중소기업용 올인원 박스, ‘성능·사용 편이성’ 대체로 만족
우리가 요청한 것은 상황적 방화벽 기능, 장비에서의 안티바이러스 스캐닝, 침입 탐지/방지, VPN, 그리고 콘텐츠 필터링 중 최소한 네 개의 기능을 수행하는 장비들이었다. 보다 큰 조직이라면 이런 기능들을 갖춘 별도의 보안 장비를 보유하는 게 효과가 있겠지만, 규모가 작은 조직에서는 단순함이 열쇠다. 사실 조직의 규모에 관계없이 단순할수록 더 안전한 경우가 많다. 게다가 우리는 작은 세팅에 초점을 두었기 때문에 최대 인터페이스 속도를(왠, 랜, 혹은 DMZ에서) 100Mbps로 한정시켰다.
아스테로(Astaro), 포티넷(Fortinet), 서브게이트 테크놀로지스(ServGate Technologies), 소닉월(Sonic Wall) 및 시만텍(Symantec) 등이 우리 범주를 만족시켰으며 참가에 동의했다. 크로스빔 시스템즈(Crossbeam Systems)와 ISS(Internet Security Systems)는 요구되는 기능을 갖춘 장비를 갖고 있고 두 업체 다 테스트 참여에 관심을 보였지만, 테스트 당시 두 곳 모두 보다 하이엔드의 기가비트 이더넷 장비만을 내놓은 상태였다. 시스코시스템즈는 참가를 거절했다.
우리는 캘리포니아주 샌루이스오비스에 위치한 캘리포니아 폴리테크닉 주립대학에 있는 본지 실시간 파트너 랩에 장비들을 모아 칼 폴리 넷 PRL(Cal Poly Network Perfor mance Research Laboratory)에 구축한 테스트베드에 이들을 던져 놓았다.
규모가 작을 때 중요한 것들
중소기업을 염두에 두고 우리가 가장 먼저 질문한 것은, ‘IT 지원의 부담을 최소한으로 줄이면서 우리의 작은 사무소를 보호하는 데 있어 중요한 기능은 무엇인가’였다. 참가 장비에 막대한 부하 테스트를 실시하긴 했지만, 소규모 사무소용으로는 네트워크 부하가 구성의 편이나 포괄적인 사양 세트 만큼 중요한 게 아니라는 사실을 알고 있었기 때문에 테스트 계획을 짤 때 이 점을 염두에 두었다. 우선 하나의 왠 인터페이스와 하나의 공중 IP 어드레스를 이용해 소규모 사무소 네트워크를 구성했다.
내부적으로 이 작은 사무소에는 전용 IP 어드레스와 웹, 이메일 및 FTP 서버용 DMZ가 있는 하나의 로컬 네트워크가 있었다. 랜 사용자는 DHCP를 이용해 구성됐으며, 보안 장비들은 DMZ와 랜 트래픽 모두용으로 NAT(Network Address Translation)를 제공했다. 장비들은 또한 왠과 DMZ 서버간의 트래픽 포트 전송도 책임졌다.
제품간 성능 큰 차이 없어
아무리 좋은 올인원 장비라 하더라도 보안에 대한 모든 근심을 덜어주진 못하겠지만(여전히 패치 작업을 해야 하고 데스크톱 방화벽이 필요할 것이다), 전체적으로 장비들은 만족스러운 수준이었다.
장비는 우리와 바깥 세계 사이에 놓였기 때문에, 트래픽 필터링, NAT 및 포트 전송 등과 같은 방화벽 기능들을 갖추고 있어야 했다. syn이나 smurf와 같은 DoS(Denial of Service) 공격을 막기 위한 상황적 방화벽 기능이 있다면 금상첨화다. 게다가 일부 작은 조직에서는 이런 장비가 DHCP 및 DNS 서버로 작동하기를 원하기도 할 것이다. 모든 제품이 우리가 찾는 기본적인 방화벽 기능들을 제공했지만, 포티넷과 소닉월 장비는 DNS 서버로 작동할 수 없었으며, 시만텍 장비는 DHCP 기능을 제공하지 않는다.
방화벽을 정확히 구성했고, 서버와 데스크톱 운영시스템이 최신 것이라고 가정한다면, 조직에의 최대 위협은 사용자에 의해 외부에서 보내지는 트래픽이다. 따라서 우리는 장비들의 인스트림 안티바이러스 기능을 살펴보았는데, 이는 곧 장비가 수신되는 이메일과 FTP 및 웹 트래픽에 바이러스 스캐닝을 실시하는 것을 의미한다. 이러한 스캐닝은 데스크톱 안티바이러스 소프트웨어가 하는 것과 유사하다. 바이러스가 발견되면 장비는 이메일을 유실, 유실 및 송신자에게 경고, 경고와 함께 전송, 혹은 격리시도록 구성될 수 있다. 소닉월의 장비만이 바이러스 스캐닝을 지원하지 않았는데, 대신 이것은 데스크톱 중심의 방안을 채택하고 있었다.
