‘차세대 방화벽’이 구시대의 유행어처럼 되자, 차세대 시장을 주도했던 기업들은 후발주자와의 차별성을 강조하기 위해 APT 플랫폼으로 포지셔닝하고 있으며, 내부보안 역량을 확대하고, SDN 이념을 적용해 클라우드·IoT에서도 보안 플랫폼으로 자리매김하고자 노력하고 있다. 벤더별로 새롭게 제안하는 차세대 보안 플랫폼 전략을 소개한다.<편집자>
차세대 방화벽이 레거시 방화벽 시장까지 잠식하고 있다. 그동안 차세대 방화벽을 도입한 기업/기관들은 차세대 방화벽을 네트워크의 가장 앞단에 두고 애플리케이션 제어 기능을 적용해 애플리케이션 공격을 걸러낸 후 레거시 방화벽-IPS를 거치도록 하는 구성을 택했다.
차세대 방화벽 벤더들은 레거시 방화벽과 IPS를 대체할 수 있다고 주장했지만 과감하게 레거시 방화벽을 포기하는 기업/기관은 많지 않았다. 방화벽은 모든 트래픽을 처리하는 관문으로, 단순한 정책 설정 실수만으로도 비즈니스에 심각한 위협을 줄 수 있기 때문이다. 실제로 호주의 한 항공사는 4줄의 방화벽 정책을 수정했다가 하루동안 서비스 장애를 겪었으며, 미국의 한 통신사는 방화벽 매뉴을 한 줄을 잘못 수정해 4시간동안 티케팅 서비스가 전면 중단되는 사고를 겪었다.
기 구축된 방화벽을 바꾸는 것을 꺼리던 기업/기관들도 방화벽 교체시기가 다가오면 차세대 방화벽을 도입하게 됐다. 현재 시장에 공급되는 방화벽은 대부분 차세대 방화벽이기 때문에 레거시 방화벽을 찾는 것이 더 어려운 실정이다.
현재 차세대 방화벽의 수요가 가장 많은 산업군은 금융분야로, 차세대 시스템 사업에 차세대 방화벽이 대거 구축됐다. 제1금융권에 이어 제2·3 금융권, 인터넷 전문은행까지 금융업계 전반이 차세대 시스템으로 업그레이드 하고 있으며, 차세대 방화벽 시장은 1~2년 내에 정점을 찍을 것으로 보인다.
엔터프라이즈·교육 시장에서도 차세대 방화벽을 많이 찾고 있다. 특히 타깃 공격을 많이 받을수록 실제 공격 차단률을 기준으로 시스템을 도입하는 추세다. 공공분야에서는 방화벽, 차세대 방화벽, UTM을 찾는데, 요구하는 성능이나 기능은 거의 비슷한 상황이다. 어울림정보기술 방화벽의 마지막 교체 수요가 남아있어 토종 기업들이 적극적으로 영업을 진행하고 있다.
구시대 유행어로 인식되기 시작한 ‘차세대 보안’
초기 차세대 방화벽은 통합위협관리(UTM)과 같은 의미로 사용됐지만, 현재 UTM 솔루션도 일제히 ‘차세대 방화벽’으로 포지셔닝하고 있으며, SMB, MSP 등 일부 시장에서만 UTM을 찾는 추세다.
UTM과 레거시 방화벽의 자리를 차세대 방화벽이 차지하게 되면서, ‘차세대’의 의미가 점점 쇠퇴하고 있다. 현재 출시되는 거의 대부분의 방화벽이 애플리케이션 인지, 사용자 기반 제어 기능을 기본으로 갖추고 있어 변별력이 떨어지고 있다. ‘차세대’가 구세대의 유행처럼 여겨지면서 차세대 방화벽의 패러다임이 또 다시 변하고 있다.
현재 차세대 방화벽은 APT 방어 플랫폼으로 진화하고 있다. APT 방어 플랫폼, 글로벌 위협 인텔리전스와 연동해 새로운 위협정보를 받아 차세대 방화벽에서 차단하는 구조를 갖는 것이다. 팔로알토네트웍스의 ‘와일드파이어’, 포티넷의 ‘포티샌드박스’, 체크포인트 ‘쓰렛 에뮬레이션’, 시스코 ‘AMP’가 대표적인 예이다. 안랩도 APT 방어 솔루션 MDS와 차세대 방화벽 ‘트러스가드’와 연동해 공급하고 있으며, 시큐아이는 위협 인텔리전스 서비스 ‘시큐아이 쓰렛 인텔리전스 센터(STIC)’를 차세대 방화벽 ‘MF2 AE’와 차세대 IPS ‘MFI’와 연동해 공급한다.
유명호 안랩 제품기획팀장은 “현재 차세대 방화벽과 UTM, 레거시 방화벽을 구분하는 것은 이제 무의미하다. 이제는 지능화된 공격을 어떻게 차단하느냐의 싸움으로 발전하고 있다”며 “APT 방어 솔루션과 차세대 방화벽을 연계해 실제로 공격을 차단하는 효과를 기준으로 시장이 재정비 될 것”이라고 말했다.
차세대 방화벽 벤더가 말하는 APT 방어 플랫폼은 차세대 방화벽과 APT 악성코드 탐지 시스템, 엔드포인트 보안 시스템의 삼각축으로 이어지는 것이다. APT 악성코드 탐지 시스템에서 찾아낸 위협을 차세대 방화벽과 엔드포인트에서 차단하고, 엔드포인트는 의심파일을 APT 악성코드 탐지 시스템에 보내 분석해 새로운 공격을 찾아내는 순환구조로 이어진다.
이 과정을 통해 APT 공격 뿐만 아니라 랜섬웨어 공격도 막을 수 있다. 랜섬웨어 악성코드는 엔드포인트를 감염시킨 후 외부 C&C 서버와 통신한 후 페이로드를 받아 암호화 프로그램을 실행시킨다. 따라서 엔드포인트에 유입된 의심파일을 APT 방어 솔루션에서 차단하고, 네트워크에서 외부와의 수상한 통신을 시도하는 행위를 찾아 악성코드 탐지 시스템에서 분석하고, 다시 방화벽과 엔드포인트에서 차단한다.
김기환 포티넷코리아 부장은 “차세대 방화벽은 샌드박스, 엔드포인트 탐지·차단 시스템과 함께 APT 방어 프레임워크에 포함되고 있다. 단일 벤더에서 이 모든 기술을 다 제공하기도 하며, API 연동을 통해 써드파티까지 단일 프레임워크처럼 구현 할 수도 있다. 중요한 것은 모든 기능과 제품이 유기적으로 연동돼 지능적으로 진행되는 공격을 막을 수 있어야 한다는 점”이라고 말했다.
