SDP의 목적은 유연한 소프트웨어 기반의 경계 뒤에서 네트워크를 보호하는 것이다. IT 및 비즈니스 컨설팅 업체 캡제미니 아메리카(Capgemini Americas)의 수석 SD-WAN 및 SASE 아키텍트인 론 하웰은 “더 강력한 보안과 높은 유연성, 일관성 등이 SDP의 이점”이라고 말했다.
전용 서버에 위치하는 기존 모놀리식 앱과 달리 둘 이상의 서버에 위치할 수 있는 마이크로서비스로 만들어진 애플리케이션이 등장하면서 보안 문제가 더욱 복잡해졌다. SDP는 바로 이런 문제에 대처한다. VM웨어의 글로벌 보안 전문가 채드 스키퍼는 “최근 애플리케이션은 더욱 모듈화되어 이제 기업의 데이터 센터 또는 퍼블릭 클라우드의 여러 워크로드 유형과 마이크로서비스로 구성된다”라고 설명했다.
권한 없이 볼 수 없다
비즈니스 자문 업체 딜로이트의 사이버 및 전략적 위험 부문 상무 이사 챌런 아라스는 “SDP 프레임워크는 일반적으로 내부 네트워크의 서버 또는 노드를 읽기 어렵게 만든다. SDP는 ID를 비롯한 입증 방법을 사용해 최소 권한 혹은 액세스 필요성에 따라 네트워크 노드와 서버에 대한 가시성과 연결을 허용한다”라고 말했다.구체적으로 SDP는 외부에서 인프라 요소를 볼 수 없도록 한다. 인프라가 클라우드에 있든 온프레미스에 있든 라우터, 서버 프린터 같은 하드웨어를 비롯해 엔터프라이즈 네트워크와 인터넷에 동시에 연결된 거의 모든 요소가 승인되지 않은, 권한 없는 사용자에게는 보이지 않는다. 기술 연구 자문업체 ISG의 사이버보안 부문 수석 컨설턴트 존 헨리는 “먼저 인증한 다음 액세스를 허용하므로 무단 사용자는 네트워크 자체에 액세스할 수 없다. SDP는 사용자뿐 아니라 사용되는 디바이스도 인증한다”라고 덧붙였다.
더 높은 수준의 네트워크 보안
방화벽과 같이 전통적인 고정형 경계 접근 방식과 비교할 때 SDP는 훨씬 더 강화된 보안을 제공한다. SDP는 인증된 사용자의 액세스 권한을 좁게 정의된 네트워크 세그먼트로 자동으로 제한하므로 공격자가 승인된 ID를 탈취하더라도 네트워크의 나머지 부분이 보호된다. 스키퍼는 “공격자가 액세스 권한을 획득한다고 해도 다른 서비스를 스캔해서 찾지 못하므로 횡적 이동도 방지할 수 있다”라고 말했다.SDP의 핵심 이점은 간단하다. 더 높은 수준의 네트워크 보호 수단을 만드는 것이다. 헨리는 “서비스 거부, 무차별 대입, 자격 증명 절도, 중간자, 서버 악용, 세션 하이재킹을 포함한 다양한 공격 벡터에서 엔터프라이즈를 보호하는 데 SDP가 중요한 역할을 해왔다”라고 언급했다. 그 외에도 액세스 제어의 강화 및 간소화, 공격 표면 감소, 정책 관리 간소화, 전반적인 최종 사용자 경험 개선과 같은 이점을 제공한다.
아라스는 “SDP는 동적 구성이 가능하므로 애플리케이션에 액세스하는 엔터프라이즈 사용자, 또는 실시간으로 생성, 확장 또는 폐기되는 마이크로서비스가 많은 애플리케이션 환경과 같이 변화의 속도가 빠른 환경에 적합하다”라고 설명했다.
SDP의 작동 방식
SDP는 사용자와 앱을 인증해서 확인한 다음 세부적으로 제한되는 네트워크 부분에 연결한다. DNS와 IP 주소 공간을 다시 매핑해서 만들어지는 이 마이크로세그먼테이션(microsegmentation)은 인증된 사용자에게 필요한 액세스 권한을 제공하되 불필요한 리소스에 대한 액세스는 거부한다. 사실상 각기 제한된 수의 노드가 있는 개별 네트워크를 생성한다고 볼 수 있다. 따라서 공격자가 액세스 권한을 획득한다 해도 입힐 수 있는 피해 범위가 제한적이다.SDP 아키텍처의 중심은 컨트롤러다. 액세스 권한을 요청하는 사용자 및 기기(개시 호스트)를 이들이 요구하는 앱 및 서버(수락 호스트) 같은 리소스에 연결하는 소프트웨어다. 컨트롤러는 개시 호스트를 인증하고 연결을 허용할 수락 호스트 목록을 결정한다. 그리고 모든 인증된 수락 호스트에 개시 호스트의 커뮤니케이션을 받아들이도록 지시하고 개시 호스트에 이 목록을 공유한다. 이런 방식으로 개시 호스트는 수락 호스트와 다이렉트 VPN 연결을 생성한다.
