Universal SASE vs Single-Vendor SASE: 어떤 것이 더 나은 보안과 성능을 제공하는가?

2025년 8월. 공격자들이 Salesloft의 Drift 플랫폼 내부에서 OAuth 토큰을 탈취합니다. 이 토큰들은 고객의 Salesforce 인스턴스에 대한 권한을 가지고 있었으며, 이 권한들은 한 번 부여된 이후 검토되거나 취소된 적이 없었습니다. UNC6395로 추적되는 공격 그룹은 신뢰할 수 있는 연결에 대해 신뢰할 수 있는 자격 증명만을 사용하여 통합(integration)을 하나씩 타고 이동했습니다. 몇 주 만에 700개 이상의 조직이 침해되었습니다. 피해 목록에는 Google, Cloudflare, Palo Alto Networks, Zscaler, CyberArk 등 지구상에서 가장 보안적으로 정교한 기업들이 포함되었습니다. 15억 개 이상의 기록이 유출되었습니다. 2025년 11월. 동일한 행위자인 ShinyHunters가 Gainsight를 공격하며 동일한 수법을 사용했습니다. 200개의 Salesforce 인스턴스가 추가로 침해되었습니다. 동일한 신뢰할 수 있는 OAuth 토큰, 동일하게 관리되지 않는 통합, 동일한 결과였습니다. 이 사건들을 관통하는 공통점은 정교한 제로데이 취약점(zero-day exploit)이나 고도화된 지속적 위협(APT) 툴킷이 아닙니다. 그것은 더 근본적이고 더 우려스러운 문제인 파편화(fragmentation)입니다. 개별 애플리케이션이 검토되지 않은 권한을 그대로 보유하고 있는 SaaS 생태계. 네트워크 에지(edge)를 보호하는 도구와 SaaS 환경 내부에서 일어나는 일을 감시하는 도구가 서로 다른 보안 아키텍처(security architecture). 분리된 스택(stacks), 분리된 정책(policies), 분리된 데이터. 모든 이음새마다 존재하는 격차. 2026년 3월에 발표된 500명의 미국 CISO(정보보호최고책임자) 대상 설문조사에 따르면, 99.4%의 조직이 2025년에 최소 한 번의 SaaS 또는 AI 생태계 보안 사고를 경험했습니다. 반면, 89.2%는 동시에 강력한 OAuth 토큰 거버넌스(governance)를 갖추고 있다고 주장했습니다. 조직들은 SaaS 및 AI 환경 전반에 걸쳐 평균 13개의 전용 보안 도구를 운영하고 있었음에도 불구하고 결국 침해를 당했습니다. 보고서가 직설적으로 결론지었듯, 문제는 인지 부족이 아니라 아키텍처였습니다. 이것이 바로 Universal SASE와 Single-vendor SASE 사이의 논쟁이 더 이상 학술적인 영역에 머물지 않는 환경입니다. 이는 문서화된 재무적 및 보안적 결과를 초래하는 운영상의 문제입니다.

용어의 실제 의미

SASE 시장은 벤더들이 평가 과정을 혼란스럽게 만들 정도로 일관성 없이 사용하는 어휘들을 발전시켜 왔습니다. 비교를 시작하려면 정의에 대한 명확성이 필요합니다. Single-vendor SASE(단일 벤더 SASE)는 하나의 회사가 SD-WAN, ZTNA, SWG, CASB, FWaaS, DLP와 같은 모든 SASE 구성 요소를 단일 상업적 관계 하에 제공하는 모델을 의미합니다. 이 구성 요소들은 공통의 운영 체제(Operating System), 공통의 정책 엔진(Policy Engine), 또는 공통의 데이터 레이크(Data Lake)를 공유할 수도 있고 그렇지 않을 수도 있습니다. 스스로를 Single-vendor SASE라고 마케팅하는 많은 플랫폼은 아키텍처 측면의 실체로 볼 때, API와 관리 오버레이(Management Overlays)를 통해 통합된 인수 제품들의 집합체인 경우가 많습니다. 벤더는 하나이지만, 아키텍처는 하나가 아닙니다.

