최근 보안 제품의 통합화 바람이 가속화되고 있다. 보안 업계는 기존 방화벽-VPN 통합에 이어 IDS(Intrusion Detection System), 안티바이러스, VA(Vulnerability Assessment) 등을 통합한 제품을 잇따라 발표하고 있다. 통합의 형태는 여러 가지가 있으며, 점점 더 많은 기능을 통합하려는 시도가 엿보인다. 이와 함께 기술력을 가진 보안 업체를 인수하여 통합의 대세에 참여하고 있는 보안 업체들도 있다.
국내의 경우 시큐어소프트에서 방화벽-IDS-VPN을 통합한 제품을 선보였고, 안철수연구소도 해킹차단, 암호화, 접근 제어 등 다양한 보안 기능을 제공하는 통합 보안 솔루션을 최근 출시했다. 해외에서도 인트루버트(IntruVert), 시만텍(Symantec), 티핑포인트(TippingPoint), 아이폴리시(iPolicy) 등이 이미 통합 제품을 선보였으며, 넷스크린(NetScreen)은 IDP(intrusion Detection and Prevention-침입방지) 개발 업체 원시큐어(OneSecure)의 인수를 통해 이에 가세했다.
이러한 움직임은 그 동안 비용 부담 때문에 보안 제품에 대한 투자를 망설이고 있던 기업들에게 비용 대비 효과의 측면에서 좋은 기회를 제공하게 될 것이다.
하드웨어 기반 통합이 대세
특히, 기업 네트워크를 위한 통합 보안 제품은 대부분 하드웨어 장비를 기반으로 한다는 점에서 흥미롭다. 하드웨어 보안 제품은 성능과 관리에 집중되는 고객의 요구에 부합하기 위한 당연한 흐름이다. 하드웨어 장비는 쉽게 설치, 설정이 가능하고, 편리하게 관리할 수 있기 때문에 이러한 고객의 요구를 잘 충족시켜 준다. 이렇게 통합된 보안 제품은 다양한 기능을 수행하면서도 높은 성능을 제공할 수 있다.
기가비트 환경에서 넷스크린 방화벽의 성공이 다른 보안 업체들에게 모멘텀으로 작용하면서, 방화벽뿐만 아니라 IDS에 이어, 통합 보안 제품들이 보안을 위해 특화된 하드웨어 장비로 출시되는 경향이다. 이러한 보안 업체의 추세와 맞물려 다양한 애플리케이션을 수행시킬 수 있도록 특별히 설계된 고성능의 하드웨어 플랫폼을 개발해 보안 업체에 제공하는 기업도 늘어나고 있다.
IDP가 논리적 추세
최근 통합화가 거세게 일고 있는 이유 중의 하나로 고객의 능동형 보안 제품의 요구를 들 수 있다. 기존의 방화벽은 이미 많은 기업에 설치되어 사용되고 있지만, 완전하지 못하다는 것은 누구나 다 인정하는 사실이다. 또한 기존의 IDS는 엄청난 양의 폴스 포지티브(false positives)를 발생시켜 보안 관리자를 당혹스럽게 하고 있다. 따라서, IDP가 보안 업계에서 한창 뜨거운 이슈로 부각되고 있는 것은 확실하다.
IDP는 논리적으로 방화벽, IDS, 안티바이러스, VA를 통합함으로써 가능하다. 물론 단순한 기능적인 통합이 아니라, 각각의 기능이 상호 커뮤니케이션을 통해 상호 보완을 하여야만 한다. 예를 들어, 아파치(Apache) 웹서버가 설치되어 있지 않은 네트워크에서는 탐지 모듈에 마이크로소프트의 IIS에 대한 공격과 관련한 시그니처를 등록하지 않아야 할 것이다. 그렇지 않으면, IIS 관련 공격이 발생했다고 잘못 탐지할 수도 있다. 또한 취약성과 관련하여 패치를 한 경우, 그러한 정보가 시스템에 바로 반영이 되어야만 할 것이다.
