SASE와 SSE란 무엇인가?
보안 경계는 더 이상 네트워크 에지에 머물지 않습니다. 사용자는 재택근무, 공항, 지사 등 다양한 위치에서 접속합니다. 애플리케이션은 SaaS 플랫폼과 멀티 클라우드 환경에 존재합니다. 기존 방화벽과 VPN 집중 장치는 볼 수 없는 것을 보호하는 데 한계가 있으며, 공격자는 이러한 틈을 노립니다.
이러한 현실을 해결하는 두 가지 아키텍처 프레임워크가 있습니다: Secure Access Service Edge(SASE)와 Security Service Edge(SSE)입니다. 두 프레임워크의 차이를 이해하고, 조직에 실제로 필요한 것이 무엇인지 아는 것이 확장 가능한 보안 아키텍처를 구축할지, 아니면 새로운 사각지대를 만들지 결정합니다.
- SASE는 2019년 Gartner에 의해 소개된 개념으로, SWG, CASB, FWaaS, ZTNA 등 네트워크 보안 기능과 WAN 기능을 결합하여 디지털 기업의 동적 보안 접근 요구를 지원합니다. SASE 기능은 엔터티의 신원, 실시간 컨텍스트, 기업 보안 및 컴플라이언스 정책을 기반으로 서비스로 제공됩니다. 이 모델은 각 세션 동안 위험과 신뢰를 지속적으로 평가합니다.
- SSE는 이후에 등장한 보안 중심의 프레임워크입니다. Gartner의 SSE 정의는 SASE의 보안 부분을 의미하며, 네트워킹 계층 없이 접근 제어, 위협 보호, 데이터 보안, 모니터링 등 클라우드 기반 보안 서비스를 제공합니다.
가장 간단한 구분법: SASE = SSE + SD-WAN입니다. SSE는 통합 SD-WAN 네트워킹이 제외된 SASE의 하위 집합입니다.
.jpg)
SASE와 SSE의 사이버보안 연관성
두 프레임워크 모두 제로 트러스트 원칙을 NIST SP 800-207에서 정의한 대로 구현합니다. Gartner의 원본 문서는 네트워크 접근이 IP 주소나 물리적 위치가 아니라 사용자, 디바이스, 애플리케이션의 신원을 기반으로 해야 한다고 명시했습니다. 또한 SASE는 사용자가 엔터프라이즈 네트워크 내외부 어디에 있든 일관된 세션 보호를 제공한다고 명시했습니다. NIST 구현 가이드에도 SDP와 SASE가 제로 트러스트 구현을 위해 테스트된 엔터프라이즈 빌드 구성에 포함되어 있습니다.
CISA 클라우드 가이드는 Cloud Use Case 가이드에서 SASE와 ZTNA를 원격 접근을 위한 보안 메커니즘으로 제시하며 이를 강화합니다. CISA 정책 집행 가이드에서도 SASE 기반 프라이빗 접근 솔루션을 별도의 정책 집행 지점 예시로 언급합니다.
보안팀 입장에서는 SASE와 SSE가 선택적 추가 기능이 아니라 이미 요구되는 제로 트러스트 정책을 실행하는 전달 메커니즘임을 의미합니다. 도입 여부가 아니라, 어떤 범위가 환경에 적합한지가 핵심입니다.
SASE와 SSE의 핵심 구성 요소
두 아키텍처 모두 보안 핵심 요소를 공유합니다. SASE는 네트워킹 중심의 구성 요소를 추가하여 전체 배포 모델을 변화시킵니다.
- Secure Web Gateway(SWG)는 모든 인터넷 트래픽(암호화된 HTTPS/SSL 세션 포함)을 검사 및 필터링하여 웹 기반 공격으로부터 사용자를 보호합니다. SSE 배포에서는 SWG가 아웃바운드 인터넷 트래픽의 클라우드 프록시 역할을 합니다. SASE에서는 SD-WAN 트래픽 스티어링과 통합되어 지사 인터넷 트래픽이 로컬 장비 없이 자동으로 검사 지점을 통과합니다.
