편집 : 2020.3.30 월 15:06
금융IT
“금융권 망분리 대안 나오나…SDP 활용 주목”엠엘소프트, ‘티게이트 SDP’ 내놓고 관련 시장 공략 강화
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2020.02.26  05:29:05
트위터 페이스북 미투데이 요즘 네이버 구글 msn

금융권에서 사용중인 VPN(virtual private network)의 보안 취약점을 보완하면서, 궁극적으로 망분리 대안으로도 활용이 가능한 SDP(Software Defined Perimeter, 소프트웨어 정의 경계)가 최근 업계 이슈로 떠오르고 있다.

VPN은 거의 모든 금융회사들이 전용회선의 보조적 수단으로 사용하고 있지만, 선(先)연결 후(後)인증 방식으로 보안의 문제가 있다는 지적을 받아 왔다. 

물론, SDP 개념이 확산이 당장 금융권에서 구축을 완료한 망분리의 실질적인 대안이 될 수 없지만, 장기적으로 클라우드 시대를 겨냥하면 빠르게 확산될 수 있다는 미래비전을 갖고 있다. 

이무성 엠엘소프트 대표는 “이미 모든 망분리가 완료된 금융회사가 SDP를 전사적으로 도입하기는 어려울 것”이라며 “그러나, 금융회사내에 클라우드 시스템이 확산되면 이 SDP 도입이 오히려 네트워크 보안 취약점을 해소하는데 기간시스템 역할을 하게 될 것”이라고 강조했다. <그림1 ‘SDP-VPN 상세비교’ 참조>

   
▲ 그림1 ‘SDP-VPN 상세비교’.(출처 : 엠엘소프트 제공)

◆SDP란 = SDP는 미국 국방성 GIG프로젝트(Global Information Grid, 모델명: 블랙코어-Black Core)를 모델링해 미국 CSA(Cloud Security Alliance)에서 상용화를 추진한 보안 프레임워크로 설명이 가능하다.

즉 SDP는 기존 보안 프로토콜의 취약성이 ‘커넥션 지향 프로토콜(Connection-oriented protocol)에 있다는 점에 착안, 개선된 네트워크 방식을 지원한다.

이무성 대표는 “기존의 해킹 방식을 보면, 서버 위치 즉 프로토콜이 다 알려진 형태에서 공격이 이뤄지는 경우가 대부분”이라며 “SDP는 블랙코어 즉, 철저하게 음영화 된 네트워크 내에서 사이버 안전을 보장하는 기술”이라고 설명했다.<그림2 ‘GIG 블랙코어 및 SDP 프레임워크’ 참조>

   
▲ 그림2 ‘GIG 블랙코어 및 SDP 프레임워크’-1.(출처 : 엠엘소프트 제공)
   
▲ 그림2 ‘GIG 블랙코어 및 SDP 프레임워크’-2.(출처 : 엠엘소프트 제공)

특히, 제로 트러스트 시대에 사용자 접속을 보다 세밀하게 구성하면 그만큼 기업의 기간망에 접속하는 ‘정체’를 정확하게 확인할 수 있고, 반면 기업의 IT시스템은 노출을 줄일거나 없앨 수 있다.

◆SDP 핵심 요소는 = 통상적으로 SDP는 5가지를 핵심요소로 한다. ▲보호대상을 감추고(Information/Infrastructure Hiding) ▲상호 간에 양방향으로 방어하며(Mutual Two-way Encrypted Connections) ▲사전에 알려진 것만 처리한다(Need to Know Access Model) 또 ▲실시간으로 액세스 규칙이 적용되고(Dynamic Firewalls) ▲애플리케이션 계층까지 액세스를 제어한다(Application Layer Access)<그림3 ‘SDP 접속방식 예’ 참조>

   
▲ 그림3 ‘SDP 접속방식 예’.(출처 : 엠엘소프트 제공)

◆미국 CSA 실험을 보면 더욱 명쾌한 SDP = SDP 적용이 네트워크 보안에 있어 어떤 우위점을 보이는 지는 미국 CSA 실험을 통해 명쾌해 졌다. 

지난 20013년에 CSA는 IP 주소 지정이 가능하면서도 상호 신뢰하는 엔드-투-엔드 네트워크를 생성하기 위한 아키텍처를 개발하도록 설계된 모의 SDP 네트워크 공격 실험에 나섰다.

2014년 2월 CSA는 이 해커톤 대회를 후원했다. 

그 결과 SDP가 구축된 시스템에 전 세계에서 약 100억개 이상의 해킹 공격에 나섰지만, SDP의 총 5단계 중 첫 번째 단계조차 침입을 허용하지 않았다.

