비용∙관리상 통합이 대세이나 “하나가 뚫리면 모두 무너진다”
보안으로 중무장한 네트워크에서도 똑같은 일이 발생한다. 허용되지 않은 액세스 트래픽, 위해 프로그램, 공격, 데이터 누출, 스팸 등을 검사하는 시스템의 수가 늘어남에 따라서 많은 검색과 탐색이 행해진다. 그리고 많은 비용이 복수의 보안 장치에 들어간다. 이 모든 검사와 검색을 단번에 처리할 수 있는 다기능 제품이 바로 통합 위협 관리 개념 즉, UTM(Unified Threat Management)이다.
◆체크포인트, 시스코 등 대형업체에서부터 소형 업체까지 다양=UTM 제품들은 다양한 규모의 네트워크 보안용으로 출시되고 있다. 아주 작은 네트워크부터 대형 네트워크까지 다양하다. 분산된 기업은 복수의 UTM 제품을 배치해야되는데 이는 관리 문제를 의미한다.
다행스럽게도, 대부분의 벤더들이 서로 멀리 떨어져있는 UTM 장치 네트워크를 관리하고 기존의 보안 수트에 통합되는 플랫폼을 지원한다.
체크포인트, 시스코시스템즈, IBM, 주니퍼 네트웍스를 포함하여 보안 분야에서 입지를 다진 회사들이 UTM을 내놓는 것은 물론, 아스타로, 사이버롬, 포티넷, 시큐어컴퓨팅, 소닉월, 자이젤 등 소규모 보안 벤더들까지도 복수의 장비관리와 기술통합에 나서고 있다.
비용에 대해서 말하자면, UTM 시장의 흥미로운 점은 다수의 장비들이 오픈소스 컴포넌트를 사용하고 있다는 것이다. 덕분에 소비자들은 확실히 저렴한 비용으로 장비를 구매할 수 있다. 하지만 반대로, GPL(General Public License)이 변경되는 것을 염두에 두어야 한다.
◆"모두 최고의 기능만 통합한 것은 아니다"=보안 기능을 하나의 장치에 통합하는 것의 이점은 비용 절감, 통합된 보고, 일관된 인터페이스, 네트워크 구조의 단순화, 관리의 용이성 등 너무나 명확하다. 엔드 포인트 보안 제품의 통합을 유도하는 것도 바로 이런 경향 때문이다. 데스크톱에서 바이러스 방지 제품에 여러가지 기능들이 계속 추가되어 범용 상품이 되는 반면 네트워크에서는 방화벽이 그 위치를 차지했다.
좀 덜 분명한 이점들도 있다. 그린 컴퓨팅쪽으로 관심을 돌려보자. 통합은 가상화만을 의미하는 것이 아니다. 통합 위험 관리를 통해서 보안 장치 숫자를 줄이면 전기 소모도 줄어든다. 제법 완성도 있는 UTM 제품은 시너지 효과를 준다.
예를들어, 위험한 URL 목록을 하나의 데이터베이스에 넣어 바이러스 방지 모듈, 스팸 방지 모듈, 콘텐츠 필터링 모듈이 모두 이를 공유할 수 잇게 만든 다음 해당 사항에 맞게 적절하게 사용하면 된다. 포티넷은 이런 접근법을 최대한 활용하여 UTM 중심으로 완전히 새롭게 디자인하고 있다. 또한 UTM 벤더들 가운데 드물게 모든 모듈과 시그너쳐 데이터베이스를 전부 자사가 관리하고 있다.
물론 한 지붕 밑에 온갖 짐승들을 다 집어넣으면 안 좋은 점도 있다. 각부분 중 최고의 기능을 가진 소프트웨어가 하나의 UTM에 들어갈 수 있는 것은 아니다. 예를 들어, 최고의 명성을 갖고 있는 침입 방지 시스템을 UTM에 통합해 넣은 체크포인트, IBM, 주니퍼를 제외하곤 대부분의 기능과 탐지 및 방지의 정도 측면에서 독립된 제품의 기능을 따라가지 못한다. 바이러스와 스팸 방지 기능도 마찬가지다.
마케팅을 위한 말에 지나지 않는 것들도 있다. 보안 제품을 독립시켜 놓고 시험한 것과 여러개의 파생 모듈이 들어 있는 장치에서 사용할 때 대역폭은 같을 수가 없다. 실제 네트워크에서 모듈을 몽땅 켜 놓고 사용할 때는 업체가 주장하는 성능보다는 훨씬 더 속도가 떨어진다는 것을 알아야 한다. 그래서 하드웨어 가속을 사용하는 제품들이 많이 있다. 하지만 자신의 네트워크에서 원하는 옵션을 켜 놓고 시험해 보지 않는 한, 어느 정도의 성능을 보일지는 확실히 알 수 없다.
