네트워크 / 보안

“기업 자산을 보호하는 보이지 않는 경계” SDP의 이해

John Edwards | Network World 2022.09.15
사이버 공격을 차단하려는 방편으로 인터넷에 연결된 리소스 주변에 보이지 않는 경계선을 그리는 기업이 늘고 있다. 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)라고 하는 이 기술의 기본 개념은 비교적 단순하다. 서버와 라우터, 프린터 및 기타 엔터프라이즈 네트워크 구성요소 주변에 가상의 방벽을 설치하는 것이다.
 
ⓒ Getty Images Bank

SDP의 목적은 유연한 소프트웨어 기반의 경계 뒤에서 네트워크를 보호하는 것이다. IT 및 비즈니스 컨설팅 업체 캡제미니 아메리카(Capgemini Americas)의 수석 SD-WAN 및 SASE 아키텍트인 론 하웰은 “더 강력한 보안과 높은 유연성, 일관성 등이 SDP의 이점”이라고 말했다.

전용 서버에 위치하는 기존 모놀리식 앱과 달리 둘 이상의 서버에 위치할 수 있는 마이크로서비스로 만들어진 애플리케이션이 등장하면서 보안 문제가 더욱 복잡해졌다. SDP는 바로 이런 문제에 대처한다. VM웨어의 글로벌 보안 전문가 채드 스키퍼는 “최근 애플리케이션은 더욱 모듈화되어 이제 기업의 데이터 센터 또는 퍼블릭 클라우드의 여러 워크로드 유형과 마이크로서비스로 구성된다”라고 설명했다.


권한 없이 볼 수 없다

비즈니스 자문 업체 딜로이트의 사이버 및 전략적 위험 부문 상무 이사 챌런 아라스는 “SDP 프레임워크는 일반적으로 내부 네트워크의 서버 또는 노드를 읽기 어렵게 만든다. SDP는 ID를 비롯한 입증 방법을 사용해 최소 권한 혹은 액세스 필요성에 따라 네트워크 노드와 서버에 대한 가시성과 연결을 허용한다”라고 말했다.

구체적으로 SDP는 외부에서 인프라 요소를 볼 수 없도록 한다. 인프라가 클라우드에 있든 온프레미스에 있든 라우터, 서버 프린터 같은 하드웨어를 비롯해 엔터프라이즈 네트워크와 인터넷에 동시에 연결된 거의 모든 요소가 승인되지 않은, 권한 없는 사용자에게는 보이지 않는다. 기술 연구 자문업체 ISG의 사이버보안 부문 수석 컨설턴트 존 헨리는 “먼저 인증한 다음 액세스를 허용하므로 무단 사용자는 네트워크 자체에 액세스할 수 없다. SDP는 사용자뿐 아니라 사용되는 디바이스도 인증한다”라고 덧붙였다.


더 높은 수준의 네트워크 보안

방화벽과 같이 전통적인 고정형 경계 접근 방식과 비교할 때 SDP는 훨씬 더 강화된 보안을 제공한다. SDP는 인증된 사용자의 액세스 권한을 좁게 정의된 네트워크 세그먼트로 자동으로 제한하므로 공격자가 승인된 ID를 탈취하더라도 네트워크의 나머지 부분이 보호된다. 스키퍼는 “공격자가 액세스 권한을 획득한다고 해도 다른 서비스를 스캔해서 찾지 못하므로 횡적 이동도 방지할 수 있다”라고 말했다.

SDP의 핵심 이점은 간단하다. 더 높은 수준의 네트워크 보호 수단을 만드는 것이다. 헨리는 “서비스 거부, 무차별 대입, 자격 증명 절도, 중간자, 서버 악용, 세션 하이재킹을 포함한 다양한 공격 벡터에서 엔터프라이즈를 보호하는 데 SDP가 중요한 역할을 해왔다”라고 언급했다. 그 외에도 액세스 제어의 강화 및 간소화, 공격 표면 감소, 정책 관리 간소화, 전반적인 최종 사용자 경험 개선과 같은 이점을 제공한다.

아라스는 “SDP는 동적 구성이 가능하므로 애플리케이션에 액세스하는 엔터프라이즈 사용자, 또는 실시간으로 생성, 확장 또는 폐기되는 마이크로서비스가 많은 애플리케이션 환경과 같이 변화의 속도가 빠른 환경에 적합하다”라고 설명했다.


SDP의 작동 방식

SDP는 사용자와 앱을 인증해서 확인한 다음 세부적으로 제한되는 네트워크 부분에 연결한다. DNS와 IP 주소 공간을 다시 매핑해서 만들어지는 이 마이크로세그먼테이션(microsegmentation)은 인증된 사용자에게 필요한 액세스 권한을 제공하되 불필요한 리소스에 대한 액세스는 거부한다. 사실상 각기 제한된 수의 노드가 있는 개별 네트워크를 생성한다고 볼 수 있다. 따라서 공격자가 액세스 권한을 획득한다 해도 입힐 수 있는 피해 범위가 제한적이다.