수락 호스트가 개시 호스트 및 이들이 연결하고자 하는 여러 리소스 사이의 프록시 역할을 하는 게이트웨이인 경우도 있다. 마이크로서비스를 중심으로 구축되는 현대 애플리케이션과 같이 서로 통신해야 하는 두 서버 사이에 SDP를 설정할 수도 있다.
커넥터와 프록시(두 용어는 같은 뜻으로 사용되는 경우가 많음)를 서버 앞에 배치해서 서버에 대한 액세스를 통제할 수 있다. 아라스에 따르면, 커넥터는 두 네트워크 도메인을 연결하고 라우팅, 네트워크 주소 변환, 부하 분산과 같은 네트워킹 기능을 수행해 사용자 또는 애플리케이션에서 다른 사용자 또는 애플리케이션으로 트래픽을 보낸다.
마이크로서비스 환경이라면 마이크로서비스에 사용되는 오픈소스 엣지 프록시인 엔보이(Envoy)처럼 프록시가 마이크로서비스 패브릭 내에 통합될 수 있다. 아라스에 따르면, 가령 오픈소스 서비스 메시 기술인 이스티오(Istio)에서는 기존의 분산 애플리케이션 위에 투명한 계층으로 구현된 오픈소스 서비스 메시에서 미니 앱이 안전하게 통신할 수 있도록 엔보이 프록시로 마이크로서비스를 연결한다.
ZTNA의 핵심 요소
엄격한 인증과 긴밀하게 제한되는 네트워크 액세스가 특징인 SDP는 어떤 디바이스도 안전하지 않다는 전제를 기반으로 하는 ZTNA(Zero Trust Network Access)의 핵심 요소다. 스키퍼는 “인력의 변화, 구성요소가 어디에나 분산될 수 있는 마이크로서비스 기반 애플리케이션, 그리고 갈수록 협업이 확대되는 비즈니스 프로세스로 인해 더 이상 안전한 경계는 존재하지 않는다. 스마트폰이든 데스크톱이든 안전한 기기는 없다”라고 말했다.ZTNA를 위해서는 엄격히 통제되는 네트워크 액세스와 한정된 권한 부여가 필요하며 SDP가 좋은 출발점이 된다. 헨리는 “SDP는 해당 사용자에게 이전에 액세스 권한이 부여된 애플리케이션에 한해서만 적절히 사용자를 인증해서 액세스 권한을 제공할 수 있게 해준다”라고 설명했다.
헨리는 현재 20곳 이상의 솔루션 업체가 SDP를 제공하는 것으로 추정했다. 아카마이의 엔터프라이즈 애플리케이션 액세스(Enterprise Application Access), 시스코의 듀오 비욘드(Duo Beyond), 이반티의 뉴런스 포 시큐어 액세스(Neurons for Secure Access), 맥아피의 엠비전 프라이빗 액세스(MVISION Private Access), 넷모션 SDP(NetMotion SDP), 버라이즌 소프트웨어 디파인드 페리미터(Verizon Software Defined Perimeter), 버사 시큐어 액세스 클라이언트(Versa Secure Access Client) 등이 대표적이다.
SDP를 구축한다고 해서 기존 보안을 유지해야 할 필요가 없어지는 것은 아니다. 야보르스키는 “기업에서 어떤 보안 기술을 구현하든 중요한 데이터가 무엇이며, 어디에 있는지 아는 것이 그 데이터를 보호하기 위한 핵심 요소”라고 강조했다.
SDP는 한 번의 구축으로 끝나지 않는다. 야보르스키는 “기업에서 능동적으로 SDP 소프트웨어를 모니터링하고 필요에 따라 업그레이드하는 것이 중요하다. 소프트웨어에 틈이 발생해 보호되는 리소스에 대한 액세스 권한을 허용하지 않도록 테스트를 통해 확인해야 한다”라고 조언했다.
editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.