제로트러스트 요소기술, SDP

1. ZT의 개요

가. ZT의 정의

• 기본 철학: "절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"는 원칙 기반의 새로운 보안 패러다임
• 작동 원리: 네트워크 위치와 상관없이 모든 접근 요청을 잠재적 위협으로 간주하고, 신원 및 기기 상태를 지속적으로 검증하는 체계

나. ZT의 특징

• 지속적 검증: 접속 시점뿐만 아니라 세션 유지 전 과정에서 신뢰 수준을 실시간으로 평가
• 최소 권한 부여: 사용자나 기기가 업무 수행에 필요한 최소한의 자원에만 접근하도록 제한
• 침해 가정 보안: 내부 네트워크가 이미 침해되었다는 가정하에 공격의 횡적 이동을 차단하는 설계

2. SDP의 개요

가. SDP의 정의

• 개념: 신원(Identity) 기반의 논리적 보안 경계를 소프트웨어적으로 생성하여 리소스를 보호하는 기술
• 제로트러스트 아키텍처를 구현하는 핵심 네트워크 보안 솔루션

나. SDP의 주요 개념

• Black Cloud: 인증되지 않은 사용자에게는 서비스 포트 및 자산의 존재를 완전히 숨겨 네트워크 스캐닝 공격을 원천 차단하는 기법
• 신원기반통제: IP 주소 등 네트워크 위치 정보 대신 사용자 ID, 기기 고유값, 생체 정보 등 신원 정보를 기준으로 접근 권한 결정
• 1:1 전용 터널링:
  • 동적 논리 경계: 인증 성공 후 접근 권한이 승인된 특정 자산(Accepting Host)별로 개별적인 보안 터널 생성
  • 세분화: 단일 연결이 아닌 자산 단위의 독립적 터널링을 통해 자산 간 격리 상태 유지

다. SDP의 구성요소

• 컨트롤러: 신원 인증, 기기 무결성 검증 및 접근 정책을 결정하는 시스템의 '두뇌'
• 게이트웨이: 컨트롤러의 명령을 실행하여 승인된 사용자에게만 리소스 접근 통로를 열어주는 정책 실행 지점
• SPA(Single Packet Authorization): TCP 연결 전 암호화된 단일 패킷으로 신원을 먼저 증명하여 은닉된 포트를 일시적으로 개방하는 핵심 기술

3. 멀티클라우드 환경에서 동작 원리

• 중앙 집중적 통제: AWS, Azure, GCP 등 다른 클라우드에 분산된 자산을 하나의 SDP 컨트롤러에서 통합된 정책으로 관리
• 개별 게이트웨이 배치: 각 클라우드 환경 전면에 전용 게이트웨이 설치, 해당 인프라 내부 자원에 대한 직접적인 노출 방지
• 서비스별 독립 터널링: 사용자가 여러 클라우드의 서비스를 동시 이용하더라도, 각 클라우드 게이트웨이와 사용자 단말 간에 독립적인 n : 1 전용 터널을 각각 생성하여 보안성 확보

4. 기존 VPN과 SDP

가. 기존 VPN과 SDP의 기술 비교

• 기존 VPN: 1회 인증 후 내부 네트워크에 대한 1개의 공통 터널을 생성하여 망 전체 접근 허용 (Lateral Movement에 취약)
• SDP: 신원기반 인증 후 개별 자산 단위로 독립 터널을 생성하며, 권한이 없는 나머지 자산은 은닉 상태 유지

나. 기존 VPN과 SDP 비교

구분	기존 VPN 방식	SDP (제로트러스트 방식)
접근 제어	네트워크 계층(L3) 기반 대규모 허용	애플리케이션/서비스 단위(L7) 세분화
생성 방식	사용자별 1개의 공용 터널	승인된 자산별 1 : n 개별 터널
보안 효과	내부망 침투 시 횡적 이동 가능	자산 은닉 및 횡적 이동 원천 차단
관리 주체	네트워크 장비 및 게이트웨이 중심	중앙 컨트롤러(PDP) 기반 정책 중심
연결 순서	연결(Connect) 후 인증(Authenticate)	인증(Authenticate) 후 연결(Connect)