[ZT콘퍼런스] 제로트러스트 핵심기술 SDP…엠엘소프트 “가장 많은 구축사례 보유”

실시간
뉴스

e비즈*솔루션

[ZT콘퍼런스] 제로트러스트 핵심기술 SDP…엠엘소프트 “가장 많은 구축사례 보유”

디지털데일리 발행일 2025-02-20 17:44:16

권하영 기자

URL복사

엠엘소프트 이재준 이사가 20일 서울 중구 전국은행연합회 은행회관에서 <디지털데일리>가 개최한 ‘디지털 신뢰 새 패러다임, 제로트러스트 적용 전략 콘퍼런스’에서 ‘제로트러스트 실전 가이드 : 기술적 구현과 전환의 과제’를 주제로 발표하고 있다. [Ⓒ 디지털데일리]

[디지털데일리 권하영기자] 제로트러스트의 핵심 원칙은 ‘절대 믿지 말고, 항상 검증하라(Never trust, always verify)’는 말로 요약된다. 아무도 믿지 않는 환경을 구축하고, 사용자 접근을 철저히 통제하라는 것이다. 그래서 과거의 경계형 보안 모델이 ‘선접속 후인증’ 체계였다면, 제로트러스트 환경에선 ‘선인증 후접속’이 기본이다.

이러한 철저한 접근 제어를 위한 제로트러스트 핵심 기술 중 하나로 꼽히는 게 바로 ‘소프트웨어정의경계(SDP)’다. SDP는 사용자 단말에 설치되는 에이전트, 보호자산을 보호하는 게이트웨이, 인증을 수행하는 컨트롤러 등 3가지 요소를 기반으로 선인증 후접속의 접근 제어를 가능케 하는 ‘제로트러스트 실전 기술’이다.

엠엘소프트 이재준 이사는 20일 서울 중구 전국은행연합회 은행회관에서 <디지털데일리>가 개최한 ‘디지털 신뢰 새 패러다임, 제로트러스트 적용 전략 콘퍼런스’에서 ‘제로트러스트 실전 가이드 : 기술적 구현과 전환의 과제’를 주제로 이러한 SDP 기술을 소개했다.

이재준 이사는 “제로스트러스트에서 중요한 건 ‘무엇(What)’을 보호할 것인가에 있다”며 “무엇으로 제로트러스트를 할 건지가 아니라 제로트러스트로 무엇을 보호할 건지를 정해야, 그 보호하고자 하는 것을 기준으로 보안 아키텍처를 설계하고 그에 대한 권한을 부여하도록 정책을 수립할 수 있다”고 강조했다.

즉 보호해야 할 리소스와 권한이 필요한 사용자를 식별하고, 그에 따라 정밀한 접근 제어를 수행하는 게 핵심이라는 설명이다. 결국 리소스가 무엇이냐에 따라 접근 제어 솔루션이 달라지는데, 미국표준기술연구소(NIST)는 제로트러스트 아키텍처 구현 방법 중 하나로 SDP를 제시하고 있다.

이 이사는 “처음에 SDP가 발표된 이유는 클라우드 때문인데, 클라우드 환경에서 보호하고자 하는 리소스는 이제 클라우드에 올라가 있고 그럼 사용자들이 안전하게 클라우드 서비스를 이용하기 위해 적합한 보안 프레임워크는 무엇일까 하는 고민에서 나온 것”이라며 “SDP의 3가지 요소가 사용자 단말에 설치되는 에이전트, 보호자산을 보호하는 게이트웨이, 인증을 수행하는 컨트롤러인데, 이를 통해 제로트러스트 아키텍처를 구현하게 된다”고 설명했다.

이 이사에 따르면 SDP에는 5가지 보안 레이어가 있다. ▲접속단말의 해시(Hash)를 통한 장비 인증으로 단말 복제가 불가한 ‘장치 유효성 검사’ ▲최소한의 인증 과정으로 디도스 공격을 방지하는 ‘SPA(Single Packets Authorization)’ ▲기본거부(Default Deny) 차단 기반의 인증 대상에 대한 통신만을 통과시키는 ‘동적방화벽(Dynamic Firewall)’ ▲대상 네트워크 정보를 외부에 노출하지 않는 ‘서버 스텔스’, 그리고 ▲‘암호화 터널(VPN)’이다.

이 이사는 “첫번째로는 아키텍처로 보호 영역을 지정하고, 보호하고자 하는 리소스 앞단에서 인증을 받게 되는데 공격 대상에 대한 접근이 불가하게 구현한 후 사용자 단말 인증 및 개선 검사를 수행해서 인증 패킷 하나를 컨트롤러로 보낸다”며 “이 컨트롤러는 만약 이 사용자가 적합한 인증을 했다면 그제야 게이트웨이에 사용자 위치와 인증 정보를 보내주고, 사용자 단말도 그래야 게이트웨이 위치를 파악해 접근 시도를 하게 되는 구조”라고 말했다.

이어 “암호화 통신 구간을 만들었더라도 뒷단에 있는 애플리케이션들에 대해서 각각의 세그먼트를 나눠서 사용자의 권한에 따라서 이 사용자는 어떠한 애플리케이션 또는 어떠한 리소스에 접근할 수 있다 없다 하는 부분들까지 세부적으로 세부 권한을 설정을 해서 운영을 할 수 있다”며 “공격자 입장에선 외부에 유일하게 노출돼서 공격을 할 수 있는 포인트 자체가 컨트롤러 영역인데, 컨트롤러에 아무리 공격을 시도해도 패킷이 들어오지 않으므로 디도스 공격을 완화할 수 있다”고 부연했다.

이 이사에 따르면 현재 제로트러스트 전환과 관련해서는 4가지 과제가 지목되고 있다. 먼저, 기존 시스템 및 인프라와의 호환성 문제가 첫 번째다. 기존 시스템과 통합 과정에서 기술적 복잡성이 증가하는 만큼, 기존 네트워크 보안 솔루션(VPN, 방화벽)과의 공존 및 단계적 전환이 필요하다. 두 번째는 보안 정책 및 접근 제어 모델의 복잡성이다. 리소스별 접근 정책을 세분화하는 과정에서 운영 부담이 증가하는 문제다. 또한 IT 및 보안팀이 새로운 제로트러스트 기술을 학습하고 도입하는 데 시간이 소요되는 점도 지적된다. 마지막으로 다양한 제로트러스트 솔루션 간 연동이 원활하지 않을 경우 보안 정책 일관성을 유지하기 어렵다는 점도 있다.

이 이사는 “엠엘소프트는 티게이트SDP(TgateSDP)라는 솔루션을 통해 업계에서 가장 많은 SDP 구축 사례를 보유하고 있다”며 “CC인증을 받은 제품으로서 서울시에는 제로트러스트 기반 원격 근무에, 그리고 재택근무 형태로 타 은행 및 금융기관들에도 도입돼 있는 등 다양한 경험을 가지고 있는 만큼 제로트러스트 전환에 있어 엠엘소프트가 제대로 도움을 드리겠다”고 강조했다.