핵심 인사이트
- SDP(Software Defined Perimeter)는 "먼저 인증, 나중에 연결(Authenticate First, Connect Later)"의 패러다임 — 전통적 방화벽이 네트워크 경계 안으로 들어오면 신뢰하는 것과 달리, SDP는 모든 연결 요청에 대해 사용자+기기+컨텍스트 인증을 완료한 후에만 네트워크 경로를 열어준다.
- SDP의 혁신은 서비스를 사전에 보이지 않게 만드는 것(Dark Cloud) — 포트 스캔, 취약점 스캔 자체가 불가능한 "블랙 클라우드"를 구현하여 공격 표면(Attack Surface)을 근본적으로 제거한다.
- ZTNA(Zero Trust Network Access)와 SDP는 사실상 같은 개념의 다른 이름 — 가트너의 ZTNA, CSA의 SDP, 구글의 BeyondCorp 모두 "최소 권한, 명시적 인증, 지속 검증"의 제로 트러스트를 네트워크 접근에 구현한 것이다.
Ⅰ. SDP 아키텍처
전통 VPN vs SDP:
전통 VPN:
사용자 → [VPN 터널] → 네트워크 경계 진입
→ 내부 네트워크 전체 접근 가능
문제:
VPN 자격증명 탈취 → 내부 전체 노출
수평 이동 (Lateral Movement) 가능
VPN 서버 자체가 공격 타겟 (포트 공개)
SDP 구조:
[클라이언트]
|
↓ 1. SPA (Single Packet Authorization)
[SDP Controller] ← 인증, 정책, 키 교환
|
↓ 2. 인증 성공 → 연결 허가
[SDP Gateway] ← 프록시/NAT, 서비스 숨김
|
↓ 3. mTLS 터널
[보호 서비스] ← DB, 앱 서버 (인터넷 비노출)
핵심 컴포넌트:
SDP Controller:
중앙 정책 관리 + 인증
사용자, 기기, 컨텍스트 검증
연결 허가 결정 발행
SDP Gateway:
실제 트래픽 프록시
보호 서비스를 인터넷에서 숨김
Controller 허가 기반 동적 방화벽 규칙
IH (Initiating Host):
SDP 클라이언트 (사용자 기기)
SPA 패킷 전송 + 인증
AH (Accepting Host):
SDP Gateway 뒤의 보호 서비스
📢 섹션 요약 비유: SDP = 비밀 클럽 입장 — 문(Gateway) 자체가 보이지 않음(Dark). 비밀 노크(SPA)로 인증 후 문 위치 알려줌. VPN은 보이는 문에 자물쇠만, SDP는 문 자체가 보이지 않음!
Ⅱ. SPA (Single Packet Authorization)
SPA (Single Packet Authorization):
SDP의 핵심 기술
"하나의 암호화된 UDP 패킷으로 인증 요청"
기존 포트 노크킹 vs SPA:
포트 노크킹: 순서대로 포트 접속 시도
→ 패시브 스니핑으로 패턴 노출 가능
SPA: 암호화 + HMAC + 타임스탬프
→ 재생 공격 불가 (타임스탬프 검증)
→ 수동 감청으로 복제 불가 (HMAC)
SPA 동작 흐름:
1. 클라이언트가 SPA 패킷 구성:
[사용자ID][기기ID][타임스탬프][요청 서비스]
→ HMAC 서명 → 암호화
→ UDP 포트 (기본 62201) 전송
2. SDP Controller가 SPA 수신:
복호화 → HMAC 검증 → 타임스탬프 확인 (30초 유효)
사용자 인증 (MFA) → 기기 신뢰 확인
정책 검사: 이 사용자가 이 서비스 접근 가능?
3. 인증 성공 시:
Gateway에 동적 방화벽 규칙 추가:
"이 IP에서 이 서비스 포트로 접속 허용 (30분)"
4. 클라이언트가 연결:
mTLS로 Gateway에 연결 → 서비스 접근
SPA 보안 특성:
방화벽 기본: 모든 포트 차단 (Default-Deny)
유효한 SPA 없으면: 포트 스캔 = 아무것도 없음
nmap 스캔: 모든 포트 "filtered" 응답
→ 공격 표면 제로
📢 섹션 요약 비유: SPA = 암호 노크 — 비밀 조합(암호화 패킷)을 알아야만 문 위치(포트) 가르쳐줌. 모르는 사람이 두드려도(포트 스캔) 문이 없는 것처럼 보임. 30초 후 자동 소멸!
Ⅲ. SDP vs ZTNA vs BeyondCorp
개념 비교:
SDP (Software Defined Perimeter):
CSA (Cloud Security Alliance) 정의
아키텍처 중심 명세
IH → Controller → AH 3계층
ZTNA (Zero Trust Network Access):
Gartner 정의 용어
"네트워크 수준 제로 트러스트"
SDP와 사실상 동의어
BeyondCorp (Google):
2014년 구글 내부 구현
"VPN 없이 사무실 밖에서도 내부 서비스 접근"
핵심 원칙:
위치로 신뢰 결정 안 함 (사무실 = 신뢰 X)
기기 상태 + 사용자 자격 기반 접근
구현:
Device Certificate: 기업 관리 기기만
Context-Aware Access: 위치, 기기 상태, 사용자 역할
Access Proxy: 모든 트래픽 프록시 경유
상용 ZTNA 솔루션:
Zscaler Private Access (ZPA)
Cloudflare Access (ZTNA)
Palo Alto Prisma Access
Okta Advanced Server Access
공통 특성:
클라이언트 에이전트 기반 또는 에이전트리스
클라우드 기반 Controller/Gateway
ID Provider (Okta, Azure AD) 통합
기기 상태 검증 (MDM 연동)
📢 섹션 요약 비유: SDP=ZTNA=BeyondCorp = 같은 개념 다른 이름 — 구글(BeyondCorp), CSA(SDP), Gartner(ZTNA). 모두 "네트워크 위치가 아닌 신원+기기+컨텍스트로 신뢰 결정"!
