Q22. SASE만으로 통합 보안이 완성될까요?

A. 아닙니다.
SASE는 중요한 통합이지만,
그 자체만으로 보안의 완성을 의미하지는 않습니다.

SASE는 접근 경로(Edge)를 통합합니다.
하지만 침해는 대개 그 뒤에서 시작됩니다.

즉, SASE는 앞단의 통합에는 강하지만,
실제 침해 행위를 끝까지 관찰하고 대응하는 행위 레이어의 통합까지 대신하지는 못합니다.

※ SASE: Secure Access Service Edge

1️⃣ 왜 “SASE = 통합 보안”이라는 말이 착시가 될 수 있을까요?

SASE는 Gartner가 정의한 것처럼 네트워크(SD-WAN)와
보안(SWG, CASB, FWaaS, ZTNA 등)을 클라우드 서비스 형태로
컨버지드(Converged)하는 모델입니다. (가너)

즉, 통합의 대상은 어디까지나 네트워크 경계와 접근 서비스입니다.

이 점은 분명 중요합니다.
하지만 시장에서는 이 “통합”을
마치 침해 탐지와 대응까지 모두 완성한 것처럼 확장해서 설명하는 경우가 많습니다.

문제는 여기서 시작됩니다.

네트워크 접근을 통합한 것과,
공격 진행 전체를 통합 관측·대응하는 것은 전혀 다른 문제입니다.

SASE는 연결과 정책을 단순화할 수 있습니다.
그러나 보안의 본질은 결국
들어온 뒤 무슨 일이 벌어지는가까지 확인하는 데 있습니다.

2️⃣ 암호화(TLS) 시대의 가시성 한계: 네트워크는 본질적으로 제한적입니다

오늘날 트래픽 대부분은 TLS로 암호화되어 있습니다.

그리고 현실의 암호화 환경은 HTTPS만이 아닙니다.

• SSH, RDP 같은 원격 관리 채널
• VPN, 터널링, 각종 캡슐화
• 데이터베이스 연결, 메시징 등 애플리케이션 단 암호화
• 악성코드의 자체 암호화·난독화된 C2 통신

이렇게 되면 네트워크 장비가 보는 것은 점점 더
본문(payload) 이 아니라 메타데이터 중심이 됩니다.

즉, SASE/SWG/FWaaS가 확보하는 가시성은 대개 다음에 머뭅니다.

• 목적지, 세션 시간, 전송량, 일부 TLS 핸드셰이크 정보
• 정책 기반 허용/차단
• 카테고리·평판 기반 통제
• 선택적 TLS Inspection

문제는 TLS Inspection이 현실에서 전면 적용되기 어렵다는 점입니다.

• 인증서 핀닝(Certificate pinning) 환경에서는 복호화가 깨질 수 있습니다. (Zscaler Help)
• 프라이버시, 규정 준수, 성능 이슈 때문에 전체 복호화는 운영 난도가 높습니다.
• 결국 예외가 늘어나고, 그 예외가 곧 가시성 공백이 됩니다.

즉, 많은 기업 환경에서 네트워크 레이어는
처음부터 끝까지 모든 공격을 볼 수 있는 구조가 아닙니다.

“암호화된 네트워크를 다 본다”는 전제 위에 세운 완전 탐지·완전 차단 메시지는
구조적으로 성립하기 어렵습니다.

3️⃣ ZTNA는 강력하지만, 질문이 다릅니다

ZTNA(Zero Trust Network Access)의 핵심은
누가 어떤 디바이스로 어떤 애플리케이션에 접근할 수 있는가를
엄격하게 검증하고 최소 권한으로 제한하는 데 있습니다. (Fortinet)

이것은 매우 중요합니다.

특히 다음 영역에서 효과적입니다.

• VPN 대체
• 애플리케이션 단위 접근 축소
• 사용자·디바이스 신뢰 검증 강화
• 외부 노출면 감소

하지만 침해 대응 관점에서는 질문이 하나 더 남습니다.

“누가 들어왔는가?”와
“들어온 뒤 무엇을 했는가?”는 서로 다른 질문입니다.

ZTNA는 첫 번째 질문에는 강합니다.
하지만 두 번째 질문에는 구조적으로 한계가 있습니다.

예를 들어 다음과 같은 상황입니다.

• 정상 계정과 정상 MFA를 통과한 Valid Accounts 침해
• 세션 탈취, 토큰 탈취 이후의 악성 행위
• 내부 권한 상승, 정찰, 측면 이동
• 웹/DB 내부에서 벌어지는 비정상 데이터 조회와 유출
• 승인된 애플리케이션 세션 안에서 발생하는 악성 실행

즉, ZTNA는 입구를 좁히는 기술이지,
들어온 뒤의 행위를 끝까지 판별하는 기술은 아닙니다.

