보안 솔루션의 통합 움직임은 더욱 가속화되고 있다. 더 이상 단품 보안 솔루션만으로는 ‘철통 보안’이 어렵다는 판단 하에 기존 방화벽/VPN 통합에 이어 침입탐지시스템, 안티 바이러스, 취약점 분석 등을 통합한 제품이 잇따라 등장하는 추세다.
이처럼 통합화가 거세게 일고 있는 이유 중의 하나로 고객의 능동형 보안 제품의 요구를 들 수 있다. 기존의 방화벽은 이미 많은 기업에 설치되어 사용되고 있지만, 그것만으로는 완전한 보안 체제를 구축했다고 할 수 없다. 또한 기존의 침입탐지시스템은 엄청난 양의 오탐지(false positives)를 발생시켜 보안 관리자를 당혹스럽게 하고 있다.
하지만 이러한 단품 보안 솔루션이 하나의 장비로 통합된다면 이야기는 달라진다. 최근 보안 업계에서 한창 뜨거운 이슈로 부각되는 침입방지시스템은 논리적으로 방화벽, 침입탐지시스템, 안티 바이러스, 취약점 분석 툴을 통합함으로써 구현이 가능하다. 물론 단순한 기능적인 통합이 아니라, 각각의 기능이 상호 커뮤니케이션을 통해 상호 보완을 해야만 한다.
예를 들어 아파치(Apache) 웹 서버가 설치되어 있지 않은 네트워크에서는 탐지 모듈에 마이크로소프트의 IIS에 대한 공격과 관련한 시그니처를 등록하지 않아야 할 것이다. 만약 그렇지 않으면 IIS 관련 공격이 발생했다고 잘못 탐지할 수도 있기 때문이다. 또한 취약성과 관련한 패치를 한 경우에는 그러한 정보가 시스템에 바로 반영되어야만 한다.
이에 따라 최근 국내 통합 보안 솔루션 업체들은 자사 제품을 도입함으로써 침입방지시스템 구성과 동일한 효과를 낼 수 있다고 주장한다. 이들의 전략이 들어맞아서일까? 주요 네트워크 기반 침입방지시스템 업체들은 시장에서 침입탐지시스템 업체보다는 통합 보안 솔루션 업체들과 부딪히는 경우가 많다고 한다.
라드웨어·시큐어소프트, “통합 제품으로 IPS를 …”
현재 논리적으로 침입방지시스템과 근접한 통합 보안 솔루션을 보유하고 있는 업체는 라드웨어, 시큐어소프트, 시만텍, 포티넷, 스피어헤드 정도를 들 수 있다. 이 가운데 라드웨어는 L4 스위치 시장의 우위를 바탕으로, 시큐어소프트는 국산 제품인 덕분에 탄력적인 가격정책을 앞세워 시장을 선도하고 있다.
라드웨어의 ‘파이어프루프 보안 애플리케이션 스위치’는 기본적으로 방화벽 로드밸런싱, 가상사설망(VPN), 침입탐지시스템(IDS), 서비스 거부(DoS) 방어, 450여종의 바이러스 공격방어의 5가지 기능을 제공한다. 이 제품은 ‘신앱스(SynApps)’라는 코드를 기반으로 여러 개의 서버 모듈이 있는데, 애플리케이션 시큐리티 모듈과 DoS 쉴드 모듈이 침입방지시스템 기능을 제공한다.
특히 라드웨어의 ‘파이어프루프 보안 애플리케이션 스위치’의 최대 장점은 스위치 제품이라는 점에서 하이 쓰루풋(throughput) 환경을 지원한다는 점이다. DoS 쉴드 모듈은 ‘샘플링(sampling)’ 기법을 통해 마이너(minor)한 공격에 대해 그대로 데이터를 통과시킴으로써 성능 최적화를 구현한다. 물론 실질적인 공격이 발생하면 그 순간부터는 내부 리소스와 서비스 방어를 인에이블(enable)하기 때문에 보안성이 크게 약화되는 것은 아니다.
오탐지율에 있어서도 이 제품은 높은 성능을 발휘한다. L3/L7, 즉 포트 레벨에서 애플리케이션 레벨까지의 탐지가 가능해 URL이나 e메일 주소만으로도 차단이 가능하며, 이는 곧 오탐지율 감소로 이어진다.
이 제품이 비록 침입방지시스템의 기능에 근접한 보안성을 제공하기는 하지만, 라드웨어코리아는 침입방지시스템 제품과 경쟁할 계획은 없다. 라드웨어는 이 제품이 메이저(major)한 공격을 책임지고 침입탐지시스템이 후선을 책임지는 식의 구성이 적합하다고 설명한다. 이러한 구성이라면 침입탐지시스템의 부하도 충분히 절감시킬 수 있으며, 상호 연동으로 인한 즉각적인 차단도 가능하다는 판단에서다.
라드웨어코리아는 최근 디스트리뷰터 망을 전국으로 확산중이다. 이와 함께 한글 캐릭터, 즉 한글로 된 메일까지도 탐지할 수 있도록 로컬라이제이션(localization) 구현에도 적극 나서고 있다. 라드웨어코리아는 조만간 멀티 기가비트 이더넷을 지원하는 스위칭 제품이 출시되는 대로 국내 비즈니스 활성화에 발벗고 나선다는 계획이다.
