SD-WAN & SASE Deep Dive
— Orange Business 중심 학습 가이드
- SD-WAN 기초 — 왜 MPLS를 넘어서야 하는가
- SASE 프레임워크 — SD-WAN + SSE의 통합
- SSE 핵심 컴포넌트 : SWG · CASB · ZTNA · FWaaS
- Orange Business의 SD-WAN / SASE 전략
- Evolution Platform 아키텍처 Deep Dive
- Orange Business 벤더 에코시스템
- 도입 여정 — 5단계 SASE Migration Roadmap
- SD-WAN vs SSE vs SASE 비교 정리표
- 실전 사례 (Siemens · Haier Europe)
- 면접/시험 대비 핵심 키워드 30선
1. SD-WAN 기초 — 왜 MPLS를 넘어서야 하는가
SD-WAN이란?
SD-WAN(Software-Defined Wide Area Network)은 소프트웨어 기반으로 WAN 트래픽을 제어·최적화하는 네트워크 기술이다. 기존 WAN은 MPLS(전용회선)에 의존해 비용이 높고 확장이 어려웠지만, SD-WAN은 브로드밴드 인터넷, LTE/5G, 위성 등 다양한 전송 수단을 동시에 활용하면서 중앙 컨트롤러가 트래픽 경로를 실시간으로 결정한다.
전통 WAN vs SD-WAN
| 구분 | 전통 WAN (MPLS 중심) | SD-WAN |
|---|---|---|
| 전송 매체 | MPLS 전용선 단일 의존 | MPLS + 인터넷 + LTE/5G + 위성 혼합 |
| 트래픽 제어 | 정적 라우팅, 수동 설정 | 중앙 정책 기반 동적 스티어링 |
| 클라우드 대응 | 데이터센터 백홀 필수 → 지연 증가 | Local Breakout으로 직접 클라우드 접속 |
| 확장성 | 새 거점 개통에 수 주 소요 | ZTP로 수 일 내 개통 |
| 비용 | MPLS 회선비 고정·고비용 | 인터넷 회선 활용으로 TCO 절감 |
| 보안 | 별도 방화벽/VPN 장비 필요 | 내장 보안 + SSE/SASE 통합 가능 |
SD-WAN의 핵심 기능
Application-Aware Routing: 패킷의 첫 번째 패킷만으로 애플리케이션을 식별(First-Packet Identification)하여, 실시간 회의는 저지연 경로로, 파일 전송은 대역폭 넓은 경로로 자동 분배한다.
Link Bonding & Failover: 복수 WAN 링크를 하나의 논리적 터널로 묶어 대역폭을 합산하고, 장애 시 자동 전환한다. FEC(Forward Error Correction)로 패킷 유실·지터도 보정한다.
Zero Touch Provisioning (ZTP): CPE(고객 구내 장비)를 현장에 설치하면 자동으로 중앙 오케스트레이터에 등록되고 정책이 적용된다. 글로벌 다지점 배포 속도를 비약적으로 높여준다.
Multi-Cloud Networking: AWS, Azure, GCP 등 퍼블릭 클라우드와 프라이빗 클라우드 간 end-to-end 연결을 제공한다.
2. SASE 프레임워크 — SD-WAN + SSE의 통합
SASE란?
SASE(Secure Access Service Edge)는 2019년 Gartner가 정의한 네트워크 아키텍처 프레임워크로, 네트워킹(SD-WAN)과 보안(SSE)을 하나의 클라우드 네이티브 서비스로 통합한다. 핵심 철학은 "사용자가 어디에 있든, 어떤 디바이스를 쓰든, 일관된 보안 정책과 최적의 네트워크 성능을 클라우드에서 제공한다"는 것이다.
SSE(Security Service Edge)는 2021년 Gartner가 별도로 정의한 보안 전용 하위 카테고리이다. SD-WAN이 네트워크 최적화를 담당하고, SSE가 클라우드 기반 보안을 담당하며, 이 둘이 합쳐진 것이 SASE이다.
왜 SASE가 필요한가?