- Cloud Access Security Broker(CASB)는 SaaS 애플리케이션에 대한 가시성, 컴플라이언스 집행, 데이터 보호를 제공합니다. CASB는 인라인 프록시 기반과 API 기반 두 가지 모드로 동작합니다. CASB는 SWG만으로는 보호할 수 없는 클라우드 서비스의 보안 격차를 해소합니다.
- Zero Trust Network Access(ZTNA)는 기존 VPN을 대체하여 신원 및 컨텍스트 기반으로 특정 프라이빗 애플리케이션에 접근을 제공합니다. VPN과의 주요 아키텍처 차이는 ZTNA가 네트워크 전체가 아닌 개별 애플리케이션에만 접근을 허용하여 암묵적 수평 이동 신뢰를 제거한다는 점입니다. SSE에서는 클라우드 PoP가 인증 및 디바이스 상태 검증을 중개합니다. SASE에서는 지사-애플리케이션 트래픽도 SD-WAN 통합을 통해 제로 트러스트 정책을 따릅니다.
- Firewall-as-a-Service(FWaaS)는 클라우드에서 침입 방지, 애플리케이션 제어, URL 필터링, 7계층 딥 패킷 검사 기능을 제공하여 각 위치의 물리적 경계 방화벽 장비를 제거합니다.
- Data Loss Prevention(DLP)는 SWG, CASB, ZTNA에 내장된 교차 기능으로 동작합니다. Forrester는 SSE DLP 현대화를 SSE 도입의 주요 동인으로 지목했습니다.
- SD-WAN, SASE만의 차별화 요소. SD-WAN은 여러 전송 링크에서 WAN 트래픽을 지능적으로 소프트웨어로 제어하며, 동적 경로 선택, QoS, 중앙 집중식 지사 연결 관리를 제공합니다. SD-WAN이 없으면 SSE 보안 도구는 주로 사용자-인터넷, 사용자-클라우드 흐름 등 클라우드 PoP를 경유하는 트래픽만 볼 수 있습니다. SASE에 SD-WAN이 통합되면 보안 스택이 모든 WAN 트래픽(지사-지사, 지사-데이터센터, 지사-클라우드)에 대한 가시성을 확보합니다.
이러한 공통 및 차별화된 구성 요소가 각 프레임워크가 보호할 수 있는 범위를 정의합니다. 실제 운영 방식은 배포 모델과 플랫폼이 관찰해야 하는 트래픽 흐름에 따라 달라집니다.
SASE와 SSE의 동작 방식
일상 운영에서 두 프레임워크 모두 사용자 트래픽을 클라우드 PoP(Points of Presence)로 라우팅하여 보안 정책을 실행합니다. 차이는 범위와 트래픽 가시성에 있습니다.
- SSE의 실제 적용: 원격 사용자가 브라우저를 엽니다. 트래픽은 가장 가까운 SSE PoP를 경유하며, SWG가 요청을 검사하고, CASB가 SaaS 정책을 집행하며, ZTNA가 신원 및 디바이스 상태를 검증한 후 프라이빗 애플리케이션 접근을 허용합니다. 보안팀은 모든 것을 단일 클라우드 콘솔에서 관리합니다. 네트워킹팀과의 협업이 필요하지 않습니다.
- SASE의 실제 적용: 동일한 보안 검사가 적용되지만, SD-WAN이 지사 트래픽도 플랫폼을 통해 라우팅합니다. 지사 사용자가 내부 애플리케이션에 접근할 때도 원격 사용자와 동일한 제로 트러스트 정책이 적용됩니다. WAN 최적화로 애플리케이션 성능이 향상되며, FWaaS가 위치 간 동서 트래픽을 검사합니다. 보안팀과 네트워킹팀이 각자의 구성 요소를 하나의 플랫폼에서 관리합니다.
Gartner의 SSE 기준은 신원 인식 프록시(복호화 포함), 주로 클라우드 기반 관리 및 데이터 플레인, 인라인 및 아웃오브밴드 SaaS 보호, 에이전트/비에이전트 디바이스에 대한 적응형 접근 제어, 외부 신원 공급자와의 통합 등 필수 운영 기능을 정의합니다.
실제 배포 모델은 다음과 같이 나타납니다:
- 보안 우선, SSE 선도: 일반적인 경로입니다. VPN을 ZTNA로 먼저 대체하고, SWG를 추가한 뒤, SaaS 가시성을 위해 CASB를 계층화합니다. SD-WAN은 나중에 도입하거나 생략할 수 있습니다.
