SDP (Software Defined Perimeter) 에 대해 알아보겠습니다.

Ⅰ. SDP (Software Defined Perimeter) 란?

 CSA(Cloud Security Alliance)가 제안한 차세대 접근통제 프레임워크로, 물리적·고정적 네트워크 경계 대신 소프트웨어로 “보이지 않는 경계”를 동적으로 생성합니다.
 ⅰ. 비가시화(Invisibility)
모든 자산은 기본적으로 외부에 감춰져 있으며, 인증된 사용자·기기만 해당 자원을 탐지하고 접속할 수 있습니다.
 ⅱ. 제로 트러스트 원칙
사용자와 기기는 “믿지 않고(never trust) 검증(verify first)” 과정을 거쳐야 하며, 인증 전에는 어떠한 네트워크 연결도 생성되지 않습니다.

Ⅱ. SDP (Software Defined Perimeter) 동작 원리

SDP는 크게 세 가지 구성 요소로 이루어집니다:

구성 요소	역할
SDP Controller	사용자·기기 인증, 정책 결정 및 배포
SDP Gateway	인증된 세션에 대해 애플리케이션별 터널링 제공
SDP Client	엔드포인트에서 인증 요청 및 터널 설정

 

ⅰ. 인증 전 비가시화
클라이언트가 접속을 시도해도 SDP Gateway는 외부에 존재하지 않는 것처럼 동작합니다.
ⅱ. 인증 및 평가
SSO, MFA, 기기 보안 상태 점검 등 다단계 검증을 통과해야 SDP Controller가 “허가”를 내립니다.
ⅲ. 동적 터널 생성
승인된 사용자·기기에 한해, 해당 자원과 1:1 전용 암호화 터널이 수립됩니다.
ⅳ. 세션 종결 및 모니터링
접속 종료 시 터널을 파기하고, 지속적 모니터링으로 이상 행동 시 즉시 세션을 차단합니다.

Ⅲ. SDP (Software Defined Perimeter) vs. SSL VPN

구분	SSL VPN	SDP (Software Defined Perimeter)
접근 대상	네트워크 전체	개별 애플리케이션·서비스
인증 시점	접속 후 인증	인증 후 접속
노출 범위	내부 자산 전체 노출	인증된 자산만 노출
권한 관리	광범위·정적	최소 권한·정교
침투 위험	횡적 이동(lateral movement) 가능성 높음	내부 측면 확산 방지
확장성	데이터센터 인프라 중심	클라우드·모바일·SaaS 확대 가능
노출 최소화	인증만으로 전체 네트워크 망에 진입	권한별 자원에만 터널을 허용하여 공격 표면을 극적으로 축소
정교한 권한 분리	사내망 자체를 ‘열어두는’ 방식	애플리케이션 단위로 1:1 연결 구성

Ⅳ. SDP (Software Defined Perimeter) 장·단점

SDP(Software Defined Perimeter)
장점	1) 공격 표면 축소: 네트워크가 외부에 보이지 않아 침입 자체를 원천 차단. 2) 최소 권한 원칙: 필요한 자원만 연결, 횡적 확산 불가능. 3) 정책 자동화: 클라우드·온프레미스·모바일 환경에서 일관된 동적 정책 적용. 4) 운영 효율성: 중앙 집중형 관리로 복잡도 감소 및 빠른 배포 가능.
단점	1) 초기 구축 비용: Controller·Gateway·Client 구성과 MFA 연동에 추가 투자가 필요. 2) 통합 이슈: 일부 솔루션은 타 보안 제품과 연동성 부족. 3) 지속 모니터링 요구: 실시간 인증·평가를 위한 인프라·운영 리소스 필요.

Ⅴ. SDP (Software Defined Perimeter) vs ZTNA (Zero Trust Network Access) 비교

ZTNA(Zero Trust Network Access)와 SDP는 모두 제로 트러스트를 구현하지만 관점과 계층에 차이가 있습니다.

SDP는 “보이지 않는 경계”로 자원을 숨겨 공격자가 인지조차 못 하게 하며, 일회성 1:1 터널로 접속을 허가합니다.
ZTNA는 “모든 요청을 기본 불신”으로 보고, ID·디바이스 상태·위치 등 컨텍스트 기반으로 연속 검증하여 애플리케이션 접근을 제어합니다. 실제로 두 기술은 상호보완적이며, 제로 트러스트 환경 완성에는 양쪽 접근법이 함께 활용됩니다

구분	SDP (Software Defined Perimeter)	ZTNA (Zero Trust Network Access)
적용 계층	네트워크 계층에서 가상 경계 생성	애플리케이션 계층에서 논리 경계 설정
핵심 초점	리소스의 ‘존재 은폐(클로킹)’	출발지(ID·Context)의 검증과 지속 평가
아키텍처	중앙 집중형(Controller→Gateway 구조)	분산 브로커·게이트웨이 기반
통합성	일부 폐쇄적 솔루션 존재	IDP, SIEM 등 다양한 솔루션과 연동 유연
지속성	인증 시점에 주로 초점	접속 중에도 지속적 권한 재평가