사고 잦은 VPN, 대안은 없나… ‘ZTNA·SDP’ [보안TMI] 작성일 05-24 26 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">내부망 전체 대신 필요한 앱만 연결 <br>ZTNA는 접근 보안 모델·SDP는 숨겨진 경계 구현 방식</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FVMPD7XSnD"> <div contents-hash="67cce38633d09b113473755fa8fc07c4eed840f27c4d2b3e2cd1775d14cb0f7e" dmcf-pid="3U9BLZhDdE" dmcf-ptype="general"> IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주] </div> <figure class="figure_frm origin_fig" contents-hash="ff33dd0f02ab50a32d74832bd6c7a76b309ce2ecd045a0658269044045aeda99" data-idxno="443790" data-type="photo" dmcf-pid="0u2bo5lwLk" dmcf-ptype="figure"> <p class="link_figure"><img alt="원격 사용자가 VPN 방식으로 내부망 전체에 접속하는 모습과 ZTNA·SDP 방식으로 승인된 애플리케이션에만 연결되는 구조를 대비해 표현한 이미지 / 챗GPT 생성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/24/552810-SDi8XcZ/20260524060012185qnzq.png" data-org-width="1280" dmcf-mid="tUbziHIkiw" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/24/552810-SDi8XcZ/20260524060012185qnzq.png" width="658"></p> <figcaption class="txt_caption default_figure"> 원격 사용자가 VPN 방식으로 내부망 전체에 접속하는 모습과 ZTNA·SDP 방식으로 승인된 애플리케이션에만 연결되는 구조를 대비해 표현한 이미지 / 챗GPT 생성 </figcaption> </figure> <p contents-hash="a649fe9f7450dc1605bea1b90e730595985e1a65e05126f5ccf261a3f307504c" dmcf-pid="p7VKg1SrMc" dmcf-ptype="general">사무실 밖에서도 사내망에 원격으로 접속하기 위한 수단으로 '가상사설망(VPN)' 기술이 오랫동안 쓰였다. 문제는 개인의 VPN 계정이 탈취되거나 VPN 장비 자체의 취약점이 악용될 때다. 공격자가 VPN을 발판으로 일단 내부망에 들어오면 여러 시스템으로 접근 범위를 넓힐 수 있다.</p> <p contents-hash="e3dcd36a3d67180b36f4e804d430301984acf23563205ba377a4fe2f4ae04ef4" dmcf-pid="Uzf9atvmeA" dmcf-ptype="general">이러한 약점을 줄이기 위해 등장한 방식이 '제로 트러스트 네트워크 접근(ZTNA·Zero Trust Network Access)'이다. ZTNA는 사용자를 내부망 전체에 연결하지 않는다. 신원, 기기 상태, 접속 위치, 권한을 확인한 뒤 업무에 필요한 애플리케이션에만 접근을 허용한다. 회사 건물 전체 출입증을 주는 대신, 특정 회의실 문만 열리는 출입증을 주는 방식이다.</p> <p contents-hash="a84d8734761fc8c356bbe4d4e1762a2acb98f728bf23357ec8c7ccd4c9a48ec1" dmcf-pid="uq42NFTsdj" dmcf-ptype="general">소프트웨어 정의 경계(SDP·Software-Defined Perimeter)는 접속 대상 자체를 숨기는 방식으로 접근한다. 접속이 허용되기 전까지 애플리케이션이나 서버를 외부에 드러내지 않는다. 사용자가 먼저 신원을 증명하고 정책을 통과해야 서비스 위치와 접속 경로가 열린다. 허가받지 못한 사용자는 해당 시스템이 있는지조차 알기 어렵다.</p> <p contents-hash="94f8d526da1753eebb53c7e4c4bdbe4efaf6edfbaa6b0a131e723a47a9c2f74f" dmcf-pid="7B8Vj3yOdN" dmcf-ptype="general">ZTNA와 SDP가 바라보는 방향은 같다. 사용자가 내부망에 들어왔다는 이유만으로 믿지 않으며 필요한 자원에만 접근을 허용한다. VPN이 사내망으로 들어오는 전용 터널이라면, ZTNA와 SDP는 애플리케이션별로 문을 여는 방식이다. 공격자가 계정을 훔쳐 들어와도 접근 가능한 영역을 제한하고 외부에 노출되는 공격 표면도 줄이는 것이 목적이다.</p> <p contents-hash="64a349ba1b390527ac9284cf763214bf8d4b915d6ebd46dfd333fadc010432dd" dmcf-pid="zb6fA0WIMa" dmcf-ptype="general">차이는 용어가 쓰이는 층위에 있다. ZTNA는 제로 트러스트 원칙을 적용한 접근 보안 모델이나 서비스 범주로 쓰인다. 사용자가 어떤 애플리케이션에 접근할 수 있는지를 판단하고 조건에 맞을 때만 연결한다. 이에 비해 SDP는 인증과 권한 확인 전까지 접근 대상을 보이지 않게 숨기는 구현 방식에 더 가깝다.</p> <p contents-hash="66edb8e4e9f3f882e1261ccc284b411e9533fa672da31a01303f43a3e42d44b1" dmcf-pid="qKP4cpYCMg" dmcf-ptype="general">다만 시장에서는 두 용어가 겹쳐 쓰이는 경향이 있다. 많은 ZTNA 제품이 SDP 개념을 구현 방식으로 활용하기 때문이다. 쉽게 말해 ZTNA는 "누가 어떤 앱에 접근해도 되는가"를 따지는 접근 제어 방식이고, SDP는 "허가받기 전까지 앱과 서버를 보이지 않게 숨기는 경계 기술"이다.</p> <p contents-hash="482d8488f0d4fc48a72248e71c7eb24e1c19e3c5aa1a254f84b6a9d7feffa89f" dmcf-pid="B9Q8kUGhMo" dmcf-ptype="general">기업은 VPN을 없앨지 말지가 아니라, 접근 방식을 어떻게 바꿀지를 먼저 봐야 한다. 모든 사용자를 내부망에 접근할 수 있도록 허용하는 대신 사용자와 기기 상태를 확인하고, 필요한 애플리케이션에만 연결해야 한다. 관리자 계정이나 중요 업무 시스템에는 더 강한 인증과 권한 정책을 적용해야 한다. 원격근무, 협력사의 우리 망 접속, 클라우드 업무 같은 유형이 늘수록 이런 접근은 더 필요해진다.</p> <p contents-hash="51fbd452df0ff3b85a3e0b2cfc59325a6b6265c09a7fb7d11d91a2330c81f53d" dmcf-pid="b2x6EuHldL" dmcf-ptype="general">다만 ZTNA와 SDP 솔루션을 도입한다고 해서 VPN의 모든 문제가 자동으로 해결되지는 않는다. 신원 관리가 부실하거나 기기 상태 확인이 제대로 이뤄지지 않으면 접근 통제도 흔들린다. 어떤 애플리케이션을 누구에게 열어줄지 정리하지 못하면 운영 복잡성도 커진다. 핵심은 내부망 전체 접속을 필요한 앱 단위 접근으로 바꾸는 데 있다.</p> <p contents-hash="731c1be47322aed616541149bd795941b5aeb8cc1e94b65eeb9dcff9b75e5253" dmcf-pid="KVMPD7XSdn" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 '호프' 여름 극장가 희망 될까…할리우드 대작도 줄줄이 가세 05-24 다음 앤트로픽 미토스는 '연차 높은 보안 연구원'…해커 능력치도 높인다는데? 05-24 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