- 네트워크 우선, SD-WAN 선도: MPLS 오프로드 프로젝트가 진행 중인 조직은 SD-WAN을 먼저 배포하고, 그 위에 SSE 보안 기능을 추가합니다.
- 이중 팀 배포: 네트워크팀이 SD-WAN을 운영하고, 보안팀이 별도의 SSE 서비스를 관리합니다. 이는 운영 마찰을 유발합니다.
- 관리형 SASE/SSE: 배포 및 정책 관리를 관리형 보안 서비스 제공업체에 아웃소싱합니다.
엔드포인트 보호는 ZTNA 계층에 통합됩니다. EPP/EDR 플랫폼이 디바이스 상태 신호를 ZTNA 조건부 접근 결정에 제공합니다. 디바이스가 상태 검사를 통과하지 못하면 ZTNA가 접근을 자동으로 제한합니다. SASE와 SSE 모두 엔드포인트 보안을 대체하지 않습니다. 상호 보완적 계층에서 동작합니다.
SASE와 SSE 모범 사례
구성 요소와 배포 모델을 이해하는 것이 첫 단계입니다. 어느 프레임워크든 효과적으로 구현하려면 초기부터 운영적 규율이 필요합니다.
제품이 아니라 아키텍처부터 시작하십시오. 제로 트러스트를 우선 설계한 후 솔루션을 정렬하십시오. 잘못 설계된 시스템에 도구를 배포하면 가치를 제공하기 어렵습니다.
- 가용성 외 SLA도 꼼꼼히 검토하십시오. 단순 가용성 비율이 아니라, 문제 식별 시간, 복구 시간, 변경 정확성, SOC 피드 가용성, 보안 업데이트 주기 등도 요구하십시오.
- 마이그레이션 플레이북을 요구하십시오. 공급업체와 계약하기 전에 VPN 및 온프레미스 게이트웨이에서 전환하는 상세 계획을 요구하십시오.
- 엔드포인트 상태를 ZTNA에 연동하십시오. 엔드포인트 보호 플랫폼이 디바이스 상태 신호를 ZTNA 조건부 접근 엔진에 제공하지 않는다면, 제로 트러스트에서 가장 중요한 신호를 활용하지 못하는 것입니다. Singularity Platform은 SASE 및 SSE 프레임워크와 통합되어 신원 컨텍스트와 결합된 디바이스 상태 신호를 실시간 네트워크 접근 결정에 제공합니다.
- 팀 분리 구조를 피하십시오. 네트워크팀과 보안팀이 별도 플랫폼을 운영하고 통합 계획이 없다면, 더 많은 비용을 들이고도 가시성은 떨어집니다. SASE를 선택한다면, 초기부터 교차 팀 거버넌스를 계획하십시오.
이러한 운영 기반은 프레임워크 선택과 무관하게 적용됩니다. 다음 단계는 현재 조직에 적합한 범위를 결정하는 것입니다.
SASE와 SSE 선택 기준
SASE와 SSE 중 무엇이 더 좋은지가 아니라, 조직의 현재 상태와 방향에 어떤 범위가 맞는지가 핵심입니다.
| 구분 | SSE | SASE |
| 범위 | 보안 서비스만 | 보안 + WAN 네트워킹 |
| SD-WAN | 미포함 | 핵심 구성 요소 |
| WAN 트래픽 가시성 | PoP 경유 흐름에 한정 | 전체, 모든 WAN 트래픽 |
| 주요 사용 사례 | 클라우드/원격 우선 조직 | 지사를 둔 분산 엔터프라이즈 |
| 팀 소유권 | 보안팀 단독 관리 | 보안+네트워킹 통합 필요 |
| 배포 복잡성 | 낮음, 단계적 도입 용이 | 높음, 동시 전환 필요 |
SSE를 선택할 때:
- 이미 SD-WAN이 구축되어 있고, 네트워킹 인프라 교체 없이 클라우드 보안만 추가하려는 경우
- 보안팀이 네트워킹팀 협업 없이 독립적으로 전환을 주도하는 경우
- 주요 사용 사례가 원격 사용자 및 SaaS 애플리케이션 보호인 경우
- 예산 또는 조직 구조상 단계적 도입이 필요한 경우(ZTNA 또는 SWG부터 시작)
전체 SASE를 선택할 때:
- MPLS 오프로드와 보안 전환을 동시에 추진하는 경우
- 지사 하드웨어 교체 주기가 보안 아키텍처 계획과 맞물리는 경우
- SSE만으로는 불가능한 전체 WAN 트래픽 가시성을 보안 도구에 제공하려는 경우
- 네트워킹과 보안 모두에서 공급업체 계약 통합을 준비하는 경우
시장은 단일 공급업체 SASE 플랫폼으로 이동 중입니다. Forrester SASE Wave는 SD-WAN, SSE, ZTNA를 통합 콘솔에서 제공해야 평가 자격이 있다고 요구했습니다.