4️⃣ 실제 공격은 네트워크 경계 밖에서 더 선명하게 보입니다

실제 침해에서 결정적인 신호는
패킷보다 호스트와 애플리케이션에서 이어지는 연속 행위인 경우가 많습니다.

즉, SASE만으로는 다음과 같은 핵심 신호를 정밀하게 보기 어렵습니다.

• 프로세스 생성과 실행 체인
• 비정상 명령 실행과 자격 증명 접근
• 권한 상승과 서비스 생성·변경
• 레지스트리 변경과 비정상 DLL 로딩
• 웹 요청 본문(POST body) 기반 공격 시도
• DB 대량 조회, 압축, 분할, 내부 공유 경로 이동
• 정상 세션처럼 보이지만 실제로는 탈취된 계정 기반 행위

여기서 중요한 것은
공격이 단일 이벤트가 아니라 연속된 과정이라는 점입니다.

예를 들어 공격자는 이렇게 움직일 수 있습니다.

1. 정상 계정으로 ZTNA를 통과합니다.
2. 정상 업무 세션 안에서 웹 애플리케이션에 접근합니다.
3. 요청 본문 안에 공격 페이로드를 삽입합니다.
4. 서버에서 비정상 프로세스가 생성됩니다.
5. 내부 파일 접근과 대량 조회가 이어집니다.
6. 이후 암호화된 정상 세션처럼 보이는 채널로 외부 유출이 발생합니다.

이 흐름에서 SASE가 볼 수 있는 것은
접속 경로와 일부 세션 정보일 수 있습니다.

하지만 실제 침해 여부를 결정하는 핵심은 다음입니다.

• 어떤 요청 본문이 들어왔는가
• 서버에서 어떤 프로세스 체인이 실행되었는가
• 어떤 계정이 어떤 권한으로 어떤 파일과 DB에 접근했는가
• 그 행위가 이전 로그와 연결될 때 어떤 공격 시나리오가 완성되는가

즉,

네트워크 레이어의 통합이 커질수록,
오히려 행위 레이어의 공백은 더 분명해집니다.

5️⃣ 사례로 보면 더 분명합니다

BPFDoor 같은 백도어 계열은
네트워크 장비 관점에서 정상 세션처럼 보이는 암호화 통신 위에
공격 흐름을 숨길 수 있는 사례로 자주 언급됩니다.

이런 유형의 위협이 시사하는 바는 분명합니다.

네트워크 장비가 세션을 보고 있어도
호스트 내부에서 어떤 실행이 일어났는지,
그 연결이 어떤 프로세스에서 시작되었는지,
이전 권한 상승이나 자격 증명 접근과 연결되는지를 모르면
판단이 어려워집니다.

같은 논리로, 최근의 계정 탈취형 침해도
SASE나 ZTNA만으로 완결되기 어렵습니다.

정상 계정으로 승인된 경로를 통해 들어온 사용자는
네트워크 정책만 보면 정상처럼 보일 수 있습니다.
그러나 실제로는 다음과 같은 행위가 이어질 수 있습니다.

• 평소와 다른 지역·시간대 접근
• 내부 중요 시스템에 대한 비정상 조회 증가
• 웹 요청 본문 내 공격 패턴
• 파일 압축 후 외부 반출
• 서버 측 비정상 프로세스 생성

이 시점부터 필요한 것은
접근 통제가 아니라 행위 상관분석입니다.

6️⃣ 그래서 현실적인 통합은 “SASE + XDR”입니다

SASE는 분명 필요합니다.

왜냐하면 SASE는 다음을 잘하기 때문입니다.

• 접근면 축소
• 지사/원격 접속 구조 단순화
• 정책 일관성 확보
• 웹·클라우드 사용 통제

하지만 이 레이어만으로는
침해 탐지와 대응이 완결되지 않습니다.

침해 대응을 완결하려면
서로 다른 레이어의 텔레메트리를 모아
상관분석하고, 우선순위를 정하고, 실시간 대응까지 이어가야 합니다.
이 철학이 XDR과 맞닿아 있습니다. (Palo Alto Networks)

즉, 보안은 이렇게 나뉘어야 합니다.

이렇게 보면 SASE는 대체제가 아니라
앞단의 핵심 구성 요소입니다.

그리고 XDR은 그 뒤를 이어
보안을 실제 운영 가능한 형태로 완성하는 레이어입니다.

7️⃣ PLURA-XDR은 SASE의 공백을 어떻게 메웁니까?

여기서 중요한 것은
XDR이라는 이름 자체가 아니라 무엇을 실제로 볼 수 있느냐입니다.