클라우드 퍼스트 전략, 하이브리드 근무 확산, SaaS 앱 폭증으로 인해 "데이터센터 = 보안 경계"라는 전통 모델이 무너졌다. 사용자는 어디서든 접속하고, 데이터는 여러 클라우드에 분산되어 있다. 이런 환경에서 모든 트래픽을 본사 데이터센터로 백홀해 검사하면 지연이 발생하고 사용자 경험이 저하된다. SASE는 가장 가까운 Cloud PoP에서 트래픽을 검사·보호하여 지연을 줄이고, 사용자 ID와 컨텍스트에 기반한 동적 정책을 적용한다.
3. SSE 핵심 컴포넌트 상세
3-1. SWG (Secure Web Gateway)
사용자의 웹 트래픽을 중간에서 검사하여 악성 사이트 접속 차단, URL 필터링, 데이터 유출 방지 등을 수행한다. 기업의 인터넷 사용 정책(Acceptable Use Policy)을 클라우드에서 일괄 적용할 수 있어, 사용자 위치에 관계없이 동일한 웹 보안을 제공한다.
3-2. CASB (Cloud Access Security Broker)
클라우드 서비스(SaaS) 사용자와 클라우드 앱 사이에 위치하여, 누가 어떤 클라우드 앱에 어떤 데이터를 올리고 내려받는지 모니터링한다. Shadow IT 탐지, DLP 정책 적용, 클라우드 컴플라이언스 감사 등이 핵심 기능이다.
3-3. ZTNA (Zero Trust Network Access)
"절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"가 핵심 원칙이다. VPN처럼 네트워크 전체를 개방하지 않고, 인증된 사용자에게 특정 애플리케이션 단위로만 접근을 허용한다. 사용자의 ID, 디바이스 상태, 위치, 시간 등 컨텍스트를 지속적으로 평가하여 접근 권한을 동적으로 조절한다.
3-4. FWaaS (Firewall as a Service)
물리적 방화벽을 클라우드로 옮긴 것이다. L3/L4 패킷 필터링은 물론, L7 애플리케이션 인식, IDS/IPS(침입탐지/방지), DDoS 방어까지 클라우드 PoP에서 제공한다. 브랜치 오피스마다 방화벽 하드웨어를 배치할 필요가 없어진다.
3-5. DLP (Data Loss Prevention)
민감 데이터(개인정보, 신용카드 번호, 영업 기밀 등)가 허가되지 않은 경로로 유출되는 것을 방지한다. SWG, CASB와 연동하여 웹 업로드, 클라우드 공유, 이메일 첨부 등 모든 채널에서 DLP 정책을 적용한다.
| SSE 구성요소 | 주요 역할 | 대체/보완 대상 |
|---|---|---|
| SWG | 웹 트래픽 검사 · URL 필터링 · 맬웨어 차단 | On-prem Proxy / Web Filter |
| CASB | SaaS 가시성 · Shadow IT 탐지 · 클라우드 DLP | 없음 (클라우드 시대 신규 요구) |
| ZTNA | 앱 단위 접근 제어 · 지속적 인증 | 전통 VPN |
| FWaaS | 클라우드 기반 방화벽 · IDS/IPS | 브랜치 하드웨어 방화벽 |
| DLP | 민감 데이터 유출 방지 | 엔드포인트 DLP / 이메일 DLP |
4. Orange Business의 SD-WAN / SASE 전략
시장 위치
Orange Business는 2025 IDC MarketScape에서 Managed SD-WAN과 Managed SASE 양쪽 모두 리더(Leader)로 선정되었다. 통신사(Carrier) 수준의 글로벌 백본 위에 SD-WAN과 SASE를 통합 서비스로 제공하는 점이 핵심 차별화 요인이다.
② Global Expertise + Local Presence — 220개국 이상 네트워크 커버리지
③ Security-Driven Innovation — Orange Cyberdefense 통합
④ AI-Enhanced Operations — AIOps 기반 자율 운영
핵심 전략: Carrier-Grade Network + Layered SASE
많은 SASE 벤더가 보안에서 출발해 네트워크를 추가하는 반면, Orange Business는 Tier-1 글로벌 캐리어 네트워크를 기반으로 그 위에 SD-WAN과 SSE를 레이어링한다. 프라이빗 백본에서 트래픽을 최적화하여 더 빠르고 안정적이며 보안 강화된 연결을 제공한다.
