[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

규제준수 아니라 실제 위협 방어 위한 웹방화벽

웹페이지 변조나 웹서버 공격을 통한 정보 탈취도 꾸준히 발생하는 위협이다. 이셋 조사에서는 웹페이지 변조로 사이트 방문자를 감염시키는 공격이 크게 늘어난 것으로 나타났다. 2019년 11월 한 달간 발견된 악성코드의 10%가 웹사이트 방문객을 악성 소프트웨어가 호스팅되는 특정 URL로 브라우저를 리다이렉션하는 것이었다. 또한 광고 사이트로 리다이렉션하는 공격은 다양한 변종 멀웨어로 등장하면서 사용자를 괴롭히고 있다.

웹 타깃 공격은 웹방화벽으로 일차 방어해야 한다. 그 동안 웹방화벽은 공공기관이 컴플라이언스 때문에 도입하는 솔루션으로 인식됐으며 운영이 까다로워 웹서버에 설치만 하고 위협 탐지나 차단 기능을 활성화하지 않는 경우가 많았다.

그러나 웹을 타깃으로 하는 위협이 점차 늘어나고 비즈니스를 위협하게 되면서 실제 웹 위협에 대응할 수 있는 성능과 기능을 갖춘 웹방화벽을 도입하는 시도가 늘고 있다. 특히 엔터프라이즈에서는 규제준수 때문이 아니라 위협 방어 차원에서 웹방화벽을 도입하고 있다.

국내 웹방화벽 시장은 펜타시큐리티, 파이오링크, 모니터랩이 경쟁구도를 이어오고 있었으나 지능형 웹 위협 대응 요구가 높아지면서 F5, 라드웨어, 아카마이 등 외산 솔루션을 도입하는 수요도 크게 늘고 있다.

모니터랩은 최근 국내 경쟁사의 영향력이 약해지고 있다는 점을 강조하며 자사 솔루션이 조달 판매 1위를 기록했고, 대형 사이트에서도 선전하고 있어 명실공히 업계 1위 자리에 등극하게 됐다고 주장한다. 2019년 AWS, MS 애저 등 클라우드 이용 고객 500여개에 VM기반 웹방화벽을 구축했으며, 대형 음원 스트리밍 서비스, 30여개 가상화폐 거래소에 솔루션을 납품하는 등 상당한 성과를 거뒀다.

클라우드 지원하는 웹 보안 솔루션

라드웨어는 디도스 원천기술을 가진 보안기업이라는 점을 상기시키며 국내 보안 시장을 적극 리딩하고 있다. 라드웨어는 디도스 보안, 웹방화벽, 봇매니저, 클라우드 워크로드 보호(CWP) 등의 보안 포트폴리오를 완성해나가면서 시장을 개척한다.

라드웨어 웹방화벽은 2019년 쿠버네티스와 서버리스 환경을 지원하는 기능을 추가하면서 한 차원 업그레이드 됐다. 데브섹옵스 프로세스를 단순화하면서 쿠버네티스 환경에서 데이터와 애플리케이션을 보호한다. 라드웨어 웹방화벽은 포지티브 보안 모델을 채용해 강화된 보안을 제공할 수 있으며 머신러닝으로 동적인 보호를 제공한다. IP 독립적인 핑거프린팅 차단 기술로 지능형 봇을 탐지한다.

라드웨어 보안 솔루션은 구축형 혹은 클라우드형 선택할 수 있으며, 클라우드형 보안 솔루션은 디도스 방어, 웹방화벽, 봇매니저, CWP, 멀웨어 프로텍션 서비스를 이용할 수 있다. 분당에 디도스 스크러빙 센터를 운영해 최대 5Tbps 용량의 공격까지 흡수할 수 있다. 행동분석 기술, 하이브리드 머신러닝 기술을 적용해 지능적인 위협에도 능동적으로 대응할 수 있으며, 이 기술력을 인정받아 시스코와 체크포인트에 디도스 방어 등의 기술을 제공하고 있다.

아카마이는 클라우드 인프라를 통해 보안 서비스를 제공하는데 탁월하다. 아카마이는 클라우드 기반 인텔리전스 엣지 플랫폼을 통해 웹방화벽, 디도스 방어, 지능형 봇 차단 유해사이트 차단, 보안DNS 등의 솔루션을 제공한다. 제로 트러스트 보안 모델에 입각해 모든 접근을 의심하고 분석하며, 클라우드 엣지에서 위협을 탐지하고 제어해 공격이 확장되지 않고 제거될 수 있어 고객 사이를 근본적으로 안전하게 보호한다.

2019년 11월 발표한 최신 업데이트에서는 불법 복제소스를 차단하는 콘텐츠 보안 기능을 강화했으며, 악성 봇 차단 솔루션에 봇 인텔리전스와 디바이스 포스처 기능을 추가해 봇의 행동과 특징을 파악하고 제어한다.