대부분의 조직에 SSE가 실질적인 출발점입니다. SASE는 장기적 아키텍처 목표입니다. Gartner는 조직당 평균 45개의 사이버보안 도구를 사용한다고 밝혔습니다. SSE와 SASE는 이 복잡성을 줄이는 통합 경로를 제공합니다.
SSE에서 전체 SASE로
대부분의 조직은 SASE를 한 번에 배포하지 않습니다. 일반적인 경로는 SSE로 시작해 네트워킹 요구가 진화함에 따라 전체 SASE로 확장하는 것입니다. Gartner의 SASE 통합 전략 로드맵은 기존 IT 역량, 공급업체 계약, 하드웨어 교체 주기에 맞춰 SASE 로드맵을 정렬하는 방법을 안내합니다.
전환 계획
SSE에서 SASE로의 마이그레이션은 일반적으로 예측 가능한 순서를 따릅니다:
- 1단계: ZTNA가 VPN을 대체. 가장 일반적인 진입점입니다. 기존 VPN 집중 장치를 폐기하고 원격 사용자 접근을 클라우드 기반 ZTNA로 라우팅합니다. 보안팀이 독립적으로 주도합니다.
- 2단계: SWG 및 CASB 통합. 온프레미스 웹 프록시와 독립형 CASB 도구를 SSE 플랫폼으로 이전합니다. DLP 정책이 웹, SaaS, 프라이빗 애플리케이션 트래픽 전반에 통합됩니다.
- 3단계: SD-WAN 통합. 지사 WAN 인프라를 MPLS 또는 정적 VPN에서 SD-WAN으로 전환합니다. 이 단계는 일반적으로 네트워킹팀 참여와 지사 하드웨어 교체가 필요합니다.
- 4단계: 통합 SASE 운영. 보안 및 네트워킹 정책이 단일 관리 플레인으로 통합됩니다. 교차 팀 거버넌스 모델이 공식화됩니다.
2단계에서 3단계로 전환하는 계기는 대개 인프라 이벤트(MPLS 계약 갱신, 지사 하드웨어 수명 종료, 대규모 사무실 확장 등)입니다. 이러한 계기가 없는 조직은 SSE에 머물러도 보안 가치를 잃지 않습니다.
비용 및 예산 요소
SSE는 지사 하드웨어 교체나 WAN 재설계가 필요 없으므로 초기 비용이 낮습니다. SSE와 전체 SASE의 비용 차이는 여러 요소로 나뉩니다:
| 요소 | SSE | 전체 SASE |
| 초기 하드웨어 | 없음, 클라우드 제공 | 각 지사에 SD-WAN 엣지 장비 |
| 라이선스 모델 | 사용자당 보안 서비스 | 사용자당 보안 + 사이트당 네트워킹 |
| WAN 전송 | 기존 인프라 유지 | 신규 전송 링크 또는 MPLS 오프로드 |
| 팀 리소스 | 보안팀만 | 보안+네트워킹 통합 |
| 공급업체 통합 | 보안 스택만 | 보안+네트워킹 단일 공급업체 |
Gartner는 2026년까지 신규 SD-WAN 구매의 60%가 단일 공급업체 SASE의 일부가 될 것으로 예측합니다. 예산이 제한된 팀에는 SSE가 가장 빠른 보안 ROI를 제공합니다. SASE는 WAN 인프라가 현대화 시점에 도달했을 때 네트워킹 ROI를 추가합니다. SSE와 SD-WAN을 계약 갱신 시 단일 공급업체로 통합하면 조기 해지 수수료를 피하고 협상력을 높일 수 있습니다.