통합에서 생길 수도 있는 또 하나의 단점이 보안 달걀을 한 장소에 통합시킨것과 같은 개념이다. 이것은 네트워크 게이트웨이 보호에서 SPOF(Single Point of Failure:한 곳이 무너지면 전체가 무너짐) 문제를 초래할 수 있다는 것이다. 때문에 효율성을 위해 보안을 통합하기보다는 분산시키는 쪽으로 가는 움직임도 있다.
◆오픈 소스에 대한 논란, "가격 싸지만 단점도 많다"=어떤 UTM 제품들은 오픈소스 기술을 통합 인터페이스로 활용하는 것들도 있다. 침입 탐지 및 방지는 Snort, 바이러스 방지는 ClamAV, 방화벽은 아이피테이블/넷필터 이런 것들을 다 모으면 UTM에 필요한 것은 다 갖는 셈이다. 약간의 풀과 인터페이스 리포팅 매커니즘을 갖춘 다음 시장에 내 놓는 것이다.
SmoothWall이 바로 이런 것을 판매하고 있다. 이것은 고객들에게는 분명히 좋다. 1000개 노드의 네트워크를 보호하기 위한 제품을 구입할 때 SmoothGuard 1000은 경쟁 제품의 1/3 비용인 $5000 밖에 들지 않는다. 반면 체크포인트를 구입한다면 $15,500이 든다. 아스타로(Astaro)도 자사의 UTM 제품 분야에 오픈소스를 쓰고 있다고 당당하게 밝히는데, 가장 싼 제품이 $1,200 로 전체적으로 최고의 접근법을 사용한다고 주장하며 최근에는 오픈소스 SquidHTTP Proxty에서 자체적으로 개발한 것으로 대체했다.
일부 업체들은 오픈 소스에 기반한 것이라고 경쟁 제품을 흑색선전하기도 한다. 하지만 오픈 소스 소프트웨어가 독점 코드에 비해서 내재적으로 나쁘거나 더 좋은 것은 아니다. 사실 어느 회사건 한정된 자원을 갖고 UTM 접근을 하려면 위험 평가에 기초하여 가장 필요한 곳에 재정 자원을 모두 쏟아 붇고 나머지는 오픈소스로 메꾸는 것이 적절하다.
하지만, UTM을 결정할 때 오픈소스로 할 것인지 독점 코드로 할것인지 선택에 있어서 몇가지 고려해야될 문제가 있다.
먼저 라이센스가 달라짐에 따라서 향후 버전이 영향받을 수 있다. 예를들어 테너블 네트워크 시큐리티社는 취약점 스캐너로 인기 제품인 Nessus의 버전이 2.0에서 3.0으로 올라갈 때 라이센스를 변경했다. 이것은 3.0 개발이 거의 전부 테너블社에서 고용한 프로그래머들에 의해서 개발되었기 때문이다. 그리고 이전 버전의 라이센스는 취소 될 수 없다.
또 하나 문제는 GPL의 파생물 조항이다. 이전까지 대부분 해석은 애플리케이션의 컴파일된 버전에 인터페이스하는 프로그램은 파생물로 간주되지 않았다. 다시 말해서, Snort를 가져다 설정, 관리, 출력 데이터 부분을 웹 인터페이스로 포장하고 원래의 애플리케이션만 전혀 변경되지 않는다면 전체 애플리케이션이 GPL의 영향을 받는 파생물로 간주받지 않았었다.
하지만 오픈소스 저작자들은 이 관례를 따르지 않는다. Nmap과 Snort는 현재 어떤 방식으로든 그 애플리케이션을 사용하게되면 라이센스를 받아야 함을 명시적으로 요구하는데 UTM 벤더들이 소스나 데이터 파일을 포함시킨다던지 그것들을 인스톨러에 포장한다던지 할 때 이에 영향 받을 수 있다.
Snort은 UTM 벤더들이 보편적으로 사용하며 아스타로만이 Sourcefire의 웹싸이트에 인티그레이터로 등재되어 있다. 다른 회사들은 3.0 제품군을 사용하지 않던지 Sourcefire와 사적인 라이센스 계약을 맺을 계획을 세워야만 한다. 그리고 Sourcefire는 누구와 무엇을 계약했는지 밝히지 않는다.
UTM 제품의 각 기능들
방화벽: 최근 인기가 떨어지고 있는 분야. 하지만 방화벽은 여전히 가장 중요한 보안 장치며 방화벽을 근간으로 만들어지는 UTM 장치들은 방화벽의 적절한 배치 모델을 갖고 있다. 네트워크의 어느 부분이든 적절하다고 판단되는 곳에는 방화벽을 설치하라. 더욱이 방화벽 벤더들은 꾸준이 발전하고 있다. 최근 방화벽 관련 철학을 둘러본 결과 OSI 네트워크 모델 레이어 1~3까지 적용되었던 개념들이 포트와 프로토콜에 상관없이 데이터와 애플리케이션 모두에 규칙이 적용될 수 있게 되었다.