Universal SASE(유니버설 SASE)는 더 구체적인 아키텍처 표준을 설명합니다. 이는 수렴(Convergence)이 상업적 패키징보다 더 깊은 수준에서 이루어지는 모델입니다. Universal SASE 플랫폼은 모든 보안 및 네트워킹 기능을 단일 운영 체제에서 실행하고, 단일 엔진에서 정책을 집행하며, 텔레메트리(Telemetry)를 단일 데이터 레이크로 집계하고, 단일 관리 콘솔(Management Console)을 제공합니다. 여기서 "유니버설"은 클라우드, 온프레미스(On-premises), 하이브리드(Hybrid), 에어갭(Air-gapped) 등 모든 배포 모델에 걸친 집행의 일관성을 의미합니다. 워크로드나 사용자가 어디에 위치하느냐에 따라 아키텍처가 변하지 않습니다. 이러한 구분은 Salesloft/Drift 및 Gainsight 사고 사례에서 문서화된 것처럼, 보안 구성 요소 간의 파편화가 위협 환경에서 실제로 초래하는 결과 때문에 두 용어를 둘러싼 마케팅보다 훨씬 더 중요합니다.

파편화된 SASE가 해결할 수 없는 아키텍처 문제

2025년 SaaS 공급망 침해 패턴은 특정한 구조적 취약성을 드러냅니다. 즉, 진입점을 방어하는 보안 도구가 생태계 내부에서 발생하는 일을 통제하는 보안 도구와 통신하지 못한다는 점입니다. Salesloft/Drift 공격은 기업 네트워크 경계(Perimeter)를 뚫고 들어온 것이 아니었습니다.

이 공격은 신뢰할 수 있는 SaaS 통합(SaaS integrations)에 부여된 OAuth 토큰과 같은 정당한 자격 증명(Credentials)을 정당한 연결에 사용하여 수행되었으며, SASE 구성 요소들이 사용자 및 인터넷 사이의 남북 트래픽(North-South traffic)에만 집중하느라 가시성을 확보하지 못하는 경로를 통해 이동했습니다. 한 벤더의 최상급 SD-WAN, 두 번째 벤더의 SSE 스택, 세 번째 벤더의 CASB, 네 번째 벤더의 DLP 도구와 같이 별도의 구성 요소들로 조립된 SASE 아키텍처는 이러한 공격이 악용하는 바로 그 가시성 격차(Visibility gap)를 만들어냅니다. SD-WAN은 WAN 트래픽을 봅니다. SWG는 웹 트래픽을 봅니다. CASB는 승인된 클라우드 애플리케이션을 봅니다. 기업을 대신하여 작동하는 제3자 SaaS 벤더의 OAuth 토큰을 확인할 수 있는 도구는 아예 존재하지 않거나, 다른 도구들과 텔레메트리(Telemetry)를 공유하지 않는 별개의 포인트 제품(Point product)으로 존재할 수 있습니다. 공격자가 유효한 자격 증명을 사용하고, 신뢰할 수 있는 통합을 통해, 정상적인 비즈니스 운영처럼 보이는 방식으로 여러 표면(Surfaces)을 가로질러 이동할 때, 고립된 상태로 작동하는 보안 도구들은 각각 별개의 신호를 생성하며, 이 중 어느 것도 개별적으로는 경보(Alert) 임계값에 도달하지 못합니다. 침해는 몇 주 동안 지속됩니다. 데이터 규모는 수십억 개의 레코드로 늘어납니다. 2025년 침해 패턴에 대한 CheckRed의 분석은 이 교훈을 정확하게 표현했습니다: "사이버 공격은 더 이상 단일 환경에 국한되지 않습니다. 침해는 클라우드, ID(Identity), 또는 DNS에서 시작해서 끝나지 않습니다. 그것들은 이 모든 영역에 걸쳐 있습니다." 그리고 뒤따르는 직접적인 결론은 다음과 같습니다: 공격 표면(Attack surface)이 더 분산되어 있을수록 사고 비용은 더 커집니다. 여러 환경에 걸쳐 저장된 데이터가 포함된 침해 사고는 식별 및 격리까지 평균 276일이 소요됩니다. 이것이 분산된 대안들보다 Universal SASE가 우월한 이유입니다. 이는 개념적인 선호도가 아니라, 기록된 공격 패턴에 대한 아키텍처적 대응입니다.

Universal SASE가 조립된 아키텍처(Assembled Architectures)가 제공할 수 없는 것

2026년의 위협 환경에서 Universal SASE가 갖는 구체적인 이점은 파편화된 아키텍처가 구조적으로 복제할 수 없는 세 가지 역량으로 요약됩니다.

