[컴퓨터월드] 지난 2009년 발생했던 7·7 디도스(DDoS) 대란, 그리고 2013년 발생했던 지능형 지속 위협(Advanced Persistent Threat, APT) 등으로 인해 보안의 콘셉트가 변하고 있다. 한 번 공격을 당하게 되면 그 피해가 걷잡을 수 없을 정도로 커지고 있는 만큼, 사전 차단의 중요성이 높아졌기 때문이다. 그리하여 외부로부터 들어오는 공격의 길목에서부터 이를 막아보기 위한 네트워크 보안의 중요성 역시 함께 높아지고 있다.

그동안 네트워크 보안을 위해서는 필요한 장비를 다양하게 갖추는 것이 일이었다. 그러나 이제는 네트워크 환경이 애플리케이션 중심으로 변하고 있을뿐더러, 비용 절감 및 관리 편의성이 높아짐에 따라 점차적으로 제품의 전문화와 통합화가 이뤄지고 있는 추세다. 네트워크 보안 시장 트렌드에 대해 알아본다.

네트워크 환경의 변화 

네트워크는 IT 인프라 환경에서도 가장 변화가 더딘 구간이다. 실제로 서버나 PC 등은 새로운 제품이 출시되거나 OS가 바뀔 때마다 교체되어 왔지만, 네트워크는 변화 없이 그대로 사용되어 왔다. 그렇기에 네트워크 보안 장비도 한 번 구축한 이후 특별한 문제가 생기지 않는 이상 그대로 네트워크 라인에 물려두는 것이 일반적이었다.

그러나 이처럼 변화가 없던 네트워크 환경도 점차적으로 바뀌기 시작했다. 트래픽 중심이었던 네트워크가 애플리케이션 중심으로 변화하고 있기 때문이다. 더욱이 소프트웨어 정의 네트워크(Software-Defined Network, SDN)나 네트워크 기능 가상화(Network Functions Virtualization, NFV)와 같은 개념들이 출현하면서부터, 이러한 현상은 더욱 가속화되고 있다. 

네트워크가 변화되자 네트워크 보안 장비들도 변화를 맞이할 수밖에 없게 됐다. 기업 및 조직에서 사용하고 있는 네트워크 보안 장비의 대표 제품인 방화벽(Firewall, FW)은 20년 전에 개발된 스테이트풀 인스펙션(Stateful Inspection) 기술을 기반으로 하고 있다. 이 기술은 단순히 포트와 프로토콜을 기반으로 트래픽을 이해하고 있기 때문에, 특정 포트를 차단함으로써 트래픽을 차단하는 역할을 했다.

그러나 최근 애플리케이션으로 대변되는 네트워크 업무 환경에서는 이에 적절한 보안을 구현하지 못하는 것으로 알려지고 있는 만큼, 방화벽도 차세대 방화벽이라는 새로운 콘셉트로 변화할 수밖에 없었다.

대규모 디도스 공격과 APT의 등장 

네트워크 보안 제품들이 변화하게 된 큰 이유로 보안 업계에서는 대규모 디도스 공격과 APT의 등장을 꼽는다. 이들 공격들은 기존 네트워크 보안 제품들이 가지고 있던 방어 체계를 무력화시킬 정도로 강력했기 때문이다.

지난 2009년 발생한 7·7 디도스 대란은 국내 주요 기관과 금융사 및 포털 사이트들을 마비시켜버렸던 대규모 공격으로, 네트워크 보안을 위해 디도스 공격 방어 장비에 대한 중요성을 일깨워주는 계기가 됐다. 이전에도 특정 사이트를 마비시키기 위한 공격들은 발생해왔었지만, 이때만큼 파급력이 컸던 적은 없었기 때문이다.

또한, 지난 2013년 발생한 APT 공격은 기 보유하고 있던 네트워크 보안 장비만으로는 점점 정교해지고 타깃화된 공격을 막기 어렵다는 인식을 하게끔 만들었다. 시그니처(패턴) 기반의 보안 솔루션들은 APT 공격을 위해 침투하는 악성코드를 탐지해낼 수 없었기 때문에, 이에 대비하기 위한 새로운 탐지 방식을 요구하게 됐다.

이처럼 외부로부터 이뤄지는 공격들이 점차적으로 대형화·표적화 되면서 사전 탐지를 통한 방어 개념 정립이 점차적으로 뚜렷해졌으며, 네트워크 보안 장비들도 이런 개념에 맞춰 진화하기에 이르렀다.