SDP는 현재 해외에서 미국 국방성, 미 국토부, 코카콜라를 사례를 갖고 있고, 국내에서는 반도체 회사 등이 큰 관심을 보이고 있다.

◆엠엘소프트 ‘티 게이트 SDP’ 출시 = 이 SDP 시장에 가장 큰 관심을 보이는 기업은 엠엘소프트(대표 이무성)다. 

네트워크 접근 제어(NAC) 시스템 전문 기업으로 알려진 엠엘소프트는 신한은행, 농협은행, 수협은행 등을 주요 고객사로 확보하고 있다.

지난 2019년 엠엘소프트는 ID기반(Centric) ‘티 게이트(Tgate) SDP’ 출시하며, 관련 시장 본격 공력하고 있다.<그림4 '티게이트 시스템 구성 및 주요 기능' 참조>

   
▲ 그림4 '티게이트 시스템 구성 및 주요 기능'.(출처 : 엠엘소프트 제공)
   
▲ 그림4 '티게이트 시스템 구성 및 주요 기능'.(출처 : 엠엘소프트 제공)

‘티게이트’ 사용자는 네트워크 기반이 아니기 때문에 IP노출 없이 승인된 애플리케이션에만 접속이 가능하다.

즉 기업은 네트워크 세그먼트 관리, 방화벽 정책관리, ACL이 필요하지 않게 된다.

- 엠엘소프트 ‘티 게이트 SDP’ 주요 기능 -

◆서버 스텔스(Server Stealth) 

- 대상 네트워크 정보를 외부에 노출을 하지 않는 기능.
- 외부 즉, 인터넷에서 G/W IP을 일반적으로 알 수 없음.

◆디도스 공격 방지 기능

- 외부에 노출되는 IP는 NP 이외 없음.
- 장비, 사용자 인증에 사용되는 패킷(Packet)은 SPA(Single Packet Authorization).

◆IPSec 기능

- 티게이트 SDP는 IPsec VPN 사용.
- IPsec은 OS에서 지원하는 암호화 통신으로 SSL에 비해 오버헤드가 발생하지만 안전하고 안정적.

◆앱 바인딩 기능

- SDK를 이용해 애플리케이션을 개발, SDP를 사용할 수 있음.
- 티게이트 SDP 정책에 따라 지정된 애플리케이션만 SDP 통신을 사용 할 수도 있음

◆다이나믹 FW  기능

- 화이트 리스트 기반 방화벽.
- 접근 허용 정책이 있을 경우에도 수 초 내에 접속이 없으면 접속 차단 상태로 변경됨.
- 실시간으로 접속 허가/차단 정책이 상황에 따라 변경됨.

이무성 사장은 “코로나 19 사태와 같은 특수한 상황 때문에 특정 기간 임시 직장 폐쇄 등 상황이 발생하면, 현재 망분리 구조에서는 기업 내부망 접속이 불가능하고, VPN을 통해 접속하면 보안 취약점을 보인다”며 “클라우드 시대에는 현재 망분리 및 VPN 구조로 기업 IT시스템 운영이 불가능하다. 조기 SDP 도입이 필요하다”고 덧붙였다.

특히, 이무성 대표는 “현재 라이센스 구조를 사용자 1인 기준 월 1만원으로 적용할 예정”며 "이 가격구조는 SDP를 사용하는 글로벌 표준"이라고 밝혔다. 

‘티게이트 SDP’는 ETRI의 TAPS(Trust Access Protection Solution) 아키텍처를 준수한다.

클라우드 물결을 만나 기존 폐쇄적 구조(On-premise)의 기업 IT시스템이 개방형(Cloud)으로 변화하고 있다.

궁극의 ‘제로 트러스트’ 보안을 SDP 기술은 해법의 핵심이 되고 있다. 

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
‘카카오페이-삼성화재 보험 원수사’, IT 구축 핵심은…
2
금융권 ‘오라클 리스크’ 대책 마련 분주…KB도 갈등
3
삼성전자, 무선이어폰용 ‘통합 전력관리칩’ 출시
4
제52대 권광석 우리은행장 취임
5
KT, ‘코로나19’ 확산예측 공동 연구 나서
6
SK, ‘디지털 금융 모바일 테스트’ 제공
7
시스코, ‘코로나 19’ 대응 대규모 기부 나서
8
국민은행, ‘신 모니터링 시스템’ 오픈
9
통신3사, ‘패스 휴대폰 번호 로그인’ 출시
10
삼성SDS, 글로벌 ‘모바일 보안’ 잇따라 수주
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 김동기
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 김동기 | 청소년보호책임자 : 김동기
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net