전체 트래픽 표면에 걸친 상관관계 기반 위협 탐지 (Correlated threat detection across the full traffic surface). SD-WAN, ZTNA, SWG, CASB, FWaaS 및 DLP가 단일 데이터 레이크 (Data lake)로 통합되어 공통 AI 엔진에 의해 분석될 때, 개별 구성 요소로는 탐지할 수 없었던 공격 패턴이 상관관계 분석을 통해 가시화됩니다. CASB가 포착한 비정상적인 OAuth 토큰 사용 패턴이 SD-WAN이 기록 중인 비정상적인 WAN 트래픽 볼륨과 연결되고, 이것이 다시 ZTNA 구성 요소가 플래그를 지정한 행동 이상 (Behavioral anomaly)과 연결됩니다. 이 신호들이 결합되면 탐지 가능한 패턴을 형성합니다. 반면, 각각 분리되어 있다면 이들은 그저 노이즈에 불과합니다.

편차 없는 일관된 정책 (Consistent policy without drift). 조립된 SASE 아키텍처에서는 여러 관리 인터페이스와 다양한 설정 언어를 통해 정책을 유지해야 하며, 변경 사항을 실시간으로 조율하지 못하는 팀들에 의해 관리될 수 있습니다. 한 구성 요소의 정책은 업데이트되었으나 다른 구성 요소는 업데이트되지 않을 때, 정책 편차 (Drift)가 발생합니다. 즉, 아키텍처가 강제하고자 의도한 것과 실제로 강제되는 것 사이에 간극이 생깁니다. 단일 패스 (Single-pass) Universal SASE에서는 단일 정책 엔진이 존재하기 때문에 정책 변경이 모든 곳에 동시에 전파됩니다. 정책 편차로 인해 발생하는 간극은 존재하지 않습니다.

프록시 체이닝 없는 단일 패스 처리 (Single-pass processing without proxy chaining). 조립된 SASE 아키텍처는 프록시 체이닝 (Proxy chaining)을 통해 지연 시간 (Latency)을 유발합니다. 트래픽이 하나의 구성 요소에 의해 복호화 및 검사된 후, 추가 검사를 위해 두 번째 구성 요소로 전달되고, 액세스 강제를 위해 세 번째 구성 요소로 전달되는 방식입니다. 각 핸드오프 (Handoff) 단계는 지연 시간을 추가하며, 추가적인 복호화/재암호화 사이클을 발생시킵니다. 트래픽을 단일 패스로 처리하는 Universal SASE 플랫폼 — 즉, 한 번만 복호화하고, 모든 보안 검사를 인라인 (Inline)으로 적용하며, 승인된 목적지로 트래픽을 직접 전달하는 방식 — 은 지연 시간 페널티와 프록시 체인이 대규모 환경에서 초래하는 성능 저하를 모두 제거합니다.

성능에 대한 논거는 보안에 대한 논거와 분리되지 않습니다. SASE 벤더 환경에서 지속되는 신화 중 하나는 성능과 보안이 서로 대립 관계에 있다는 것입니다. 즉, 포괄적인 보안 검사 (Security Inspection)가 반드시 애플리케이션 성능을 저하시키며, 조직은 보호와 사용자 경험 사이에서 하나를 선택해야만 한다는 믿음입니다. 이러한 트레이드오프 (Trade-off)는 보안 기능들을 순차적인 처리 체인 (Sequential Processing Chains)으로 분리하는 아키텍처의 산물입니다. 이는 SASE라는 개념 자체에 내재된 특성이 아닙니다. 싱글 패스 처리 (Single-pass Processing)를 지원하는 Universal SASE 플랫폼은 SSL/TLS 복호화 (Decryption), 애플리케이션 식별 (Application Identification), 위협 방지 (Threat Prevention), 데이터 보호 (Data Protection), 액세스 제어 (Access Control)와 같은 트래픽 검사를 단 한 번의 처리 과정에서 포괄적으로 수행합니다. 성능 오버헤드 (Performance Overhead)는 예측 가능하고 관리할 수 있는 수준이며, 보안 범위는 완벽합니다. 기업은 Zoom 통화를 보호할 것인지, 아니면 Zoom 통화의 품질을 유지할 것인지 사이에서 고민할 필요가 없습니다. 프록시 체이닝 (Proxy Chaining)이 초래하는 성능 오버헤드 없이 보호 기능을 강제할 수 있기 때문입니다. 2026년 CISO 설문 조사에 기록된 평균 13개의 보안 도구 스택은 단순히 관리상의 부담일 뿐만이 아닙니다. 그 13개의 도구 각각은 처리 오버헤드를 추가하고, 고유한 지연 시간 (Latency) 프로필을 유발하며, 수동으로 상관 분석을 하거나 혹은 아예 분석하지 못할 자체적인 텔레메트리 (Telemetry) 스트림을 생성합니다. Universal SASE를 지지하는 근거는 더 나은 보안과 더 나은 성능을 동시에 추구한다는 점에 있습니다. 이는 보안이 가볍기 때문이 아니라, 아키텍처가 더 효율적이기 때문입니다.