시큐어소프트의 ‘앱솔루트 시리즈’는 방화벽, 침입탐지시스템, 가상사설망이 하나로 통합된 하드웨어 일체형 보안 솔루션이다. 이 제품은 비록 안티 바이러스나 취약점 분석 툴이 탑재되지는 않았지만, 단일 장비에서 방화벽, 침입탐지시스템, 가상사설망, 서버 부하 분산 기능 등 다양한 보안 기능을 구현함으로써 침입방지시스템에 버금가는 해킹 방지 기능을 제공한다.
이 제품은 한국통신인포텍, 한국산업기술평가원, 원주기독교병원, 성바오로병원, 메리츠증권, 연세대 등 다수의 고객 사이트를 확보하고 있으며, 일본의 히노시청, 닛산자동차, 캐논 등에 수출되는 등 해외에서도 상당히 좋은 성적을 기록중이다. 이에 따라 시큐어소프트는 국내 보안 업체 1위 자리는 물론, 해외 시장 공략 강화를 위해 앱솔루트 시리즈를 집중 육성할 방침이다.
시만텍·포티넷·스피어헤드, 시장 기회 ‘포석’
시만텍코리아가 지난해 9월 국내 시장에 선보인 ‘시만텍 게이트웨이 시큐리티’는 안티 바이러스, 방화벽, 침입탐지시스템, 콘텐츠 필터링, 가상사설망 기능이 통합된 제품이다. 리코스(기가비트+NIDS), 시큐리티포커스(취약점 대응 및 사전 보안 위협 경고), 마운틴웨이브(실시간 코릴레이션), 립텍(보안 관제 서비스) 인수를 계기로 선보인 이 제품은 상호 솔루션간 연동을 통해 강력한 침입 방지 기능을 제공한다.
시만텍코리아의 한 관계자는 “최근 보안 위협의 변천사를 살펴보면 통합 보안의 중요성은 더욱 부각된다”며 “단일 총판 체제를 바탕으로 통합 보안 시장의 맹주로 자리매김할 것”이라고 밝혔다.
지난해 말 국내 지사를 설립한 포티넷코리아의 ASIC 기반 네트워크 보호 게이트웨이(NPG) ‘포티게이트’도 바이러스 보호는 물론 방화벽, VPN, 침입탐지, 콘텐츠 필터링, 트래픽 공유 기능까지 지원한다. 아직까지는 웹 바이러스 방역용으로 사용하는 고객이 많지만, 침입 방지를 위한 목적으로 활용해도 충분히 제 기능을 모두 발휘한다. 포티넷코리아는 올해 포티리스판스 센터(FortiResponse Center)가 유럽과 아시아 지역에 설립될 예정이어서 대고객 서비스에 있어서도 한 단계 업그레이드가 가능할 것으로 내다보고 있다.
대표적인 네트워크 분리(Air Gap) 솔루션 전문업체인 스피어헤드도 지난해 말 자사의 네트워크 분리 스위치인 ‘넷갭’ 플랫폼에 애플리케이션 침입방지시스템을 통합한 통합 보안 솔루션 제품군을 출시했다. 이번에 새롭게 출시된 제품은 ‘넷갭 201’, ‘넷갭 4001’, ‘넷갭 4005-WAG’ 등 총 3가지로, 운영 체제와 TCP/IP는 넷갭의 분리 기술 아키텍처로 막고, 웹은 새로 추가된 애플리케이션 침입방지시스템으로 차단한다.
이 제품은 이미 지멘스에서 파일럿 프로젝트를 성공적으로 끝마친 상태다. 스피어헤드의 국내 총판을 맡고 있는 한매기술은 이 제품을 웹 침입, 메일방지, 네트워크 기반 침입방지시스템을 총체적으로 원하는 고객에게 우선적으로 소개할 방침이다.
투자비용 대비 효과 높아
이처럼 통합 보안 솔루션의 등장은 그 동안 비용 부담 때문에 보안 제품에 대한 투자를 망설이고 있던 기업들에게 비용 대비 효과의 측면에서 좋은 기회를 제공한다. 하지만 오직 침입탐지시스템이나 침입방지시스템 도입만을 고려하는 고객에게는 그다지 유용한 제품이라고 말할 수는 없다. 스피어헤드의 ‘넷갭’ 제품군을 제외하면 기존에 구축한 보안 솔루션과 많은 부분에서 중복될 수밖에 없기 때문이다.
하지만 분명 ‘통합’은 ‘능동’과 함께 보안 시장의 최대 화두임에는 틀림없다. 따라서 앞으로도 좀 더 많은 기능이 통합된 다양한 형태의 통합 보안 솔루션이 등장하겠지만, 그 중에서도 탐지 및 방어에 적극적으로 대처가 가능한 솔루션이 각광을 받을 전망이다. 전 세계 방화벽 시장의 최강자 체크포인트나 침입탐지시스템 시장의 맹주 ISS가 이와 같은 움직임에 여러 가지 형태로 참여하고 있는 것은 분명 주목할 필요가 있다. 