운영 모델의 유연성
Orange Business는 세 가지 운영 모델을 제공한다. ① Self-Managed(DIY) — 고객 직접 관리, ② Co-Managed — Orange와 역할 분담, ③ Fully Managed — Orange 전체 운영. RBAC(역할 기반 접근 제어) 기반의 공동 관리 포털을 통해 고객은 투명하게 보안 정책을 모니터링하고 제어할 수 있다.
벤더 전략: Mono-Vendor vs Multi-Vendor
단일 벤더 모델에서는 Palo Alto Prisma SASE 등 하나의 통합 플랫폼을 사용하고, 멀티 벤더 모델에서는 Cisco, Fortinet, VMware(VeloCloud) 등 다양한 SD-WAN 벤더와 best-of-breed 보안 솔루션을 조합한다. Orange의 자체 오케스트레이션·모니터링·운영 레이어가 벤더에 관계없이 일관된 경험을 보장한다.
5. Evolution Platform 아키텍처 Deep Dive
Evolution Platform이란?
Orange Business의 디지털 서비스 플랫폼으로, 보안 디지털 인프라와 클라우드 방식의 서비스 주문·관리를 결합한다. 고객은 네트워킹, 보안, 클라우드 서비스를 셀프서비스 콘솔이나 API를 통해 클라우드 컴퓨팅처럼 소비할 수 있으며, 캐리어 수준의 성능이 뒷받침된다.
Super PoPs (Super Points of Presence)
Orange의 Tier-1 글로벌 백본 위에 전략적으로 배치된 고성능 네트워크 거점이다. 고객 사이트 및 클라우드 프로바이더와 가까운 위치에 있어 애플리케이션 지연을 크게 낮추고 비즈니스 민첩성을 제공한다. SD-WAN 게이트웨이, 보안 인스펙션, 클라우드 온램프 기능이 Super PoP 내에서 구동된다.
Flexible SD-WAN 아키텍처 (VeloCloud 예시)
Evolution Platform 위에서 제공되는 VeloCloud 기반 SD-WAN은 세 가지 계층으로 구성된다.
Network — SD-WAN 패브릭 전체를 정의하는 최상위 계층. Orchestrator가 모든 Region/Site를 관리·제어한다.Region — 지리적 영역별로 SD-WAN Gateway 쌍(Primary/Secondary)이 Super PoP에 배치된다. 오버레이 토폴로지, 인터넷 트래픽 라우팅, 앱 우선순위를 지역 단위로 설정한다.Site — 실제 고객 거점. SD-WAN Edge 디바이스(CPE)가 배치되어 LAN 사용자를 SD-WAN 네트워크에 연결한다.
End-to-End Visibility & Service Guarantee
플랫폼의 자동화와 서비스 체이닝은 User → Cloud, Cloud → Cloud 연결의 전 구간 가시성과 서비스 보증(SLA)을 제공한다. 고객 포털에서 인벤토리 상태, 운영 상태(Up/Degraded/Down), 성능 메트릭을 실시간으로 확인할 수 있다.
6. Orange Business 벤더 에코시스템
7. 도입 여정 — 5단계 SASE Migration Roadmap
SASE 전환은 제품 하나를 구매하는 것이 아니라 점진적인 여정(Journey)이다. Orange Business가 제시하는 5단계 로드맵을 기반으로 정리한다.
현재 네트워크 구조, 클라우드 사용량, 보안 갭을 분석한다. 어떤 데이터가 가장 민감한지, 어디에 위치하는지, 어떻게 제어되고 있는지 파악한다.
많은 기업에서 보안팀과 네트워크팀이 분리되어 있다. SASE는 이 두 팀의 협업을 전제로 한다. 초기부터 통합 거버넌스를 수립하고, CISO가 네트워크 전환 논의에 참여해야 한다.
MPLS 중심 WAN을 SD-WAN으로 마이그레이션한다. 클라우드 서비스를 엣지에서 배포하기 위한 소프트웨어 정의 네트워크 기반을 구축한다. 원격 근무자를 위한 리모트 액세스 솔루션도 함께 배치한다.
기존 온프레미스 보안 장비(프록시, 방화벽 등)를 SD-WAN 위의 클라우드 PoP으로 이전한다. SSE 솔루션(SWG, CASB, FWaaS)을 도입하여 클라우드 네이티브 보안으로 전환한다.
