금융권에서 사용중인 VPN(virtual private network)의 보안 취약점을 보완하면서, 궁극적으로 망분리 대안으로도 활용이 가능한 SDP(Software Defined Perimeter, 소프트웨어 정의 경계)가 최근 업계 이슈로 떠오르고 있다.

VPN은 거의 모든 금융회사들이 전용회선의 보조적 수단으로 사용하고 있지만, 선(先)연결 후(後)인증 방식으로 보안의 문제가 있다는 지적을 받아 왔다. 

물론, SDP 개념이 확산이 당장 금융권에서 구축을 완료한 망분리의 실질적인 대안이 될 수 없지만, 장기적으로 클라우드 시대를 겨냥하면 빠르게 확산될 수 있다는 미래비전을 갖고 있다. 

이무성 엠엘소프트 대표는 “이미 모든 망분리가 완료된 금융회사가 SDP를 전사적으로 도입하기는 어려울 것”이라며 “그러나, 금융회사내에 클라우드 시스템이 확산되면 이 SDP 도입이 오히려 네트워크 보안 취약점을 해소하는데 기간시스템 역할을 하게 될 것”이라고 강조했다. <그림1 ‘SDP-VPN 상세비교’ 참조>

▲ 그림1 ‘SDP-VPN 상세비교’.(출처 : 엠엘소프트 제공)

◆SDP란 = SDP는 미국 국방성 GIG프로젝트(Global Information Grid, 모델명: 블랙코어-Black Core)를 모델링해 미국 CSA(Cloud Security Alliance)에서 상용화를 추진한 보안 프레임워크로 설명이 가능하다.

즉 SDP는 기존 보안 프로토콜의 취약성이 ‘커넥션 지향 프로토콜(Connection-oriented protocol)에 있다는 점에 착안, 개선된 네트워크 방식을 지원한다.

이무성 대표는 “기존의 해킹 방식을 보면, 서버 위치 즉 프로토콜이 다 알려진 형태에서 공격이 이뤄지는 경우가 대부분”이라며 “SDP는 블랙코어 즉, 철저하게 음영화 된 네트워크 내에서 사이버 안전을 보장하는 기술”이라고 설명했다.<그림2 ‘GIG 블랙코어 및 SDP 프레임워크’ 참조>

▲ 그림2 ‘GIG 블랙코어 및 SDP 프레임워크’-1.(출처 : 엠엘소프트 제공)

▲ 그림2 ‘GIG 블랙코어 및 SDP 프레임워크’-2.(출처 : 엠엘소프트 제공)

특히, 제로 트러스트 시대에 사용자 접속을 보다 세밀하게 구성하면 그만큼 기업의 기간망에 접속하는 ‘정체’를 정확하게 확인할 수 있고, 반면 기업의 IT시스템은 노출을 줄일거나 없앨 수 있다.

◆SDP 핵심 요소는 = 통상적으로 SDP는 5가지를 핵심요소로 한다. ▲보호대상을 감추고(Information/Infrastructure Hiding) ▲상호 간에 양방향으로 방어하며(Mutual Two-way Encrypted Connections) ▲사전에 알려진 것만 처리한다(Need to Know Access Model) 또 ▲실시간으로 액세스 규칙이 적용되고(Dynamic Firewalls) ▲애플리케이션 계층까지 액세스를 제어한다(Application Layer Access)<그림3 ‘SDP 접속방식 예’ 참조>

▲ 그림3 ‘SDP 접속방식 예’.(출처 : 엠엘소프트 제공)

◆미국 CSA 실험을 보면 더욱 명쾌한 SDP = SDP 적용이 네트워크 보안에 있어 어떤 우위점을 보이는 지는 미국 CSA 실험을 통해 명쾌해 졌다. 

지난 20013년에 CSA는 IP 주소 지정이 가능하면서도 상호 신뢰하는 엔드-투-엔드 네트워크를 생성하기 위한 아키텍처를 개발하도록 설계된 모의 SDP 네트워크 공격 실험에 나섰다.

2014년 2월 CSA는 이 해커톤 대회를 후원했다. 

그 결과 SDP가 구축된 시스템에 전 세계에서 약 100억개 이상의 해킹 공격에 나섰지만, SDP의 총 5단계 중 첫 번째 단계조차 침입을 허용하지 않았다.

SDP는 현재 해외에서 미국 국방성, 미 국토부, 코카콜라를 사례를 갖고 있고, 국내에서는 반도체 회사 등이 큰 관심을 보이고 있다.

◆엠엘소프트 ‘티 게이트 SDP’ 출시 = 이 SDP 시장에 가장 큰 관심을 보이는 기업은 엠엘소프트(대표 이무성)다. 

네트워크 접근 제어(NAC) 시스템 전문 기업으로 알려진 엠엘소프트는 신한은행, 농협은행, 수협은행 등을 주요 고객사로 확보하고 있다.

지난 2019년 엠엘소프트는 ID기반(Centric) ‘티 게이트(Tgate) SDP’ 출시하며, 관련 시장 본격 공력하고 있다.<그림4 '티게이트 시스템 구성 및 주요 기능' 참조>

▲ 그림4 '티게이트 시스템 구성 및 주요 기능'.(출처 : 엠엘소프트 제공)

▲ 그림4 '티게이트 시스템 구성 및 주요 기능'.(출처 : 엠엘소프트 제공)

‘티게이트’ 사용자는 네트워크 기반이 아니기 때문에 IP노출 없이 승인된 애플리케이션에만 접속이 가능하다.

즉 기업은 네트워크 세그먼트 관리, 방화벽 정책관리, ACL이 필요하지 않게 된다.

이무성 사장은 “코로나 19 사태와 같은 특수한 상황 때문에 특정 기간 임시 직장 폐쇄 등 상황이 발생하면, 현재 망분리 구조에서는 기업 내부망 접속이 불가능하고, VPN을 통해 접속하면 보안 취약점을 보인다”며 “클라우드 시대에는 현재 망분리 및 VPN 구조로 기업 IT시스템 운영이 불가능하다. 조기 SDP 도입이 필요하다”고 덧붙였다.

특히, 이무성 대표는 “현재 라이센스 구조를 사용자 1인 기준 월 1만원으로 적용할 예정”며 "이 가격구조는 SDP를 사용하는 글로벌 표준"이라고 밝혔다. 

‘티게이트 SDP’는 ETRI의 TAPS(Trust Access Protection Solution) 아키텍처를 준수한다.

클라우드 물결을 만나 기존 폐쇄적 구조(On-premise)의 기업 IT시스템이 개방형(Cloud)으로 변화하고 있다.

궁극의 ‘제로 트러스트’ 보안을 SDP 기술은 해법의 핵심이 되고 있다. 

<김동기 기자>kdk@bikorea.net