Ⅳ. SDP 구현 고려사항
SDP 구현 시 주요 고려사항:
1. 에이전트 vs 에이전트리스:
에이전트 방식:
→ 기기에 SDP 클라이언트 설치
→ 강력한 기기 상태 검증 가능
→ BYOD 관리 어려움
에이전트리스 (브라우저 기반):
→ 웹 앱 접근에 특화
→ BYOD, 파트너 협력업체에 적합
→ 기기 상태 검증 제한
2. MFA 통합:
SPA 인증 + MFA 필수
FIDO2/WebAuthn: 피싱 저항 MFA
Push 기반 MFA (Duo, Okta Verify)
3. 기기 신뢰 (Device Trust):
MDM (Intune, Jamf) 등록 확인
패치 레벨, 디스크 암호화, 방화벽 상태
엔드포인트 보안 솔루션 실행 확인
Context-Aware:
기기 상태 안 좋으면 → 고위험 서비스 차단
허용 서비스 목록 축소
4. 마이크로 세그멘테이션:
사용자별 허용 서비스 최소화
"개발자 → Dev 서버만" (Prod DB 차단)
"재무팀 → 회계 시스템만"
5. 로깅 & 감사:
모든 접근 요청 + 허가/거부 기록
SIEM 연동 → 이상 접근 탐지
요구사항:
규정 준수: 감사 추적 1년 이상 보관
📢 섹션 요약 비유: SDP 구현 = VIP 클럽 운영 — 에이전트(전용 앱), MFA(신분증+지문), 기기신뢰(깨끗한 옷차림 확인), 마이크로세그멘테이션(VIP마다 다른 구역 접근). 모두 충족해야 입장!
Ⅴ. 실무 시나리오 — 글로벌 기업 VPN→SDP 전환
글로벌 제조사 VPN 대체 SDP 도입:
현황:
재택근무자 5,000명
기존: Cisco AnyConnect VPN
문제:
VPN 자격증명 탈취 → 내부망 전체 노출 사고 2건
VPN 서버 DDoS → 재택 직원 전원 업무 불가
VPN 스플릿 터널링 복잡한 관리
SDP 도입 결정:
솔루션: Zscaler Private Access (ZPA)
기간: 6개월 전환
Phase 1 (2개월): 파일럿
IT 부서 100명 ZPA 시범 운영
기존 VPN + ZPA 병행
설정:
Azure AD + Okta MFA 통합
Intune 기기 상태 검증
애플리케이션 세그멘테이션: 15개 앱 등록
Phase 2 (3개월): 전체 전환
5,000명 ZPA 클라이언트 배포
VPN 병행 → 완전 전환
주요 변경:
사용자: 에이전트 설치 후 VPN 대신 ZPA
서비스: 내부 앱 → ZPA Application Segments
Phase 3 (1개월): VPN 완전 폐기
결과:
보안:
VPN 서버 인터넷 노출 제거 (DDoS 타겟 없음)
포트 스캔 불가 (공격 표면 제거)
자격증명 탈취 = 무용지물 (기기신뢰 + MFA)
운영:
사용자 경험: VPN보다 빠름 (ZPA 최적 경로)
관리: 중앙 정책 일원화 (국가별 VPN 게이트웨이 제거)
비용:
VPN 서버 인프라 철수: 연 $200,000 절감
📢 섹션 요약 비유: VPN→SDP 전환 = 보이는 대문 → 숨겨진 비밀 입구 — VPN 대문(DDoS 타겟)을 없애고 비밀 통로(SPA)만. 자격증명 훔쳐도 기기신뢰+MFA로 막힘. 연 2억 절감!
📌 관련 개념 맵
SDP (Software Defined Perimeter)
+-- 아키텍처
| +-- SDP Controller (정책/인증)
| +-- SDP Gateway (프록시)
| +-- IH / AH (클라이언트/서버)
+-- 핵심 기술
| +-- SPA (단일 패킷 인증)
| +-- mTLS, MFA
| +-- 기기 신뢰 (Device Trust)
+-- 관련 개념
| +-- ZTNA (Gartner)
| +-- BeyondCorp (Google)
| +-- Zero Trust
+-- 상용 솔루션
+-- Zscaler ZPA
+-- Cloudflare Access
+-- Palo Alto Prisma
📈 관련 키워드 및 발전 흐름도
[전통 방화벽 경계 보안]
DMZ, VPN
내부 신뢰 외부 불신
|
v
[BeyondCorp (Google, 2014)]
VPN 없는 원격 접근
제로 트러스트 실증
|
v
[CSA SDP 명세 (2014)]
아키텍처 표준화
SPA, IH, AH, Controller
|
v
[COVID-19 재택근무 (2020)]
VPN 한계 폭발
ZTNA/SDP 수요 급증
|
v
[현재: SASE 통합]
SDP + CASB + SWG
네트워크+보안 통합 플랫폼
👶 어린이를 위한 3줄 비유 설명
- SDP = 비밀 클럽 문 — 문이 보이지 않아요(Dark). 비밀 노크(SPA) 아는 사람만 문 위치 알고 들어갈 수 있어요!
- SPA = 암호 노크 — 암호화된 패킷 하나로 신원 확인. 모르는 사람이 포트 스캔해도 아무것도 없는 것처럼 보여요!
- VPN vs SDP = 보이는 문 vs 숨겨진 통로 — VPN은 대문(DDoS 공격 대상), SDP는 비밀 통로(공격 목표 자체가 없음)!