비용 절감 및 관리 편의성 요구 증대 

네트워크에는 디도스나 APT와 같은 대규모 공격들뿐만 아니라, 해커가 악성코드를 침투시키기 위해 네트워크 및 보안망을 건드리는 경우도 종종 발생하는 편이다. 네트워크 보안 장비들이 항상 필요한 이유다.

그러나 네트워크로 침투하는 공격들이 점차적으로 다양해지고, 또 정교해지고 있다. 과거에는 단순히 방화벽 정도로만으로도 해결됐을 것들이 이제는 방화벽뿐만 아니라 디도스 방어 장비, 침입방지시스템(IPS), APT 탐지시스템, 웹방화벽 등 다양한 네트워크 보안 제품들을 도입하기에 이르렀다.

네트워크 보안 장비의 가장 큰 목적은 외부 공격으로부터의 방어다. 그렇기에 필요하다면 제품을 도입하여 대비하는 것이 맞다. 그러나 점차적으로 방어해야 할 대상이 많아지고, 제품 또한 다양해지다보니 네트워크에 물려야 할 보안 제품들 역시 늘어나게 됐다. 

이렇게 되다보니 문제는 해당 보안 제품들이 제공하는 로그나 이벤트 기록 등을 한 눈에 파악하기 쉽지 않게 됐다는 것이다. 그리고 각 제품들 간의 호환성 문제도 발생할 수 있고, 트래픽이 각 보안 장비들을 통과해서 지나다보니 네트워크 환경이 점차적으로 복잡해지고 있다는 문제도 발생했다. 

이에 네트워크 관리자 및 보안 담당자들은 한 번에 각 보안 장비 현황을 파악할 수 있고, 관리가 용이한 제품을 원하게 됐다. 이런 요구사항을 반영한 제품 중 하나가 통합위협관리(Unified Threat Management, UTM)시스템이다. 방화벽, IPS, 안티바이러스(Anti-Virus) 기능들을 하나로 통합함으로써 네트워크 환경을 간단하게 만들고, 관리해야 하는 부분을 줄였으며, 1대의 장비로 여러 장비들을 도입하는 효과를 줌으로써 비용 효율적인 운영을 할 수 있게 했다. 그렇기에 대기업보다는 규모가 크지 않은 중소기업에서 활용하기에 적합했다.

그러나 UTM은 하나의 장비에서 모든 것을 해결해야 하는 만큼 성능 이슈가 끊임없이 제기됐으며, 여러 기능들을 묶어버린 만큼 원하는 특정 기능의 전문성을 기대하기가 어렵다는 아쉬움도 있었다.

차세대 방화벽의 등장 

네트워크 환경의 변화, 새로운 공격 형태의 등장, 네트워크 및 보안 관리자들의 요구 등으로 인해 네트워크 장비들도 변화를 모색하게 됐다. 

이렇게 등장한 제품 중 하나가 바로 차세대 방화벽(Next Generation Firewall, NGFW)이다. 차세대 방화벽은 네트워크에서 애플리케이션과 사용자를 인지하여, 이를 기반으로 보안을 적용하여 기존의 레거시 보안 장비들이 하지 못하는 매우 세밀하고 강력한 보안을 달성할 수 있도록 한다. 

차세대 방화벽은 기본적으로 패킷 필터링(IP, 포트 기반), 네트워크 주소 변환(NAT), 상태기반 패킷 검사(SPI: Stateful Packet Inspection) 등 전통적인 방화벽의 기능에 더해 ▲실제 트래픽 사용자 식별 기반 제어 ▲애플리케이션 가시성 확보 및 제어 ▲상호 연결된 다중 위협 탐지/차단 등의 기술을 적용하고 있다.

그렇다면 차세대 방화벽이 왜 필요하게 됐는가? 이는 사용자들의 근무 형태가 고정된 것이 아닌, 이동 근무 환경으로 변화하면서 IP 기반의 패킷 필터링이 한계를 드러냈기 때문이다. BYOD의 확산으로 인해 개인 스마트 기기의 업무 네트워크 연결이 늘어났고, 이는 결국 특정 사용자 또는 부서별로 구체적인 트래픽 제어를 요구하게 됐다.

또한 SNS, P2P, IM을 통한 데이터 유출과 악성코드 등 위협요인도 점차적으로 증가하고 있으며, 다중 보안 장비의 개별적 배치로 인해 방어 연계성도 떨어지는 등 보안 현장은 전반적인 변화를 필요로 하게 됐다.