SentinelOne으로 제로 트러스트 접근 보호
SASE와 SSE는 네트워크 계층 접근과 클라우드 트래픽을 보호합니다. 엔드포인트는 여전히 디바이스 수준의 자율 보호가 필요합니다. Singularity Platform이 이 역할을 수행하며, SASE/SSE 프레임워크와 통합되어 디바이스 계층에서 제로 트러스트 아키텍처를 강화합니다.
가장 중요한 통합 지점은 ZTNA 조건부 접근입니다. SentinelOne은 외부 보안 플랫폼과의 통합을 통해 실시간 디바이스 상태 신호를 ZTNA 결정에 제공합니다. 엔드포인트에서 사용자 신원이 침해되면 SentinelOne이 해당 정보를 신원 제어에 실시간으로 공유하여 조건부 접근 정책을 트리거하고, 수평 이동이 시작되기 전에 기업 리소스 접근을 차단할 수 있습니다.
Singularity™ Platform은 XDR 기능을 제공하여 네트워크, 엔드포인트, 클라우드, 신원 데이터를 단일 통합 뷰로 상관 분석합니다. 특허받은 Storyline™ 기술을 활용해 이질적인 신호를 자동으로 연결하여 일관된 인시던트 타임라인을 구축합니다.
보안팀이 수평 이동을 식별하고, 보안 에이전트가 없는 미관리 디바이스를 탐지 및 프로파일링하며, 감염 디바이스 격리 및 미확인 위협과의 통신 차단 등 대응을 자동화할 수 있습니다. 보안팀의 경보 피로도를 줄이고 보안 효율성을 높일 수 있습니다. 투어를 확인하십시오.
Purple AI는 이를 한 단계 더 확장합니다. 단일 조사 세션에서 여러 소스의 데이터를 쿼리할 수 있습니다. IDC 연구에 따르면 Purple AI는 주요 운영 개선 효과를 제공합니다:
- 상관 데이터 소스 전반에서 63% 더 빠른 위협 식별
- 통합 조사 워크플로우로 MTTR 55% 단축
SSE 플랫폼이 의심스러운 접근 패턴을 탐지했을 때, 분석가가 엔드포인트 텔레메트리, 프로세스 트리, 신원 신호를 하나의 워크플로우에서 즉시 확인할 수 있다는 점이 중요합니다.
SentinelOne Singularity AI SIEM과 Data Lake는 또 다른 통합 이점을 제공합니다. 대규모 병렬 쿼리 엔진과 컬럼형 데이터베이스를 활용하여, OCSF 정규화를 통한 모든 소스의 데이터 고속 수집이 가능합니다. 스키마 없는 아키텍처로 스트리밍 데이터에 대한 실시간 탐지가 가능하며, 기존 SIEM 솔루션보다 훨씬 빠른 쿼리 성능을 제공합니다. SASE 또는 SSE 텔레메트리를 엔드포인트 및 신원 이벤트와 통합하는 팀에는 이 속도가 조사 및 대응 속도에 직접적인 영향을 미칩니다.
Singularity Network Discovery는 에이전트 기술로 네트워크를 매핑하고, 악성 디바이스를 식별하여 SASE 또는 SSE 배포에 필요한 지속적 디바이스 상태 평가를 직접 지원합니다. SentinelOne은 2024 MITRE ATT&CK 평가에서 중앙값 대비 88% 적은 경보와 100% 탐지, 지연 없음을 기록했으며, Gartner Magic Quadrant 엔드포인트 보호 플랫폼 부문에서 5년 연속 리더로 선정되었습니다. 팀 입장에서는 경보가 적을수록 제로 트러스트 아키텍처에서 신원, 엔드포인트, 네트워크 컨텍스트를 관리할 때 분석가 피로도가 줄어듭니다.