SDP 아키텍처의 중심은 컨트롤러다. 액세스 권한을 요청하는 사용자 및 기기(개시 호스트)를 이들이 요구하는 앱 및 서버(수락 호스트) 같은 리소스에 연결하는 소프트웨어다. 컨트롤러는 개시 호스트를 인증하고 연결을 허용할 수락 호스트 목록을 결정한다. 그리고 모든 인증된 수락 호스트에 개시 호스트의 커뮤니케이션을 받아들이도록 지시하고 개시 호스트에 이 목록을 공유한다. 이런 방식으로 개시 호스트는 수락 호스트와 다이렉트 VPN 연결을 생성한다.

수락 호스트가 개시 호스트 및 이들이 연결하고자 하는 여러 리소스 사이의 프록시 역할을 하는 게이트웨이인 경우도 있다. 마이크로서비스를 중심으로 구축되는 현대 애플리케이션과 같이 서로 통신해야 하는 두 서버 사이에 SDP를 설정할 수도 있다.

커넥터와 프록시(두 용어는 같은 뜻으로 사용되는 경우가 많음)를 서버 앞에 배치해서 서버에 대한 액세스를 통제할 수 있다. 아라스에 따르면, 커넥터는 두 네트워크 도메인을 연결하고 라우팅, 네트워크 주소 변환, 부하 분산과 같은 네트워킹 기능을 수행해 사용자 또는 애플리케이션에서 다른 사용자 또는 애플리케이션으로 트래픽을 보낸다.

마이크로서비스 환경이라면 마이크로서비스에 사용되는 오픈소스 엣지 프록시인 엔보이(Envoy)처럼 프록시가 마이크로서비스 패브릭 내에 통합될 수 있다. 아라스에 따르면, 가령 오픈소스 서비스 메시 기술인 이스티오(Istio)에서는 기존의 분산 애플리케이션 위에 투명한 계층으로 구현된 오픈소스 서비스 메시에서 미니 앱이 안전하게 통신할 수 있도록 엔보이 프록시로 마이크로서비스를 연결한다.


ZTNA의 핵심 요소

엄격한 인증과 긴밀하게 제한되는 네트워크 액세스가 특징인 SDP는 어떤 디바이스도 안전하지 않다는 전제를 기반으로 하는 ZTNA(Zero Trust Network Access)의 핵심 요소다. 스키퍼는 “인력의 변화, 구성요소가 어디에나 분산될 수 있는 마이크로서비스 기반 애플리케이션, 그리고 갈수록 협업이 확대되는 비즈니스 프로세스로 인해 더 이상 안전한 경계는 존재하지 않는다. 스마트폰이든 데스크톱이든 안전한 기기는 없다”라고 말했다.

ZTNA를 위해서는 엄격히 통제되는 네트워크 액세스와 한정된 권한 부여가 필요하며 SDP가 좋은 출발점이 된다. 헨리는 “SDP는 해당 사용자에게 이전에 액세스 권한이 부여된 애플리케이션에 한해서만 적절히 사용자를 인증해서 액세스 권한을 제공할 수 있게 해준다”라고 설명했다.

헨리는 현재 20곳 이상의 솔루션 업체가 SDP를 제공하는 것으로 추정했다. 아카마이의 엔터프라이즈 애플리케이션 액세스(Enterprise Application Access), 시스코의 듀오 비욘드(Duo Beyond), 이반티의 뉴런스 포 시큐어 액세스(Neurons for Secure Access), 맥아피의 엠비전 프라이빗 액세스(MVISION Private Access), 넷모션 SDP(NetMotion SDP), 버라이즌 소프트웨어 디파인드 페리미터(Verizon Software Defined Perimeter), 버사 시큐어 액세스 클라이언트(Versa Secure Access Client) 등이 대표적이다.

SDP를 구축한다고 해서 기존 보안을 유지해야 할 필요가 없어지는 것은 아니다. 야보르스키는 “기업에서 어떤 보안 기술을 구현하든 중요한 데이터가 무엇이며, 어디에 있는지 아는 것이 그 데이터를 보호하기 위한 핵심 요소”라고 강조했다.

SDP는 한 번의 구축으로 끝나지 않는다. 야보르스키는 “기업에서 능동적으로 SDP 소프트웨어를 모니터링하고 필요에 따라 업그레이드하는 것이 중요하다. 소프트웨어에 틈이 발생해 보호되는 리소스에 대한 액세스 권한을 허용하지 않도록 테스트를 통해 확인해야 한다”라고 조언했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.