알려진 혹은 알려지지 않은 침입이나 시스템의 악의적인 영향을 줄 수 있는 모든 조건을 실시간으로 자동 방어할 수 있는 능동형 보안 솔루션이 필요한 이유는 바로 여기에 있다. 현재 전 세계 보안 시장은 IPS와 같은 능동형 보안 솔루션으로 무게중심이 옮겨가고 있으며, 동시에 다양한 보안 기능을 한 번에 구현할 수 있는 통합형 보안 솔루션이 성장을 이끌어가고 있다. 이에 본지에서는 9월과 10월 2개월에 걸쳐 새로운 보안 패러다임을 진단하고자 한다.
Part 1. 침입방지시스템(IPS)
“IPS로의 전환은 거부할 수 없는 대세다”
신규 진출·신제품 출시 ‘봇물’ … 시장 주도권 경쟁 갈수록 심화
최근 자주 회자되고 있는 침입방지시스템(IPS)은 주지하다시피 침입탐지시스템(IDS)의 맹점을 극복하자는 취지에서 출발했다. 전산 관리자들은 탐지와 동시에 실시간 대응이 가능하고, 알려지지 않은 공격에 대해서도 방어가 가능하며, 관리비용까지 획기적으로 줄일 수 있는 제품을 계속해서 요구해왔다. 현재 보안시장의 ‘뜨거운 감자’로 거론되는 IPS는 이와 같은 요구에 대한 회답인 셈이다.
아직까지도 네트워크 침입방지시스템(NIPS)의 정의에 대해서는 의견이 분분하다. 일부에서는 공격 또는 유해한 활동에 대한 시그니처를 찾아내 자동으로 중단시키기만 하면 모두 NIPS에 해당된다고 주장한다. 이 말 대로라면 방화벽과 IDS를 연동시켜 놓은 통합 어플라이언스도 NIPS가 될 수 있고, 다양한 모듈을 기반으로 멀티레이어 보안을 제공하는 스위치도 카테고리에 포함된다. 심지어는 IDS와 ESM(전사적 보안 관리)을 묶어 놓은 패키지를 NIPS라고 주장하는 업체까지 있다. 이 때문인지 현재 NIPS라는 용어를 사용하는 업체만 해도 전 세계에 걸쳐 400여개가 넘는다고 한다.
IPS는 IDS와 다르다
그렇다면 진정한 NIPS란 무엇인가? IPS는 시장에서의 포지셔닝이 아직까지 정확하지 않을 뿐 아니라, 학술적으로도 하나의 제품이라기보다 새로운 개념으로 정의되고 있어 ‘진정한 IPS’에 대한 논란은 여전하다. 실제로 일부 고객은 IPS가 네트워크 환경 적용시 발생할 수 있는 위험에 대해서는 고려하지 않고 IPS를 맹신하고 있어 IPS 시장은 물론, 방화벽, IDS 시장에도 부정적인 영향을 끼치고 있다.
따라서 진정한 NIPS의 개념에 접근하기 위해서는 우선 NIPS와 네트워크 침입탐지시스템(NIDS)과의 차이부터 짚고 넘어가야 한다. NIPS가 NIDS의 기술력에 일정 부분 빚을 지고 있는 것은 사실이다. 그러나 두 솔루션은 그 목적에 있어 명확한 차이가 있다.
스니퍼(Sniffer)를 기반으로 개발된 NIDS가 보다 많은 공격을 보다 정확하게 탐지해내는 것이 목적이라면, NIPS는 공격의 탐지뿐만 아니라 공격의 수행을 근본적으로 방어하자는 데 그 목적이 있다. 이 차이점은 도입하는 고객에 따라 근소할 수도 있고, 커다란 차이로 발전할 수도 있다.
시장조사 전문업체인 가트너에서 밝힌 NIPS의 정의를 보면 보다 이해가 쉽다. 가트너에 따르면 NIPS는 방지 능력과 빠른 반응 속도(high-speed)를 위해 네트워크 상(inline)에 위치한 제품이어야 하며, 세션 기반 탐지(session aware inspection)를 지원해야 한다. 이는 곧 NIPS라면 다중 기가비트의 처리 능력과 패킷 및 세션을 동시에 처리해야 한다는 것을 의미한다.