통합을 통한 하드웨어 기반의 IDP
IDP의 정의를 놓고 아직까지 업체들간에 논란은 있지만, IDP의 논리적인 측면만을 고려해 볼 때, 가장 중요하면서도 당연히 갖추어야 할 기술적 요구사항으로 다음의 세 가지를 들 수 있다.
· 인라인(in-line) 모드 작동
방화벽과 같이 게이트웨이에 위치하면서 탐지된 공격에 대해 실시간 차단하는 기능이 자동화되어 있어야 한다. 이것은 네트워크 트래픽을 수동적으로 모니터링하면서 탐지된 결과를 통보(alert)하던 전통적인 IDS와는 전혀 다른 접근이다. 따라서, 방화벽처럼 패킷을 차단할 것인지 말 것인지에 대한 결정을 세션의 중간 통로에서 수행하게 되므로 만약 공격이 발생되더라도 완벽히 그 공격을 차단할 수 있게 된다.
물론, 위에서 언급한 게이트웨이가 물리적인 게이트웨이를 의미하는 것은 아니다. 어디까지나 탐지 메커니즘이 세션의 중간 통로에 위치해야 한다는 것이다. 웨일커뮤니케이션(Whale Communication)의 이갭(e-Gap)처럼 기존 방화벽과는 다른 위치에 존재하면서도 모든 패킷이 이갭 솔루션을 통과하도록 할 수도 있다.
· 탐지의 정확성
오늘날 공격의 형태는 점점 더 복잡하고 지능적으로 변화되고 있다. 또한 시스템의 취약성 및 이를 이용한 공격이 매일 새롭게 발견되고 있다. IDP는 이러한 새롭고 복잡한 공격에 대해 신뢰할 만큼 정확하게 탐지할 수 있어야 한다. 탐지된 공격에 대해 관리자의 개입이 없이도 자동으로 차단하기 때문에, 기업의 비즈니스 프로세스에 영향을 주지 않기 위해서는 특히, 오탐지가 거의 없어야 한다. 즉, 기존 IDS가 가진 폴스 포지티브를 최소화하여야 한다.
이를 위해서는 기존의 IDS처럼 전통적인 시그니처 기반의 탐지 방법에, 추가로 앞선 기술의 다양한 탐지 방법의 지원이 있어야 할 것이다. 예를 들면, 원시큐어는 이를 위해 스테이트풀 시그니처(stateful signatures), 프로토콜 어노멀리(protocol anomaly), 트래픽 어노멀리(traffic anomaly) 기법을 사용하고 있다. 또한 기업의 환경에 맞는 탐지 정책과 정확한 공격에 대한 판단을 위해서는 VA의 기능 등과의 통합이 잘 되었을 때 가능할 것이다.
· 기가비트 수준의 빠른 속도
비단 IDP가 아니더라도 속도는 매우 중요하다. 이는 방화벽과 같이 인라인 모드에서 작동되므로 모든 네트워크 트래픽이 이 장비를 통과하게 된다. 따라서, 라인 속도만큼 충분히 빠르게 처리하지 못한다면, 패킷을 드롭하거나 시스템이 병목 현상을 야기시켜 기업의 비즈니스에 막대한 손실을 가져올 수도 있다. 이를 해결하기 위해서 많은 제품들이 보안 기능을 위해 특별히 설계된 프로세서를 사용한 하드웨어 장비에 최적화된 형태로 제품을 출시하고 있다.
통합 보안 솔루션의 미래
현재 통합 보안 솔루션이 대세라고 판단한다. 앞으로도 좀 더 많은 기능이 통합된 다양한 형태의 통합 보안 솔루션이 등장할 것이다. 그 중에서도 탐지 및 방어에 적극적으로 대처가 가능한 솔루션이 각광을 받을 것이다. 이는 향후 보안 업계의 판도 변화에 영향을 줄 수 있는 만큼, 체크포인트(Check Point), 인터넷시큐리티시스템즈(ISS), 트렌드마이크로(Trend Micro)와 같은 각 분야 선두 기업들도 이러한 대세에 머지않아 합류할 것이라고 본다. 