이를 종합하면 차세대 방화벽은 기존 패킷 필터링 방화벽으로 IP/포트 기반의 아주 큰 틀에서 보안 정책을 수립했던 것에서 벗어나, 다양한 애플리케이션의 잠재 위협을 사용자와 애플리케이션 식별 기술을 이용하여 좀 더 구체적으로 제어/방어하고, 분산된 보안 기능을 하나로 통합한 차세대 보안 프레임워크로 볼 수 있다.

현재 차세대 방화벽 시장은 팔로알토 네트웍스와 포티넷, 체크포인트, 델 소프트웨어 등 글로벌 기업들이 국내 시장 주도권을 가져가기 위해 적극적인 영업 활동을 펼치고 있으며, 시큐아이, 안랩, 윈스 등 국내 기업들도 이에 대응하기 위해 움직이고 있다. 

기능 연동으로 전문성 높여 

차세대 방화벽의 등장뿐만 아니라, 다른 장비들도 최근 환경 변화에 맞춘 움직임을 보이고 있다. 무엇보다 기존 장비들이 가진 강점은 살리면서 추가적은 기능들을 더해 한층 더 강력한 성능을 발휘할 수 있는 형태로 변화하고 있는 것이다. 

팔로알토 네트웍스는 차세대 방화벽 제품을 시장에 출시하면서 APT 대응솔루션 ‘와일드파이어(WildFire)’도 함께 공급하고 있다. 

와일드파이어는 의심스러운 파일을 가상의 샌드박스로 전송하여 행위기반 분석을 진행한다. 악성코드로 최종 확인되는 경우 15분~30분 내에 해당 악성코드를 탐지 및 차단할 수 있는 시그니처를 자동 생성하여 상세한 분석 리포트와 함께 고객사에 배포할 수 있어 보안 담당자의 업무를 줄여준다.

팔로알토 네트웍스의 와일드 파이어는 라이선스 형태로 제공된다. APT 보안뿐만 아니라 차세대 방화벽까지 모두 제공하여 일반적인 보안 위협뿐만 아니라, 탐지하기 어려운 APT, 신종 멀웨어까지 알려지거나 알려지지 않은 공격 모두 대응이 가능하다. 

네트워크 보안 회사 윈스는 악성코드 탐지 기술인 ‘네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법’을 개발하고 특허 출원했다. 해당 기술은 APT 공격과 같은 악성코드를 네트워크 기반에서 단 하나의 패킷만 검사해 리소스를 최소화 하면서 탐지할 수 있게 해준다. 실행 가능한 파일의 확장자를 속이거나 암호화를 통해 내용을 변조한 후 기존 보안 솔루션을 우회하는 악성코드가 네트워크를 통해서 다운로드 될 경우 리소스를 최소화하면서 악성코드를 탐지한다. 

윈스는 스나이퍼 IPS와 같은 자사 네트워크 보안 제품군에 해당 기술을 올해까지 탑재해 악성코드 탐지능력을 높이고, 고객들에게 기술적 신뢰성과 만족도를 제공한다는 방침이다. 또한, 악성코드 자동수집기술 및 역접속 탐지를 통한 APT 방어 기술 등 특허받은 기술들을 잇달아 개발함으로써 자사 제품들의 고도화에도 주력하고 있다.

네트워크 전문기업 파이오링크도 자사 웹방화벽 ‘웹프론트-K’에 웹쉘 탐지 솔루션을 연동시켜 보안기능을 강화시켰다. 

웹쉘은 원격으로 웹서버를 통제하기 위해 만든 스크립트 파일 또는 프로그램으로, 최근 웹 보안사고의 대부분이 웹쉘 공격에 의해 발생하고 있다. 특히 웹서버에 저장된 개인정보를 유출하거나 웹사이트를 변조해 악성코드 유포지로 악용하는 등 추가 공격 사례도 증가하고 있어 이에 대한 대비 또한 필요한 상황이다.

파이오링크는 자사 웹방화벽이 기본적으로 웹쉘 탐지기능이 있지만, 우회 공격이나 변화무쌍한 공격들도 많기 때문에 별도의 웹쉘 탐지 솔루션과 웹방화벽을 결합시켜 안전성을 높였다고 설명했다.

파이오링크는 웹쉘 탐지 솔루션이 탐지와 분석을 이원화하여 고객의 웹서버 부하를 최소화했으며, 다양한 분석 방법과 지속적 패턴 생성 및 분석 및 난독화 기술 등을 결합해 탐지 신뢰도를 한층 높였다고 밝혔다.