침입 탐지-방지 시스템: IDS(침입 탐지 시스템)과 IPS(침입 방지 시스템)의 배경이 되는 철학은 미묘한 차이가 있다. 전통적인 방화벽에 비교해 이들의 가치는 단순히 패킷 헤더를 보고 보안 결정을 내리는 것이 아니라 패킷 내부를 들여다볼 수 있다는 것에 중심 맞춰져있다. 불행히도 IPS는 허가가 디폴트다. 공격, 허점, 의심스런 행동을 막기 위한 규칙을 만들지 않으면 모든 것이 통과한다.
IPS를 적절하게 튜닝해 놓으면 많은 위해 트래픽을 걸러낼 수 있지만 일반적으로 IDS/IPS 벤더들은 서버에서 클라이언트 쪽으로 공격 양상이 바뀌는데 대응하느라 어려움을 겪었다. 네트워크 게이트웨이 침입 방지 시스템은 잠재적 문제를 갖고 있다. 단순히 네트워크 소켓을 노리는 공격이 아닌 것은 쉽게 탐지하지 못한다. 예를들어, 브라우저 플러그인 공격을 SSL 트랜잭션 내에 암호화된 HTTP 콘텐츠 인코딩 속에 넣어서 보낼 수 있다. 종단에서 실행되거나 완벽하게 종단을 에뮬레이트할 수 있는 기능이 없는한 IPS는 이런 종류의 공격을 탐지할 수 없다.
안티바이러스: 원래의 UTM 정의는 SMTP와 HTTP 스캐닝을 하는 것을 의미하는 게이트웨이 안티바이러스를 포함했었다. 일부 제품들은 P2P, 파일 전송 프로토콜, 챗 클라이언트까지 보안을 확장했다. 최근 UTM 제품에는 모두 순수한 의미의 안티바이러스가 아니라 안티-스파이웨어, 안티-스팸, 안티-위해소프트웨어 기능들이 들어 있다. 정적인 지문 데이터베이스에 의존하는 것이 아니라 전송되고 있는 파일이 잠재적 위험이 있는지 검사하는데 행동 스캐닝을 사용하는 것이 최근 기술 동향이다. 물론 행동에 기초한 탐지건 시그너처에 기초한 것이든 여전히 허가가 디폴트인 정책의 예다.
이 밖에 UTM은 다음과 같은 다양한 기능들을 지원한다.
네트워크 인프라스트럭쳐 기능: UTM의 배경이 되는 철학과 이미 VPN을 방화벽 제품에 통합해 넣는 것같은 보편적인 경향 속에, 네트웍-인프라스트럭쳐 완제품을 가진 UTM 장치들이 많이 있다. NAT, QoS,VPN이 포함될 수 있다.
콘텐츠 필터링: URL 블랙리스트 서비스를 이용한 웹-콘텐츠 필터링과 관련있는 콘텐츠 필터링 기능은 생산성 향상을 위해 좋다고 평가받는다. 물론 재주 좋은 사용자는 언제, 어떻게 해서라도 자신이 보고 싶은 것을 찾겠지만 말이다.
데이터 누출 방지: 지난 몇 년간 폭발적으로 증가하는 분야다. 이메일 키워드 필터링이나 이메일 첨부 파일 블로킹 등 일부 단순한 데이터 누출 매커니즘을 갖고 있는 제품들이 많이 있다. 반면 IBM의 프로벤시아 제품군은 DLP(Data Leak Prevention) 기능 전체를 담고 있다.
네트웍 액세스 콘트롤(NAC): 다른 여러 기능들과 섞였을 때 정의하기 어려운 개념이지만 액세스 제어, 엔드 포인트 통제 등 방식으로 네트워크의 보안을 위한 다른 모든 것을 하는 제품은 의미있다. 소닉월(SonicWall)의 강제 안티바이러스 검사는 이 방향의 작은 발걸음이라고 할 수 있다.
ID기반 액세스 컨트롤: 네트워크 게이트웨이 제품의 새로운 보안 기술. 운영시스템, 애플리케이션, 그리고 그 밖의 장치들은 인증과 허가 개념을 컴퓨터 역사의 시작부터 사용해 왔다. 하지만 네트워크 게이트웨이에 이 개념의 적용은 상대적으로 새로운 것이다. 싸이버롬(Cyberroam)은 이 신원-기반 보호를 자사의 UTM 제품군의 초석 기능으로 사용한다.
InformationWeek USA
webmaster@itdaily.kr