Q22. SASE는 통합 보안 플랫폼인가요?

By PLURA

A. SASE는 통합 보안이 아닙니다.
SASE는 접근 경로(Edge)를 통합한 것이지,
침해 행위(Host/App)를 끝까지 관찰·대응하는 플랫폼이 아닙니다.

※ SASE(Secure Access Service Edge)는
네트워크(SD-WAN)와 보안 기능(SWG, CASB, FWaaS, ZTNA 등)을
클라우드 기반으로 통합 제공하는 아키텍처를 의미합니다.

1️⃣ “SASE 기반 통합 보안 플랫폼”이라는 표현이 만들어내는 착시

SASE는 Gartner가 정의한 것처럼 네트워크(SD-WAN) + 보안(SWG/CASB/FWaaS/ZTNA 등)을
클라우드 서비스로 “컨버지드(Converged)”하는 모델입니다. (가너)

통합의 대상은네트워크 경계/접근 서비스’입니다.

하지만 많은 홍보 문구는 이 “통합”을
마치 침해 탐지/대응까지 포함한 ‘통합 보안의 완성’처럼 확장해서 말합니다.

네트워크 접근을 통합한 것과,
공격 진행을 끝까지 통합 관측·대응하는 것은 전혀 다른 문제입니다.

2️⃣ 암호화(TLS) 시대의 ‘가시성’ 문제: 네트워크는 본질적으로 제한적입니다

오늘날 트래픽 대부분은 TLS로 암호화되어 있습니다.

그리고 현실의 “암호화된 네트워크”는 TLS(HTTPS)만이 아닙니다.
SSH, RDP 같은 원격 관리/접속 채널도 기본적으로 암호화되어 있고,
VPN/터널링(각종 캡슐화),
애플리케이션 단 암호화(예: DB 연결, 메시징 등)까지 더해지면
네트워크 관점에서 볼 수 있는 본문(payload)은 더 빠르게 사라집니다.

더 나아가 공격자는 악성코드 자체 통신(C2/데이터 유출)을
별도의 프로토콜로 암호화/난독화하기도 합니다.

예를 들어 BPFDoor 같은 백도어 계열은
네트워크 장비 입장에서 “정상 세션처럼 보이는” 암호화 통신 위에
공격 트래픽을 숨길 수 있습니다.

이 환경에서 SASE/SWG/FWaaS가 확보하는 가시성은 대개 다음 범위에 머뭅니다.

  • 메타데이터(목적지, 세션 시간, 전송량, 일부 TLS 핸드셰이크 정보 등)
  • 정책 기반 통제(허용/차단, 카테고리/평판 기반)
  • (선택적으로) TLS Inspection(복호화)

문제는 TLS Inspection이 ‘전면 적용’되기 어렵다는 현실입니다.

  • 인증서 핀닝(Certificate pinning)이 있는 앱/서비스는 복호화가 깨질 수 있음 (Zscaler Help)
  • 조직/업무 특성상 프라이버시·규정·성능 이슈로 “항상/전체 복호화”는 운영 난이도가 큼 (그래서 예외가 늘고, 예외가 곧 사각지대가 됩니다)

결론은 단순합니다.

“암호화된 네트워크를 다 본다”는 전제 위에 세운 ‘완전 차단’ 메시지는,
구조적으로 성립하기 어렵습니다.

3️⃣ ZTNA는 “인증·접근”을 정교하게 만들지만, 침해의 본질(행위)을 대신하지 못합니다

ZTNA(제로 트러스트 네트워크 액세스)의 핵심은
사용자/디바이스를 엄격히 검증하고, 특정 앱 단위로 최소 접근을 부여하는 것입니다. (Fortinet)

이건 분명히 유효합니다. (특히 VPN 대체, 접근면 축소)

하지만 다음 상황에서 ZTNA만으로는 답이 부족합니다.

  • 정상 계정/정상 MFA를 통과한 Valid Accounts 침해
  • 세션 탈취/토큰 탈취 이후의 악성 행위
  • 내부에서 발생하는 권한 상승, 정찰, 측면 이동
  • 앱 내부(웹/DB)에서 벌어지는 데이터 접근·유출

즉, ZTNA는 “누가 들어오느냐”를 좁히는 데 강하지만,
들어온 뒤 무엇을 하느냐”를 끝까지 관찰·판단하는 영역은 아닙니다.

4️⃣ “통합 보안”의 빈칸: 네트워크 밖에서 벌어지는 핵심 공격 신호들

실제 침해에서 가장 결정적인 신호는
패킷이 아니라 호스트/애플리케이션에서 발생하는 연속 행위인 경우가 많습니다. (Q19의 “공격은 과정”이라는 관점과 같습니다)

네트워크 경계(SASE)만으로는 다음을 ‘정확히’ 보기 어렵습니다.

  • 프로세스 생성/체인, 권한 상승, 서비스 생성/변경 (호스트 행위)
  • 레지스트리 변경, 크리덴셜 접근, 비정상 DLL 로딩 (호스트 행위)
  • 웹 앱의 요청 본문(POST body) 기반 공격 패턴 (앱 내부)
  • DB 대량 조회/추출, 파일 묶음 압축/분할, 내부 공유 경로로 이동 (호스트/앱)
  • “정상 세션”의 메타데이터만으로는 공격 여부를 결정하기 어려움 (암호화 통신)

여기서 중요한 포인트는:

네트워크 레이어의 “통합”이 커질수록,
오히려 “행위 레이어의 공백”이 더 크게 드러납니다.

5️⃣ 그렇다면 “현실적인 통합”은 무엇인가: SASE는 ‘앞단’, XDR은 ‘완성’입니다

SASE는 다음에 강합니다.

  • 접근면 축소(앱 단위 접근), 원격/지사 연결 단순화
  • 웹/클라우드 사용 통제(SWG/CASB), 정책 일관성

하지만 침해 탐지·대응을 완결하려면
서로 다른 레이어의 텔레메트리를 모아 상관분석 + 대응 자동화로 이어져야 합니다.
이 철학이 XDR의 정의와 맞닿아 있습니다. (Palo Alto Networks)

보안은 이제 이렇게 나뉩니다:

레이어 역할
ZTA 누가 들어올 수 있는가
SASE 어떻게 연결되는가
XDR 들어온 뒤 무슨 일이 벌어지는가

그래서 “통합”의 현실적 결론은 이렇게 정리됩니다.

  • SASE: 접근/전송 경로를 통합(Edge)
  • PLURA-XDR: 호스트·서버·웹·감사 로그를 통합(행위) + 상관분석 + 실시간 대응

정리하면

“SASE 기반 통합 보안 플랫폼”이라는 표현은
보안의 본질을 설명하기에는 부정확합니다.

네트워크 일부 기능을 통합하는 것과
침해를 통제하는 것은 전혀 다른 문제입니다.

보안은 경계에서 완성되지 않습니다.
행위 분석과 대응에서 완성됩니다.

Tags