플리케이션으로만 접속하도록 한다. 에이전트가 필요 없어 간단하게 구현할 수 있지만 RDP·SSH 등 일부 프로토콜을 지원하지 못하는 경우가 있으며 구글이 라는 서비스 기업에 종속된다는 한계가 있다.
- SDP를 통한 제로 트러스트 구현 방법
- 보호해야 할 자산을 숨김
- 사용자·장치가 확인될 때까지 게이트웨이 차단
- 액세스하기 전 인증하는 비신뢰 기반 접속
- 제어 채널과 데이터 채널 분리
- TLS/TCP 핸드 셰이크 전 검증
- 세분화된 액세스 제어
- 양방향 상호 암호화 통신 - SDP의 이점
- 공격 표면 축소
- 클라우드 애플리케이션에 대한 향상된 보호
- 비즈니스·시스템 소유자에게 중앙 집중식 제어 제공
- 누구나, 어디서나, 승인된 모든 연결에 대한 가시성 확보
- 컨트롤 통합과 즉각적인 모니터링
- 총 소유 비용 감소
- 엔드포인트 침해 탐지 비용 절감
- 사고 대응 비용 절감
- 제어 통합을 위한 복잡성 감소
- 수많은 해커톤 대회서 해킹 당한 적 없음
(자료: 클라우드보안연합)
다양한 활용 가능한 SDP
SDP는 재택·원격근무, 망분리 환경에서 업무망 접속, IoT·스마트팩토리 등 다양한 분야에서 활용가능하다. 엠엘소프트는 SDP 활용 사례를 다음과 같이 소개했다.
- SDP를 통한 제로 트러스트 구현
VDI나 샌드박스가 없거나 구성이 어려운 경우 원격제어 프로그램을 이용해 업무망에 위치한 본인의 PC를 원격으로 접속해 재택근무를 수행할 수 있다. 기존 망 분리 체계를 그대로 유지한 상태에서 구성할 수 있으며, VPN보다 높은 수준의 보안을 구현할 수 있다. 구축과 운영이 간단하고 증설이 용이하며, 콜센터에서도 유사한 방식으로 구축할 수 있다. - 외부 사용자 보안 접속
SDP는 그룹웨어 등 외부 애플리케이션에 통합할 수 있는 API를 제공한다. 고객은 그룹웨어 앱과 API를 연결해 VPN 접속 없이 보안 접속 통신을 지원할 수 있다. 비용 절감과 사용자 앱 접근성을 높일 수 있다. 사용자가 접근하는 서버를 숨겨 프록시 서버가 필요 없게 되며, 보안 취약점 발생을 방지할 수 있다.
본사 내부 사용자도 SDP 에이전트를 통해 허용된 서비스에만 접근할 수 있도록 권한을 제어하며, 무분별한 업무 서비스 접근을 방지할 수 있다. 해외 지사의 경우, 인터넷 회선 속도 문제를 고려해 속도가 우수한 인근 지역의 지사를 통해 본사와 통신할 수 있도록 사이트 투 사이트 보안 터널 연결을 상시 유지할 수 있게 구성할 수 있다. 외부 사용자 단말 분실 시 장비 인증을 취소해 빠른 권한 회수가 가능하다. - 스마트 에이전트 독립 차단 기술
에이전트 자체 통제 기능을 갖고 있어 정책 서버 통신 단절 시 에이전트를 통한 지속적인 통제 정책을 수행해 사내 보안 수준을 유지한다. 장비에 의존하지 않는 에이전트 독립 통제 기술로 장비 장애 시 인증, 무결성, 그룹간 제어, 유해 트래픽 통제 등 NAC 역할을 수행한다. - 사용자 실시간 알림과 통제
사용자의 규제 위반 시 에이전트를 통한 사용자 알림 기능을 제공한다. 사용자 규제 위반 시 웹을 실행하지 않고 실시간으로 사용자 알림과 설치 유도를 진행한다. 통제에 대한 사유를 실시간 안내해 사용자의 빠른 대처와 보안의식을 고취시킨다. - 쉬운 ZTNA 전환
복잡한 IT 환경과 레거시 시스템을 일시에 ZTNA로 전환하는 것은 불가능하지만, 클라우드 이전 과정에서 ZTNA를 도입하는 것은 어렵지 않다. SDP는 ZTNA의 근간인 신원 기반 화이트 리스트 정책을 사용해 사람과 장비만 허용하고, 대상 서비스를 숨길 수 있다. - 데이터 댐, IoT·OT 등에서 활용
SDP 활용 범위에 제한은 없다. 기업에서 비즈니스 컴퓨팅을 위해 장소와 경계에 무관하게 장비의 보안 통신이 가능하다. 현금 인출기, 카드 결제 단말기, POS, 보험설계사용 단말기 등 민감한 고객정보를 다루는 기기에도 적용할 수 있다. 자율 자동차, 드론, CCTV 등 각종 IoT에도 최고 수준의 보안을 유지시키며, 스마트시티, 스마트팩토리 등 신규사업 적용에도 필수 불가결한 솔루션이다. 간단하고 강력한 서버 보안 기능으로 디지털 댐을 비롯한 디지털 뉴딜 사업의 다양한 프로젝트에 최적이며, WFA 환경에서 최고 수준의 보안을 손쉽고 간단하게 확보할 수 있다.