PLURA-XDR은 SASE가 상대적으로 보기 어려운 영역을
다음과 같이 메우는 구조를 가집니다.

1. 웹 Request/Response Body 분석

네트워크 메타데이터만으로는 알기 어려운 공격은
웹 요청과 응답의 실제 본문에서 드러나는 경우가 많습니다.

예를 들어,

• SQL Injection 시도
• 비정상 파일 업로드
• 인증 우회 시도
• 대량 조회를 유도하는 파라미터 조작
• 응답 본문 기준 정보 노출 정황

이런 신호는
단순 URL, 도메인, 세션 길이만으로는 충분히 보이지 않습니다.

2. 호스트 행위와 Execution Chain 분석

실제 침해는 대개
“접속 → 실행 → 권한 상승 → 접근 → 유출”의 체인으로 이어집니다.

PLURA-XDR은 이 과정에서 다음을 연결해 봐야 한다는 관점을 취합니다.

• 어떤 프로세스가 실행되었는가
• 누가 그 프로세스를 실행했는가
• 부모-자식 프로세스 관계는 어떠한가
• 이후 파일, 계정, 네트워크 연결이 어떻게 이어졌는가

즉, 단일 로그가 아니라
실행 체인 전체를 보는 것이 핵심입니다.

3. 서버·호스트·감사 로그의 상관분석

공격은 한 지점에서 끝나지 않습니다.

• 웹에서 시작되고
• 서버에서 실행되고
• 계정 권한이 바뀌고
• 내부 접근과 외부 유출로 이어집니다.

따라서 웹 로그, 시스템 로그, 감사 로그, 계정 행위를
한 화면에서 연결해 봐야 실제 침해를 판단할 수 있습니다.

4. 실시간 대응

탐지에서 끝나면 운영은 늦어집니다.

중요한 것은
연속 행위를 조기에 묶어 보고
차단, 격리, 정책 강화, 조사 전환까지 이어지는 것입니다.

즉, PLURA-XDR의 역할은
SASE를 부정하는 것이 아니라,
SASE만으로 비어 있는 행위 레이어를 채우는 것입니다.

8️⃣ 이해를 돕기 위한 통합 구조

아래처럼 보는 것이 가장 현실적입니다.

[User / Device]
      │
      ▼
[ZTNA / SASE]
- identity verification
- application access control
- edge policy enforcement
      │
      ▼
[Web / App / Server]
- request / response body
- process execution chain
- account activity
- audit logs
      │
      ▼
[PLURA-XDR]
- correlation analysis
- anomaly detection
- real-time response
- forensic visibility

정리하면,

• ZTNA는 입장권을 검사합니다.
• SASE는 이동 경로를 통제합니다.
• PLURA-XDR은 들어온 뒤 벌어진 행위를 분석하고 대응합니다.

이 세 가지는 경쟁 관계가 아니라
서로 다른 질문에 답하는 구조입니다.

9️⃣ SASE 도입 시 반드시 함께 고려해야 할 점

SASE를 도입한다고 해서
보안이 완성되었다고 판단하면 운영 공백이 생깁니다.

도입 시에는 최소한 다음을 함께 점검해야 합니다.

체크리스트

• SASE가 보지 못하는 행위 로그는 무엇인가?
• TLS Inspection 예외 구간은 어디까지 허용되는가?
• 정상 계정 탈취 이후 행위를 무엇으로 탐지할 것인가?
• 웹 요청 본문 기반 공격을 볼 수 있는가?
• 서버 내부 실행 체인과 권한 상승을 추적할 수 있는가?
• DB 대량 조회·압축·외부 반출을 어떤 로그로 확인할 수 있는가?
• SASE 이벤트와 호스트·웹·감사 로그를 상관분석할 수 있는가?
• 탐지 이후 차단·격리·조사 전환까지 실시간으로 이어지는가?

이 체크리스트에 답하지 못하면
SASE는 강력한 앞단 통제 수단이 될 수는 있어도,
침해 대응의 완성이라고 보기는 어렵습니다.

정리하면

SASE는 분명 중요한 보안 아키텍처입니다.
하지만 SASE만으로 통합 보안이 완성된다고 말하는 것은 과장에 가깝습니다.

왜냐하면 보안은 경계에서 끝나지 않기 때문입니다.

실제 침해는
승인된 세션 안에서,
정상 계정 뒤에서,
암호화된 통신 뒤에서,
그리고 호스트와 애플리케이션 내부에서 진행됩니다.

그래서 현실적인 결론은 단순합니다.

SASE는 앞단의 통합입니다.
XDR은 행위 레이어의 완성입니다.

그리고 진짜 통합 보안은
이 둘을 함께 보았을 때 비로소 시작됩니다.