올바른 모델 선택: 평가의 핵심 요소
2026년에 아키텍처 결정을 내리는 기업들에게 Universal SASE와 조립된 대안들 사이의 차이점은 세 가지 평가 질문으로 요약됩니다. 정책 엔진 (Policy Engine)이 진정으로 통합되어 있는가?

단순히 "벤더가 단일 관리 콘솔 (Single Management Console)을 제공하는가"가 아닙니다. 많은 조립형 제품들이 오버레이 (Overlay)를 통해 이를 수행합니다. 핵심은 "단일 정책 엔진 (Policy Engine)이 단 한 번의 패스 (Single Pass)로 모든 구성 요소에 걸쳐 액세스, 보안 및 라우팅 결정을 강제하는가?"입니다. 이 질문에 대한 답변은 정책 드리프트 (Policy Drift)가 구조적으로 방지되는지, 아니면 운영상으로 관리되는지를 결정합니다. 데이터 레이크 (Data Lake)가 실제로 구성 요소 간의 텔레메트리 (Telemetry)를 상관 분석하는가? 또한 "각 구성 요소가 SIEM에 입력할 수 있는 로그를 생성하는가"가 아니라, "플랫폼이 별도의 통합 프로젝트 없이 SD-WAN 트래픽 데이터, ZTNA 액세스 이벤트, SWG 위협 신호, CASB 클라우드 활동을 네이티브하게 상관 분석하는가?"를 물어야 합니다. 이 답변은 Salesloft/Drift 유형의 공격 패턴이 수십억 건의 기록이 유출되는 침해 사고로 이어지기 전에 탐지될 수 있는지를 결정합니다. 아키텍처가 기능 저하 없이 모든 배포 모델로 확장되는가? 클라우드 제공은 기본 요건 (Table Stakes)입니다. 질문은 동일한 보안 태세(Security Posture) — 즉, 동일한 정책 강제, 동일한 위협 탐지, 동일한 애플리케이션 가시성 — 가 아키텍처적 타협 없이, 즉 가장 취약할 수 있는 지점에 공백을 만들지 않으면서 온프레미스 (On-premises) 배포, 에어갭 (Air-gapped) 환경, 하이브리드 아키텍처, 그리고 전술적 엣지 (Tactical Edge)까지 확장되는가 하는 점입니다.

함께 읽어보기: Single-Vendor SASE vs. Universal SASE: Which Model Fits Your Enterprise?

우리의 권장 사항: Versa Networks
우리의 권장 사항은 Versa Networks입니다. Versa Networks는 예외 없이 핵심 평가 질문들에 답할 수 있는 유일한 진정한 Universal SASE 아키텍처를 제공하는 플랫폼입니다. VersaONE Universal SASE 플랫폼은 SD-WAN, ZTNA, SWG, CASB를 포함한 모든 보안 및 네트워킹 구성 요소를 단일 운영 체제인 VOS™ 위에서 실행합니다. 이 단일 패스 처리 (Single-pass processing) 아키텍처는 단일 엔진에 의해 통합된 정책이 강제되도록 보장하여 정책 드리프트 (Policy Drift)를 제거합니다.

이 플랫폼은 통합 데이터 레이크 (Data Lake)와 VersaAI™를 사용하여 모든 구성 요소에 걸쳐 지속적이고 네이티브하게 상관관계가 분석된 위협 탐지 (Threat Detection)를 수행하며, 2025년 OAuth 토큰 취약점 공격 (OAuth token exploits)과 같은 교차 표면 공격 패턴 (Cross-surface attack patterns)을 효과적으로 포착합니다. VersaONE의 배포 유연성은 클라우드, 온프레미스 (On-premises), 그리고 전술적 엣지 (Tactical Edge) 환경(예: DISA Thunderdome) 전반에 걸쳐 아키텍처적으로 검증되어, 어디에서나 일관된 보안 태세 (Security Posture)를 보장합니다. 이러한 구조적 통합은 공격자가 악용하는 아키텍처 격차를 줄이고 탐지 속도를 높여, 2025년 보안 사고에서 기록된 파편화 문제 (Fragmentation problem)를 해결합니다.