ZTNA를 도입하여 ID 기반 접근 제어로 전환한다. 모든 사용자, 디바이스, 애플리케이션에 대해 명시적 검증을 적용한다. 이 단계는 기술뿐 아니라 조직 문화의 변화를 요구한다.
8. SD-WAN vs SSE vs SASE 비교 정리표
| 항목 | SD-WAN | SSE | SASE |
|---|---|---|---|
| 등장 시기 | ~2014년 | 2021년 (Gartner) | 2019년 (Gartner) |
| 핵심 초점 | WAN 최적화 · 전송 유연성 | 클라우드 보안 서비스 | 네트워킹 + 보안 통합 |
| 주요 구성 | Path Selection, QoS, WAN Optim, ZTP | SWG, CASB, ZTNA, FWaaS, DLP | SD-WAN + SSE 전체 |
| 보안 포함? | 기본 내장 보안만 | 보안 전용 (네트워크 미포함) | 네트워크 + 보안 모두 |
| 배포 형태 | CPE + 클라우드/온프레미스 | 클라우드 네이티브 | 클라우드 네이티브 (PoP) |
| 적합 시나리오 | WAN 현대화 최우선 | 원격근무 보안 최우선 | 네트워크+보안 통합 전환 |
| 관계 | SASE의 네트워크 계층 | SASE의 보안 계층 | SD-WAN + SSE = SASE |
9. 실전 사례
Case 1: Siemens — 세계 최대급 SD-WAN 배포
독일 기술 기업 Siemens는 Orange Business와 협력하여 전 세계 94개국 1,168개 거점에 SD-WAN을 배포했다. 이는 세계 최대 규모의 SD-WAN 프로젝트 중 하나로 꼽힌다. 글로벌 커버리지, 높은 보안 기준, 현지 지원, 가격 대비 성능이 선택 이유였다.
Case 2: Haier Europe — 클라우드 퍼스트 SD-WAN
글로벌 가전 기업 Haier Europe은 성장 지원을 위해 Orange Business의 Evolution Platform을 도입했다. 클라우드, 연결성, 사이버보안의 세 가지 빌딩 블록을 오케스트레이션하는 로드맵을 수립했으며, Orange Cyberdefense가 5,000명의 사용자 보안을 담당하고, SD-WAN을 통해 멀티 클라우드에 보안 접속을 제공한다.
Case 3: 글로벌 FMCG 기업 — End-to-End SASE
한 글로벌 소비재 기업은 Orange Business와 Palo Alto Networks의 Prisma SASE를 도입했다. Orange의 MSI(Multi-Sourcing Service Integration) 모델을 활용하여 네트워크와 보안 마이그레이션의 현재·미래 상태를 모두 고려한 end-to-end SASE를 구현했다.
10. 면접/시험 대비 핵심 키워드 30선
SD-WAN
MPLS
Overlay / Underlay
Control Plane
Data Plane
ZTP
Best Path Selection
Application-Aware Routing
Local Internet Breakout
Tunnel Bonding
FEC
WAN Optimization
uCPE
SASE
SSE
SWG
CASB
ZTNA
FWaaS
DLP
Zero Trust
Identity-Based Access
Cloud PoP
ADEM (DEM)
Evolution Platform
Super PoP
Orange Cyberdefense
Mono / Multi-Vendor
Managed / Co-Managed / Self-Managed
MSI
SSE = 클라우드에서 제공하는 보안 서비스 묶음 (SWG+CASB+ZTNA+FWaaS)
SASE = SD-WAN + SSE → 네트워크와 보안의 클라우드 통합 프레임워크
ZTNA = 절대 신뢰하지 말고, 항상 검증하라 (앱 단위 접근 제어)
Evolution Platform = Orange Business의 디지털 서비스 플랫폼
Super PoP = Orange 백본 위 전략적 네트워크 거점
— SD-WAN & SASE Deep Dive · Orange Business 중심 학습 가이드 —
Study hard, network smart.
'CCIE EI' 카테고리의 다른 글
| 트러블슈팅 요약 (0) | 2026.03.21 |
|---|---|
| DMVPN Deep Dive (0) | 2026.03.20 |
| Cisco SDA zero to Hero (0) | 2026.03.20 |
| CCIE EI Course (0) | 2026.03.20 |
| CCIE EI introduction. (0) | 2026.02.16 |