다양한 종류의 방지 방법 및 방식(시그니처, 프로토콜 어노멀리, 행동)을 통해 악의적인 세션(malicious sessions)을 차단(drop)하는 것도 필수 항목에 포함된다. 예를 들어 악의적, 기형, 순서오류, 좀비 가능성이 있는 프로토콜 및 패킷 차단은 물론, 트래픽 패턴 변경이나 서비스 거부 공격과 같이 정상 사용을 벗어난 트래픽에 대해서도 차단할 수 있는 능력이 있어야 한다. 이 가운데 한 가지 항목이라도 만족시키지 못한다면 NIPS에 포함될 수 없다는 것이 가트너의 입장이다.
가트너의 주장대로라면 NIPS는 NIDS가 처리하지 못하는 영역을 대부분 해결할 수 있다. 자동적으로 한계 영역을 조절하는 실시간 적응형 알고리즘으로 오탐지와 미탐지 패킷을 최소화할 수 있으며, 수상한 활동이 이뤄지는 순간 자동으로 모종의 조치를 취해 공격을 중단시킬 수도 있다. 결국 NIPS는 NIDS를 기반으로 출발했지만, 핵심 기술인 실시간 패킷 처리 속도, 오탐지를 최소화하는 기술 및 변형 공격과 오용공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술을 기반으로 한다는 점에서 상당한 차이가 있는 셈이다.
따라서 방화벽과 NIDS를 적절히 조합해 만든 제품을 NIPS의 한 부류로 보는 것은 옳지 않다. 자체의 알고리즘을 갖고 네트워크상 패킷의 다양한 형태의 공격을 필터링하는 방식을 사용하는 제품이야말로 진정한 NIPS다. 즉, 네트워크 침입방지 기술의 핵심은 실시간 패킷 처리 속도, 오탐지를 최소화하는 기술, 변형 공격과 오용 공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술이 중요한 셈이다.
강자는 없어도 선두는 있다
IPS로의 자연스러운 이동은 이미 거부할 수 없는 대세다. 이것을 증명하는 징후는 주위에서 쉽게 찾아볼 수 있다. 우선 올해 들어 새롭게 시장에 진출한 업체들이 크게 늘었다. 이들 대부분은 신설(startup) 기업이 아닌 기존 보안 업체들이며, 새로운 비즈니스로 IPS 시장을 주목하고 있다.
또 다른 징후는 IPS 기능을 일부 탑재한 제품이 속속 등장하고 있다는 사실이다. 최근 IPS 기능을 지원하는 방화벽이 연이어 출시되는가 하면, 방화벽·VPN·안티 바이러스·IDS/IPS 통합형 보안 솔루션도 등장했다. 향후 거의 모든 솔루션이 실시간 침입방지 기능을 기본적으로 탑재할 것이라는 예측이 결코 지나치지만은 않은 셈이다.
현재 국내 NIPS 시장엔 절대 강자라고 할 만한 업체가 없다. 이카디아, 탑레이어네트웍스, 엔터라시스네트웍스, 넷스크린테크놀로지스가 비교적 일찍 사업을 시작하기는 했지만, 위협적인 존재로 보기는 어렵다. 때문에 오히려 최근 신제품을 출시했거나, 새롭게 국내 시장에 진출한 업체들의 행보에 더 관심이 몰리고 있다. 각종 전시회에서 기술력을 검증 받은 인트루버트네트웍스(네트워크어쏘시에이츠에 인수)와 티핑포인트테크놀로지스, IDS 시장의 강자 ISS, 최근 신제품을 선보인 윈스테크넷, 시큐아이닷컴, 정보보호기술 등이 대표적이다. 다만 이카디아, 탑레이어, 엔터라시스, 넷스크린은 일찍 출발한 만큼 이미 시장에서 검증받았다는 점에서 일정 부분 시장을 리드하고 있는 것만은 사실이다.
