• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

비싸서 큰 기업만 쓴다던 SDP, 언제 오픈소스 되나? 2015.05.16

코카콜라, 국가기관만 사용하던 SDP...CSA가 오픈소스화 노력

허가 없이는 보이지도 않는 클라우드 형성해 보호


[보안뉴스 문가용] 클라우드 보안 동맹(Cloud Security Alliance, CSA)이라는 클라우드 보안의 모범실무 연구조직이 인터넷과 연결된 시스템을 보호하기 위한 소프트웨어 기반 영역(Software-Defined Perimeter, SDP) 프레임워크를 개발하겠다는 계획에 한 걸음 다가섰다.

 


CSA는 비영리 조직으로 이번에 웨이벌리 랩스(Waverley Labs)와 함께 손을 잡고 오픈소스 SDP 프레임워크를 개발 중에 있는데, CSA 측에 의하면 온프레미스나 클라우드 기반 애플리케이션을 보호하는 아주 획기적인 뭔가가 탄생할 거라고 말해왔다.


이번에 개발하는 SDP는 원래 국방부와 NSA가 공동으로 개발했던 프로토콜에 기반을 둔다고 CSA 측은 설명했다. 또한, 그 목적은 허가된 기기와 사용자가 공공 인터넷망을 통해서도 안전하게 기업 애플리케이션과 시스템에 접근할 수 있도록 하면서 동시에 불법 접근을 통제하기 위함이라고 밝혔다.


SDP의 기본 개념은 네트워크 보안의 위협요소를 줄이기 위해 역동적인 외벽을 친다는 건데, 보통 정보보안에서 ‘외벽’이라 하면 ‘고정된’ 것에 가까운 개념이다. 그편이 네트워크로 접근하는 모든 트래픽을 제어하기가 편하기 때문이다. 또한 SDP에서는 네트워크에 연결된 시스템들을 대중들이 볼 수 없다. 오직 인증된 기기 혹은 사용자만이 이를 볼 수 있는 것이다.


그러므로 이번 개발의 목적은 애플리케이션 인프라를 인증된 사람 아니면 아예 접근은커녕 감지조차도 할 수 없게 만드는 것이라고 볼 수 있다. 벌거벗은 임금님의 그 ‘착한 사람만 보이는 옷’을 실제로 만든다고 볼 수 있다.


CSA의 CEO인 짐 리비스(Jim Reavis)는 “SDP란 비공개 사설 클라우드를 대중 인터넷망 위에 겹쳐놓는 것”이라고 요약한다. “디도스처럼 기업들이 흔히 겪는 공격들을 방어하는 데에 굉장히 효율이 높습니다.”


SDP가 주목을 받게 된 건 코카콜라와 같은 대기업이나 연방 조직들에서 이미 SDP를 대규모로 사용하고 있기 때문이다. 다만 SDP 관련 솔루션들은 굉장히 비쌌기 때문에 다들 관심만 있었고 실제로 사용하지는 못했다. 그래서 CSA가 자신들만의 오픈소스 SDP를 개발하고 있는 것이기도 하다.


리비스는 “SDP는 다섯 개의 분명한 층으로 구성되어 있다”고 하며 “네트워크에 접속하려는 기기로부터 SDP 제어기로 최초의 패킷이 전송될 때 제일 먼저 도착하는 패킷 인증 시스템이 제일 아래층에 있고, 이때 기기 인증에는 암호화가 필수로 포함된다”고 설명했다.


“그 다음에는 공통 전송 레이어 보안(Mutual Transport Layer Security)라는 게 있습니다. 이는 클라이언트와 서버, 기기의 양방 인증을 가능하게 합니다. 즉 기기에서 신뢰할 만한 소프트웨어가 돌아가고 있는지 확인하고, 올바른 사용자가 사용하고 있는 걸 확인하는 것이죠.”


그 다음은 역동적인 방화벽이다. “대단히 중요한 부분입니다. 들어오는 요청들을 전부 자동으로 거절하죠. 허가된 것만 빼놓고요. 역동적인 방화벽이 차용하는 접근 제어 규칙은 기기마다 각각 부여된 접근권한에 엄격하게 입각하고 있고, 그래서 이 자동화 과정은 굉장히 엄격하며 신뢰가 가능하게 되는 겁니다.”


이렇게 사용자, 기기, 통신의 인증이 전부 끝나면 접속의 준비가 모두 마쳐지게 된다. 그런데 여기에 애플리케이션을 묶어주는 단계가 하나 더 개입한다. 여기서 암호화된 TLS 터널이 만들어지고, 이는 애플리케이션으로의 접근을 보호하는 기능을 가지고 있다. 즉 철저한 인증이 끝난 후에도 사용자가 허가된 통로(터널)를 통해서만 애플리케이션을 사용하게 관리하는 것이다.


오픈소스 SDP 프레임워크는 기업들에게 기존의 ‘보안 외벽’과는 또 다른 보호책을 제공할 것으로 기대한다고 웨이벌리 랩스의 후아니타 코일필라이(Huanita Koilpillai) CEO는 말한다. 웨이벌리와 CSA는 현재 위에서 언급한 ‘겹겹이 보안’의 개념을 정립했고, 현재는 첫 단계인 첫 패킷 인증을 구축하고 있다고 한다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>