‘차세대 방화벽’이 구시대의 유행처처럼 되자, 차세대 시장을 주도했던 기업들은 후발주자와의 차별성을 강조하기 위해 APT 플랫폼으로 포지셔닝하고 있으며, 내부보안 역량을 확대하고, SDN 이념을 적용해 클라우드·IoT에서도 보안 플랫폼으로 자리매김하고자 노력하고 있다. 벤더별로 새롭게 제안하는 차세대 보안 플랫폼 전략을 소개한다.<편집자>
토종 솔루션도 ATP 연동하며 ‘플랫폼’ 전략 동참
우리나라 네트워크 보안 시장은 토종 솔루션이 막강한 점유율을 자랑하고 있었지만, 숫자로 표기되는 장비 성능에만 집중하다 ‘차세대’로 전환되는 흐름을 따라가지 못하고 2~3년 만에 시장 주도권을 완전히 뺏겨버렸다.
토종 솔루션은 공공시장에서의 경쟁력을 맹신하고 있었으며, 차세대 기술이 빠르게 주류를 이루게 될 것이라고 예상하지 못하고 안일하게 대처한 부분이 있다. 무엇보다 토종 기업들이 몇 년간 경영의 어려움을 겪으면서 개발인력을 감축하고 기술개발에 제대로 투자를 못해 변화에 제대로 대응하지 못했던 것이 가장 심각한 이유로 꼽힌다.
그러나 시장을 주도해왔던 기업들도 차세대 기술 개발에 전력을 다하면서 글로벌 기술력을 부지런히 쫓아가고 있다. 애플리케이션·사용자 제어 기능을 업그레이드하고, 방화벽·IPS 등 여러 기능을 구동시켰을 때 성능저하를 줄이는 한편, 위협 인텔리전스를 구축하고 연동해 차세대 보안 플랫폼으로 성장시키고 있다.
안랩의 차세대 방화벽 ‘트러스가드(TrusGuard)’는 가트너 매직 쿼드런트 보고서 ‘엔터프라이즈 네트워크 방화벽’ 부문에 3년 연속 등재되는 등 시장조사기관을 통해서도 인정받은 시스템으로, ▲고도화된 애플리케이션 컨트롤 ▲사용자 ID 기반 정책 설정·관리 ▲데이터유출방지(DLP) ▲암호화된 트래픽 가시성 확보 등 차세대 방화벽 기능을 제공한다.
또한 시큐리티 인텔리전스를 기반으로 잠재적인 보안 위협이 될 수 있는 ‘악성코드 유포 URL에 대한 접속’이나 ‘APT 공격에 악용되는 C&C 서버와의 통신’, ‘알려지지 않은 실행 파일의 내부 유입’ 등을 실시간 업데이트 되는 데이터 베이스 기반으로 탐지/차단한다.
더불어 지능형 위협 대응 솔루션 ‘안랩 MDS’와 연동 시 내부로 유입되는 파일 중 알려지지 않은 파일과 악성 의심 URL에 대한 동적 분석이 가능해 보다 체계적인 위협 대응을 제공한다.
유명호 안랩 팀장은 “트러스가드가 가진 가장 중요한 경쟁력은 위협 인텔리전스”라고 설명했다. 안랩은 시큐리티 대응센터(ASEC)와 안랩 스마트 디펜스(ASD)에 축적된 DB, CERT, 안티멀웨어 엔진을 통해 수집한 위협정보를 종합위협분석시스템(ACCESS)에서 종합 분석해 악성코드 정보를 트러스가드에 내려 차단하도록 한다.
ASD는 10억개의 파일 평판정보와 유해URL 리스트, C&C 블랙리스트를 갖고 있는데, 안랩 V3를 포함해 모든 안랩 제품을 사용하는 고객들로부터 동의를 얻고 수집한 위협정보를 분석한 것으로, 국내 사용자를 노리는 공격을 빠르게 탐지하고 차단할 수 있다.
유명호 팀장은 “국내에서 발생하는 공격을 가장 빠르게 탐지·차단할 수 있다는 것은 매우 중요한 장점이다. 글로벌 벤더는 전 세계 공격위협을 다 분석하기 때문에 국내 사용자에게 실제 위협이 되는 것을 정확하게 알려주지 못한다”며 “또한 안랩 MDS는 트러스가드에서 수집한 정보를 분석할 수 있어 고객에 대한 타깃 공격을 정밀하게 탐지·차단할 수 있다”고 말했다.
네트워크·엔드포인트·써드파티 위협정보 공유
시큐아이도 위협 인텔리전스 ‘시큐아이 쓰렛 인텔리전스 센터(STIC)’와 차세대 방화벽 ‘MF2 AE’, 차세대 IPS ‘MFI’를 연동시키면서 차세대 보안 플랫폼 전략으로 전환했다. MF2와 MFI는 STIC에서 제공하는 정보를 받아 새롭게 유입되는 공격이 네트워크에 진입하기 전에 차단한다. STIC는 단말에서 수집한 의심샘플 정보를 다각도로 분석한 후 MF2와 MFI에 정책을 내려 차단하도록 한다.
STIC는 네트워크와 엔드포인트, 그리고 써드파티 위협정보를 분석해 위협의 우선순위에 따라 대응할 수 있도록 지원하는 서비스다. STIC는 클라우드 컴퓨팅 기술을 이용해 단말과 서버간 양방향 통신으로 새로운 위협에 실시간에 가깝게 대응한다.
MF2 AE는 효율적인 DPI(Deep Packet Inspection) 기술을 이용해 패킷 사이즈, 페이로드/메시지 길이, 패킷 내의 특정 문자열에 대한 패턴 매칭, 행위분석 등을 통해 애플리케이션을 인지하고 제어할 수 있다.
또한 사용자/그룹 ID 수집 엔진과 트래픽의 실소유자 식별을 위한 ID-IP 매핑 엔진으로 사용자 인지 기능을 제공하며, 인사DB·인증 시스템 등 기 구축된 사용자 DB와 연동해 수집할 수 있고, 사용자 DB의 변경을 방화벽 정책에 실시간으로 반영할 수 있다.
시큐아이는 클라우드·SDN 환경에서도 방화벽을 이용할 수 있는 ‘MF2 VE’도 출시했다. 이 제품은 VM웨어, 시트릭스, MS 하이퍼바이저를 지원하며, 가상서버 관문에 위치해 외부 유입 공격을 가상머신으로 보호한다. 멀티태넌시를 제공해 클라우드 효율성을 높이며, AWS, 애저, 오픈스택 등을 이용한 자체 구축도 가능하다.