불모지나 다름없던 국내 IPS 시장을 개척한 장본인이라고 해도 과언이 아닌 이카디아는 신규 진입 업체가 늘면 늘수록 자사에게 유리하다고 주장한다. 시장이 커지면 고객들의 인식도 높아질 것이고, 고객들의 인식이 높아지면 프로젝트가 그만큼 증가할 것으로 결국에는 시장에서 검증 받은 제품을 고객들이 선택할 것이라는 판단에서다.
실제로 이카디아의 기가비트급 NIPS ‘이지스(EZiS)’는 농림수산부 정보센터인 아피스(AFFIS)를 비롯해 국내 대학, 기업 등 다양한 산업에 골고루 레퍼런스를 확보, 초기 시장에서 가장 주목받고 있다. 일부 사이트에서 1년 이상 실질적인 침해에 대처하는 등 성능도 이미 검증 받은 상태다. 일례로 직원 1천500명을 둔 A사의 경우 NIDS의 과다한 로그로 인한 분석 시간(최대 2일) 소요로 장애 요인을 즉각 해결하지 못하다가, 외부망, DMZ, 사용자 백본 스위치 앞단에 ‘이지스’를 설치한 후 이와 같은 문제를 말끔히 해소한 것으로 드러났다.
이카디아는 현재 2Gbps 이상의 네트워크 망을 위한 ‘이지스 Ⅱ’, 10Gbps 망을 위한 ‘이지스 Ⅲ’개발에 박차를 가하는 한편, ASIC 기반 제품으로의 전환도 모색중이다. 이와 더불어 올해 역시 데모 등을 통해 도입의 필요성을 강조하는 한편, 탄력적인 가격정책을 통해 레퍼런스 확대에 주력할 방침이다.
국산은 이카디아, 외산은 탑레이어
지난해 하반기 NIPS 신제품을 출시한 탑레이어코리아, 엔터라시스코리아, 넷스크린코리아는 올해를 실질적인 시작점으로 간주, 초기 시장부터 확실히 다잡겠다는 전략이다. 지난해 10월 NIPS ‘어택 미티게이터 IPS’를 선보인 탑레이어코리아의 경우 이 전략이 충분히 맞아떨어지는 양상이다. 탑레이어코리아는 LG투자증권, 서울은행, 매일경제, 배화여자대학교, 고대병설보건대, 계원대학교, SK텔레콤, 삼성네트웍스 등 올 상반기에만 무려 20여개의 신규 레퍼런스를 확보하는 괴력을 발휘하며, 기대 이상의 실적을 기록했다.
이처럼 탑레이어코리아가 시장에 안착할 수 있었던 가장 큰 이유는 무엇보다 성능에서 앞서 있기 때문이다. ASIC 기반 아키텍처로 설계된 ‘어택 미티게이터 IPS’는 빠른 처리 속도는 물론, 단 한 차례 공격이라도 막을 정도의 강력한 침입 방지 기능을 구현한다. 게다가 바이패스(bypass) 포트를 별도로 두고 있어 네트워크가 다운될 염려도 없다.
이를 입증이라도 하듯 서울은행을 비롯해 현재 국내 시중 은행 4개사가 ‘어택 미티게이터 IPS’를 신규 공격 방어용으로 사용중이다. 일반적으로 시중 은행의 경우 강력한 보안시스템을 구축하고 있어 실제 웜 공격이 많지 않은 만큼, 이들은 내부망과 인터넷 뱅킹망 앞 단에 이 제품을 설치해 신규로 발생할 수 있는 공격을 사전에 예방하고 있다.
현재 탑레이어코리아는 그 동안 자사 제품이 세션 베이스의 장비라 높은 세션(동시 100만명 이상)을 요구하는 네트워크에는 구성하기가 용이하지 않다는 점을 감안해, 대형 장비 출시를 준비중이다. 동시에 기존 방화벽이나 콘텐츠 필터링 기능, 스팸메일 방지, 대역폭 자원 남용 방지 기능을 새롭게 추가하는 한편, 향후 모든 네트워크의 이중화 추세에 대응하기 위해 비대칭 구조에 적합하도록 설계하는 치밀함을 보였다. 탑레이어코리아는 이 제품이 타 업체들이 갖고 있는 기능적 장점들을 종합하고, 성능을 획기적으로 향상시킨 가용성 높은 IPS가 될 것이라고 설명한다.
