2021-10-17 15:15 (일)
[보안칼럼] SDP(Softweare-defined Perimeter)란?
상태바
[보안칼럼] SDP(Softweare-defined Perimeter)란?
  • 길민권 기자
  • 승인 2021.09.28 14:21
이 기사를 공유합니다

이제 "소프웨어 정의"란 표현이 어색하지 않게 우리에게 많이 다가와 있는 것 같다. 처음에는 참으로 이 단어가 무슨 의미일까 생각을 많이 하게 된 것 같은데, 그래도 지금은 'Software-Defined'라는 표현이 붙어 있어야 뭔가 새로운 거 같은 느낌이다.

​SDP라고 말하면, 뭐죠? 또는 뭐에 대한 약자인가요?라고 다시 묻는다. 그래서 이것저것 설명을 하다 보면, 아 그거 ZTNA네요. 또는 그거 SASE 아닌가요? 아 그거 VPN이네, 이렇게 이야기들을 많이 하는 거 보면 아직은 많은 사람들이 이해하고 있지 못한 느낌이다.

​어디에서 먼저 Software-defined Perimeter란 표현을 썼는지는 모르겠으나, Cloud Security Alliance에서는 SDP specification 1.0이라는 것을 2014년도에 발표를 하였고 v2.0은 2019년도에 발표했으니 벌써 꽤 오랜 전부터 사용했으나 아직은 도입이 많지 않아서인지 이해도가 떨어진다. 물론 지금은 SDP를 제공하는 솔루션 업체들도 많아졌으나 좀더 정확한 이해가 필요한 것 같다.

​SDP에서의 보안상 가장 큰 변화는 아마도 SPA를 도입했다는 것이 아닐까 생각한다. 이제까지의 보안 솔루션들은 모든 것이 세션을 먼저 맺고 그다음에 서비스로 연결이 되었다. 즉 외부에서 IP를 알게 되면 port scan 등을 통해 열려있는 포트를 확인하고 그다음 그 포트에 바인딩 되어 있는 서비스가 무엇인지 알아내어 공격을 진행하게 된다. 그러나 SDP는 SPA를 도입하여 외부에 IP 노출이 있지 않으므로, 외부에서는 어디에 무엇이 있는지 알 수가 없는 것이다. 이렇게 외부에 노출이 되지 않으므로, 해킹을 방지하고 또한 DDoS와 같은 공격에도 위험을 감소시킬 수가 있는 것이다.

더불어 최근 항상 공격자는 측면 이동을 통해 공격을 진행했기에, 이 측면 이동을 차단하여야 하는데, SDP에서는 이런 측면 이동이 불가능하다록 엔드 투 엔드 세션의 마이크로 세그먼테이션을 지원한다. 즉 본인에게 접근이 허용된 자원만 접속이 가능하고 그 외 같은 네트워크 상에 있더라도 접속이 불가능한 것이다. 이러한 부분으로 기존의 VPN과 같은 네트워크 접근제어 솔루션에서 SDP로 각광을 받고 있는 것이다. 왜냐하면, VPN은 일반적으로 접속이 되면 동일한 네트워크 자원 접속에 제한을 두지 않고 접근을 허용 하기 때문이다. 유출된 회사의 계정도 다크웹을 통해 유포되는 경우가 있는데, 이러한 유포된 계정으로 해킹하지 않더라도 접속이 가능하기 때문에 SDP의 SPA 기능과 마이크로 세그먼테이션 기능이 요구되는 것이다.

물론 기존의 경계선 보안에 대한 보안 아키텍처 재설계 이슈로 제로 트러스트 보안 아키텍처에 높은 관심을 끌고 있는데, 제로 트러스트에서 기본 원칙은 무조건적으로 신뢰하지 않고, 지속적으로 확인하라인데, 이 부분을 충족하기 위해, SPA기능에 의해 자원이 외부에 노출 되지 않고, 허용된 클라이언트만 접속을 허용하며 그 이후 사용자의 신원을 확인한다. 신원이 확인 되면 이때 확인된 신원에 대해서 최소한의 권한 원칙에 의해 허용된 자원만 접속을 허용해 주는 것이다. 물론 접속된 클라이언트의 보안 상태를 확인하거나 또는 접속 중이라도 보안 점검을 위해 필요한 사항은 지속적으로 확인한다는 것이다. 그렇기 때문에 SDP를 ZTNA(Zero Trust Network Access) 솔루션이라고 표현하는 것이다.

​아래의 이미지는 Appgate사의 SDP로 사용자 '홍길동'으로 접속하였을 때, AWS/AZURE/GCP사이트의 모든 자원 중에서 홍길동 사용자에게만 할당된 자원 즉 AWS eu, Azure eu, GCP eu등의 자원이 나열된 것을 볼 수가 있다. 더불어 접속을 허용한 애플리케이션 중에서도 만약 민감한 정보를 접근한다면 그 리소스에 접속할 때만 추가적인 인증 예를 들면 OTP와 같은 인증을 진행하게 할 수도 있다.

SDP의 출현은 IT 인프라 환경이 클라우드와 데이터센터를 모두 사용하는 하이브리드, 멀티 클라우드 환경 또는 재택의 일상화로 만들어진 변화에 대응하기 위한 해결책을 제시해 주는 것이다.

[글. 타이거CNS / 타이거CNS 블로그 / 문의. h9430@tigercns.com]