네트워크 기업들, 보안 사업으로 진출 

그동안 네트워크와 보안은 별개로 인식되는 경향이 강했다. 그러나 네트워크 단에서 이뤄지는 공격이 많아지는 만큼, 네트워크 전문 기업들도 보안 사업에 진출하고 있는 추세다. 특히 클라우드 서비스를 비롯한 다양한 네트워크 서비스를 제공하게 되는 만큼, 이에 대한 보안 대비를 철저히 하여 고객들에게 안정성과 신뢰성을 심어주기 위한 방안이기도 하다. 

F5 네트웍스는 네트워크, 데이터센터 및 애플리케이션에 대한 인터넷 기반의 디도스 공격 방어 솔루션을 보완하기 위해, 지난 7월 클라우드 기반 보안 서비스를 제공하는 디펜스닷넷(Defense.Net)을 인수했다.

디펜스닷넷의 서비스는 진보된 대용량 네트워크 처리를 지원하고 있어, 정교한 대규모 디도스 공격으로부터 고객들을 보호할 수 있다. 또한, 복수의 프로토콜을 지원하며 방어 및 컨트롤을 위한 기능들을 제공하므로, 예견하지 못했던 종류의 위협들로부터 고객들을 안전하게 방어하는 동시에 애플리케이션 성능을 유지시켜준다.

F5 네트웍스는 이번 인수로 인터넷을 통한 애플리케이션 레이어, 네트워크 레이어 및 데이터센터에 대한 공격을 방어할 수 있는 보안솔루션 포트폴리오가 확장됐다고 설명했다. 

애플리케이션 딜리버리 컨트롤러(Application Delivery Controller, ADC) 기반 네트워크 전문 기업 오픈베이스도 보안 분야로 진출하며 사업 범위를 확장시켰다. 2011년 본격적으로 네트워크 보안 사업을 시작하면서 기업부설 연구소를 설립하고, 네트워크 보안 전문회사 시큐웨이브를 설립하는 등 그 행보를 빠르게 이어가고 있다.

특히 보안 부문은 웹 애플리케이션 방화벽(WAF)과 SSL-VPN, 그리고 APT 방어와 같은 네트워크 보안 제품들까지 진행한다. 

오픈베이스는 보안 솔루션을 제공하기 위해 여러 벤더사들과 비즈니스 연합을 체결하고 있으며, 최근 HP와도 네트워크 보안 파트너십을 체결해 HP 보안제품에 대한 총판을 맡는다. 침입방지시스템(IPS)인 티핑포인트와 최근 많은 이슈를 불러일으키고 있는 시큐어코딩 솔루션 포티파이, 보안의 전체적인 관제와 통합적인 프레임워크를 제공하는 아크사이트 등을 공급하게 되면서 상호 시너지 효과를 일으킨다는 계획이다.

향후 네트워크 보안 장비 시장, 고성능화와 통합이 관건 

네트워크 보안 업계는 국내 네트워크 보안 시장 역시 기존의 레거시 보안 장비에서 차세대 보안 장비로 급격히 이전할 것으로 예상하고 있다. 

실제로 네트워크 보안 업계는 장비들의 기능 연동을 통해 전문성을 강화하는데 주력하고 있다. 빅데이터 시대가 도래하면서 더욱 많은 네트워크 트래픽이 발생하는 만큼, 대용량 트래픽을 잘 지원하면서도 정확하게 악성코드를 탐지할 수 있는 성능이 향후 관건이 될 것으로 예상하고 있다. 

그러나 이에 대해 글로벌 보안 기업 담당자는 “차세대 보안 시장에서는 국내 업체들의 존재감이 미미하다”라며, “기존 레거시 방화벽까지는 국내 업체도 큰 어려움 없이 기술 개발을 할 수 있었지만, 보다 고도의 기술이 필요한 차세대 방화벽 분야에서는 아직 국내의 어느 방화벽 벤더도 제대로 된 차세대 방화벽을 출시하지 못하고 있다”라고 밝혔다. 이는 아직 국내 네트워크 보안 업계가 더욱 분발할 필요가 있음을 암시하는 대목으로 볼 수 있다.

또한, 방화벽, IPS, 안티바이러스, URL-필터링과 같은 단위 보안 솔루션들이 차세대 보안 플랫폼이라는 큰 틀 안에서 통합되어 시너지를 발생시키고, 구축 및 운영비용을 획기적으로 절감하는 형태로 보안이 이뤄지고 있다.

이를 통해 볼 때 차세대 보안 장비와 같이 소프트웨어적으로나 하드웨어적으로 여러 기능을 통합하면서도, 유연하고 무리 없이 활용할 수 있는 장비가 나오게 되면서 앞으로는 보안의 통합화가 급물살을 탈것으로 보인다.