[데이터넷] 외부에서 회사 내 업무를 보고자 할 때 VPN을 사용 해 왔다. 미국을 중심으로 VPN은 더 이상 보안에 안전하지 않다고 판단해 새로운 네트워크 보안 방식인 SDP로 전환하고 있다. 보안상의 문제뿐 아니라 구축과 운영에 많은 비용과 노력이 들고 새로운 사업모델 개선 시 여러 가지 제약사항으로 민첩하게 대응하기 어려운 점이 있어 보다 간편하고 강력한 네트워크 보안으로 SDP가 관심을 받게 됐다.

미국방성이 시작한 SDP

2000년 초부터 미 국방성이 전 세계에 파병된 자국 군인과 인터넷을 통한 안전한 통신을 위해 개발 사용하던 기술을 2010년 초 미국 CSA(Cloud Security Alliance)가 사용 가능하도록 SDP라는 보안 개념과 5단계의 보안 프로토콜을 발표해 민간기업도 사용할 수 있게 됐다.

2014년 CSA에서 SDP의 보안 점검을 위해 5일간의 해커톤 대회를 개최하고 전세계 해커로부터 100억건의 공격을 받았으나 아무도 첫 번째 인증단계조차 뚫지 못해 안전성을 인증 받았다.

국내에서는 한국전자통신연구원에서 10여 년간 하드웨어 기반(PSTN) 개발을 거쳐 소프트웨어기반(TAPS)의 SDP 엔진을 개발했다. 엠엘소프트는 25년간 축적해 온 엔드포인트 관리와 제어 기술을 통합해 범용 SDP 솔루션 ‘티게이트SDP(Tgate SDP)’를 국내에서 가장 처음 출시했다. 현재까지 상용화된 SDP 솔루션을 공급하는 국내 기업은 엠엘소프트 뿐이다.

보안이 가장 중요시되는 반도체분야를 비롯해 공기관, 소프트웨어 기업 등에서 PoC를 진행하고 있으며 빠른 구축 기간과 높은 안전성에 많은 관심과 기대를 갖고 있다.

미국 주정부 은행, SDP로 연간 50만달러 절감

전 세계 가장 성공한 SDP 구축사례로 넷파운드리를 들 수 있다. 22개의 지점과 150명의 임직원을 둔 미국 주정부 은행은 연간 50만달러 절감, 신규 지점개설 기간 2개월에서 2주로 단축, 재난복구 시 3일에서 5분 이내로 단축, 4개월 만에 ROI 달성이라는 정량적인 효과를 얻었다.

이 은행은 빠르고 높은 수준의 금융 서비스를 고객에게 제공하는 것에 대해 높은 자부심을 가지고 있었다. 디지털 트랜스포메이션으로 사업모델을 혁신하는 과정에서 장소, 장비, 공급자 위주의 MPLS, SD-WAN, VPN 등으로 구성돼 있는 기존의 네트워크와 보안으로는 많은 제약과 한계가 있다고 판단했다.

SDP는 이러한 문제를 해결할 수 있는 민첩한 네트워크·보안 모델을 제안했다. 고객 서비스를 위한 사업모델과 응용프로그램을 최우선으로 하는 애플리케이션 중심 개념으로 구축해 성공했으며, 사용자 중심(ID Centric) 개념으로 응용 프로그램 망분리와 같은 개념으로 SDP를 구축했다.

최고 수준 네트워크 보안·빠른 구축 보장

SDP는 사업모델이나 인적, 물적 변화에 따른 유연하고 민첩한 대응, 가장 높은 수준의 네트워크 보안, 빠른 구축, 비용 절감과 신속한 장애 원인 확인과 제거 등을 가능하게 한다. SDP는 컨트롤 채널과 데이터 채널을 분리해 SDP 컨트롤러를 통해 신원 기반 리소스 액세스 제어를 수행한다.

SDP의 핵심 보안 요소는 다음과 같다.

- 보호 대상을 감춘다(Information/Infrastructure Hiding)

- 상호 간에 양방향으로 방어한다(Mutual Two-way Encrypted Connections)

- 사전에 알려진 것만 처리한다(‘Need to Know’ Access Model)

- 실시간으로 액세스 규칙이 적용된다(Dynamic Firewalls)

- 애플리케이션 계층까지 액세스를 제어한다(Application Layer Access)

SDP는 코로나19 대응을 위한 재택근무를 위한 네트워크구축 방안으로 사용될 수 있으나 장기적으로는 5G, AI, 클라우드 등 초지능, 초연결 사회를 대비하기 위해 사용될 수 있다. 망분리 환경에서 인터넷망에 SDP 게이트웨이를 설치하고 업무망에 있는 각자 소유의 PC를 원격으로 제어하는 방식, VDI와 연동하는 방식, 직접 서버의 응용 프로그램과 연동하는 방식 등이 있으며 각 사의 업무환경에 맞게 구축해 사용할 수 있다.

SDP 기반 원격지원 방식의 장점은 구축이 간단하고 빠르며 업무망에 있는 본인의 PC를 그대로 사용함으로서 업무의 연속성을 그대로 유지할 수 있고 비용이 많이 들지 않는다. SDP 기반 VDI 방식은 이미 VDI가 업무망에 구축돼 있을 경우에는 연동만 하면 돼 간단하게 구축할 수 있으나 새로 VDI를 구축할 경우 비용이 많이 들 수 있고, 원래부터 작업환경이 VDI로 돼있지 않았을 경우 업무의 연속성을 유지하기 어려울 수 있다.

SDP 기반으로 업무망에 있는 그룹웨어 등 응용 프로그램을 직접 사용하고자 하는 경우에는 재택근무에서 사용하는 PC에 파일을 저장할 수 있는 공간이 필요하고 DRM 또는 샌드박스와 같은 추가적인 보안 솔루션이 필요하다.