암호화 트래픽 악용 공격 차단 ‘시급’

웹 트래픽은 대부분 암호화된다. 조사기관마다 다르지만 80% 이상 웹 트래픽이 암호화 돼 있으며, 대부분의 트래픽은 복호화해 분석하지 않는다. 암호화 트래픽에 악성코드가 있거나 중요정보를 암호화 해 유출한다 해도 보안 솔루션은 걸러내지 못한다.

암호화 트래픽을 분석하는 보안 솔루션도 있지만, 고성능 장비로 업그레이드 해야 해서 비용이 많이 든다. 또한 모든 보안 장비마다 암호화 트래픽을 복호화 해 분석하고 다시 암호화하는 과정을 반복하면 리소스 낭비가 심해진다.

네트워크 게이트에서 암호화 트래픽을 복호화 한 후 네트워크·보안 장비로 보내 분석하도록 한 후, 분석 완료된 안전한 트래픽만 유입시키는 SSL 가시성(SSL VA) 솔루션이 이 문제를 해결할 수 있다. SSL VA은 암호화 트래픽을 복호화하는 단순한 기능을 제공하는 것 같지만, 실제로는 다양한 인증서를 처리해야 하고, 복잡한 예외처리, 국내 보안 솔루션 연동 등의 현실적 문제도 해결해야 한다.

일부 국내 보안 솔루션은 자사의 독특한 패킷 포맷만으로 분석하기 때문에 SSL VA 솔루션이 복호화 한 트래픽을 인지하지 못한다. 그래서 SSL VA 솔루션이 복호화된 트래픽의 포맷을 해당 장비에 맞게 변경해 줄 것을 요구하지만 외산 솔루션은 암·복호화 트래픽의 무결성을 유지하기 위해 트래픽 변경 요구는 수용하지 않는다. 트래픽 변경 과정을 악용한 공격이 발생할 수도 있기 때문이다.

토종 SSL VA 솔루션은 이러한 문제를 해결할 수 있는 솔루션으로 인정받으면서 공급 사례를 확대하고 있다. 모니터랩 SSL VA는 특허받은 프록시 기술을 이용해 성능 저하 없이 복호화하며, 보안 장비 지원에 제약이 없다. 2019년 100G 이상 규모 전국 교육망에 솔루션을 구축하는 성과를 거뒀다.

수산INT는 SSL VA 솔루션에 보안 기능을 추가하면서 발전시켰다. 보안 장비가 탐지한 이벤트를 수집해 전달하는 역할까지 제공해 위협 탐지·대응 효과를 한층 강화시켰다. 수산INT는 이를 보안 웹게이트웨이(SWG)까지 연동할 수 있다는 점을 강조한다. SWG는 자체적으로 복호화 기술을 탑재하고 있으며, 복호화 기능이 없거나 사용하기에 불편한 장비는 SSL VA로 복호화 해 전달한다고 강조한다. 이 장점에 힘입어 국내 공공·엔터프라이즈 다수에 제품을 공급했다.

격변하는 SSL VA·SWG 시장

SWG는 사용자가 웹사이트에 접속할 때 해당 웹사이트에 위험한 요소가 있는지 확인하는 보안 플랫폼으로, 시만텍이 인수한 블루코트의 ‘프록시SG’가 넘볼 수 없는 1위의 자리를 지키고 있었다. 시만텍은 자사 포트폴리오를 클라우드에 최적화할 수 있도록 SWG 아키텍처를 바꾸고 있었는데, 브로드컴에 인수되며 향후 사업이 불투명해졌다.

시만텍의 아성이 흔들리는 가운데 후발주자들이 이 시장을 공략하기 위해 적극 나서고 있다. 토종 기업 중 에서는 수산INT, 모니터랩, 소만사가 기존 고객들을 공략하면서 영업을 전개한다.

모니터랩은 프록시 기술을 이용해 오래 전부터 SWG를 공급해 온 전력을 강조한다. 다양한 산업군에 SWG를 공급해왔으며, 최근에는 클라우드 보안 플랫폼을 통해 SWG를 공급하면서 멀티 클라우드 환경에서도 안전하게 솔루션을 운영할 수 있다고 강조한다. 모니터랩은 2020년 차세대 방화벽을 출시하고 보안 경계를 웹에서 네트워크까지 확장할 계획이다.

소만사는 유해사이트 차단 솔루션 ‘웹키퍼’에 SWG 기능을 강화시켰으며, 프록시 장비와 연동해 SSL VA 기능까지 제공한다. 개인정보 보호 기능도 탑재해 웹을 통한 개인정보와 기밀정보 유출을 차단한다.

아카마이의 ‘엔터프라이즈 디펜더(AED)’도 유해사이트 차단 기능을 제공한다. 특정 애플리케이션에 대한 정교한 접속 제어와 선제적인 위협 보안을 제공하며, 멀웨어 및 피싱 차단 기술을 제공한다. 클라우드를 기반으로 통제해 전 세계의 지능적인 웹 공격을 차단할 수 있다.