오늘 SSE를 배포하든 전체 SASE를 추진하든, 엔드포인트 보호 플랫폼은 제로 트러스트를 실현하는 신호 소스입니다. Singularity Platform은 네트워크 보안과 엔드포인트 가시성의 간극을 해소합니다. SentinelOne 데모를 요청하여 자율 엔드포인트 보호가 SASE 또는 SSE 배포와 어떻게 통합되는지 확인하십시오.
핵심 요약
SASE는 보안 서비스와 SD-WAN 네트워킹을 결합합니다. SSE는 보안 부분만 제공합니다. 대부분의 조직에 SSE가 실질적인 진입점이며, SASE가 장기적 목표입니다. 두 프레임워크 모두 제로 트러스트 원칙을 구현하며, ZTNA 접근 결정에 엔드포인트 상태 신호가 연동되어야 효과적으로 동작합니다.
시장은 통합 플랫폼으로 통합되고 있습니다. Singularity Platform과 같은 자율 엔드포인트 보호는 ZTNA 계층에 통합되어 두 아키텍처 모두를 작동시키는 디바이스 상태 인텔리전스를 제공합니다.
자주 묻는 질문
SASE(보안 액세스 서비스 에지)는 클라우드 기반 보안 서비스와 SD-WAN 네트워킹을 하나의 플랫폼으로 결합합니다. SSE(보안 서비스 에지)는 보안 부분만 제공합니다: SWG, CASB, ZTNA, FWaaS를 SD-WAN 네트워킹 구성 요소 없이 제공합니다.
가장 간단하게 설명하면 SASE = SSE + SD-WAN입니다. 보안 혁신과 WAN 현대화가 모두 필요한 조직은 SASE를 선택하고, 네트워크 인프라 변경 없이 원격 사용자 및 SaaS 접근 보안에 집중하는 조직은 SSE를 선택합니다.
예. SSE는 SWG, CASB, ZTNA, FWaaS를 포함하는 클라우드 기반 보안 스택으로 독립적으로 동작합니다. SD-WAN에 의존하지 않고 SSE 접속 지점을 통해 사용자 트래픽을 라우팅할 수 있습니다.
기존 WAN 인프라가 이미 구축되어 있거나 원격 및 SaaS 연결 사용자의 보안이 주요 목표인 조직에는 SSE가 더 낮은 복잡도의 옵션이 됩니다.
아니요. SSE는 네트워크 계층 접근 및 클라우드 트래픽 흐름을 보호합니다. 엔드포인트 보호는 기기 자체를 보호합니다. 이들은 상호 보완적인 계층에서 작동합니다. 통합 지점은 기기 상태 증명으로, EPP가 ZTNA 조건부 접근 결정에 태세 신호를 제공합니다.
엔드포인트 텔레메트리가 없으면, ZTNA 정책은 진정한 제로 트러스트 적용에 필요한 기기 수준의 컨텍스트가 부족합니다.
단계적 접근 방식이 일반적입니다. 대부분의 조직은 레거시 VPN을 대체하기 위해 ZTNA로 시작하고, 이후 온프레미스 웹 프록시를 대체하는 SWG를 추가하며, SaaS 가시성과 DLP를 위해 CASB를 도입합니다. 조직이 전체 SASE를 추진하기로 결정하면 SD-WAN 통합이 나중에 진행됩니다.
특정 사용자 그룹부터 시작해 점진적으로 전사 확장하면 위험을 줄일 수 있습니다.
시장은 통합 플랫폼으로 이동하고 있습니다. Forrester의 2025년 3분기 SASE Wave에서는 통합 콘솔 제공이 필수 조건이었습니다. 즉, 한 공급업체가 보안을, 다른 공급업체가 네트워킹을 담당하는 파트너십 기반 플랫폼은 감소하고 있습니다.
두 기능을 모두 네이티브로 제공하거나, 선택한 네트워킹 공급업체와의 심층 통합을 지원하는 공급업체를 우선 고려하세요.
지점 하드웨어 교체 주기가 보안 전환과 일치할 때, 보안 검사를 위한 WAN 트래픽 가시성이 필요할 때, 또는 MPLS 오프로딩을 동시에 해결해야 할 때 SASE를 선택하세요.
지점 네트워킹 변경 없이 원격 사용자 및 SaaS 접근 보안이 주요 과제라면, SSE가 더 빠르고 배포 복잡도가 낮은 경로를 제공합니다.