포티넷에는 강력한 안티바이러스 솔루션이 있으며, 그 장비는 목록에 있는 모든 프로토콜에서 바이러스 스캐닝을 지원한다는 점에서 독특했다. 아스테로나 서브게이트 장비는 어떤 것도 HTTP 트래픽을 스캐닝할 수 없었으며, 모든 업체들이 바이러스 서명을 최신으로 유지하기 위해 연간 유료 가입을 요구했다.
또 한 가지 위협은 방화벽을 통해 허용된 트래픽에서 서버에 가해지는 공격이다. 여기가 바로 침입 탐지/방지 방안이 적용되는 곳이다. 우리는 하나의 아이템 아래 DoS 공격 탐지, 침입 방지 및 침입 탐지 그룹을 나누었다. 보안 업계 전문가들은 여기에 동의하지 않을지도 모르지만, 이러한 작업들은 모두가 누군가 당신의 시스템에 모종의 작업을 시도하고 있다는 사실을 파악하기 위한 모니터링과 관련되는 것이다.
침입 탐지를 수행하는 보안 장비의 경우는 딥 패킷 점검을 이용해야 하며 애플리케이션을 웹, 이메일, 혹은 FTP 서버인 채로 이해해야 한다. 업체들은 이러한 기능을 갖추는 데는 발이 느린 편으로, 테스트한 장비들 중 시만텍과 포티넷 두 곳에서만 전통적인 IDS로 알려진 기능을 자랑했다. 시만텍은 IDS 이행에 있어 포티넷보다 한단계 더 나아가 네트워크 트래픽의 변칙적인 행동을 역동적으로 모니터링하는 알고리즘도 또한 제공하고 있다. 다른 업체들의 장비에는 제한된 공격 방지 기능은 있었지만(예를 들어 DOS 공격에 대한 것 등), 딥 패킷 점검은 수행하지 않았다.
콘텐츠 필터링은 장비가 원치 않는 사이트를 얼마나 잘 차단할 수 있도록 해주는가를 다루고 있다. 우리는 각각의 보안 장비에 URL 블랙리스트를 제공했는데, 이는 곧 가상의 우리 사용자들이 액세스가 허용되지 않는 사이트들을 말한다. 테스트에 참가한 모든 업체가 포르노나 게임 등의 그룹별로 URL 블랙리스트를 관리하는 유료 가입자 서비스로의 액세스를 제공했으며, 원하는 경우는 이 블랙리스트를 수동으로 업데이트할 수 있었다.
시만텍은 블랙리스트를 장비로 직접 다운로딩했으며, 외부 서버에서 지원되는 목록과 최근의 룩업만이 장비에서 캐싱된다. 블랙리스트 외에, 포티넷과 시만텍 장비는 우리가 파일 유형(.exe나 .bat 등)을 기반으로 콘텐츠 필터링을 수행할 수 있게 해주는 한편, 시만텍을 제외한 모든 장비는 수동으로 입력된 키워드나 문구를 기반으로 트래픽을 필터링하기도 했다.
그리고 마지막으로 장비들의 VPN 이행을 평가했다. 소규모 사무소 시나리오임을 감안해 우리는 CO나 다른 원격 사무소로 한정된 수의 VPN 터널을 셋업하는 데 주로 관심을 두었다. 따라서 얼마나 많은 터널이 설정될 수 있는지를 따져보았다기보다는 적은 수의 터널에서 오는 트래픽의 효과를 살폈다. 테스트에서는 VPN 트래픽용 작업처리량과 대기시간을 살펴보았을 뿐만 아니라 정상적인 암호화되지 않은 트래픽에 미치는 그 영향도 조사했다. 모든 장비는 기본적인 VPN 테스팅에서 잘 수행됐으며, 그 가운데서도 시만텍의 제품이 가장 강력한 하이엔드 VPN 수치를, 서브게이트가 그에 근접하는 두 번째 수치를 내놓았다.
관리와 이용 편이
IT 자원이 한정된 조직에서는 장비의 관리 인터페이스가 협상을 가로막는 요소(deal breaker)가 될 수 있다. 기능을 적절히 구성할 수 없다거나 매뉴얼을 공부하느라 며칠씩 보낼 필요 없이 이것이 적절히 작동하고 있는지를 파악할 수 없다면 아마도 보안에 대해 잘못 이해하고 있기 때문일 것이다. 따라서 우리는 각 장비의 관리 인터페이스를 면밀하게 살펴 보았으며, 그 결과 보안이 복잡한 문제긴 하지만 구성이 반드시 어려울 필요는 없다는 사실을 알 수 있었다. 물론, 예를 들어 ‘프록시나 중계 에이전트를 켜시오’라고 알리는 메시지 박스가 ‘SMTP 트래픽용 안티바이러스를 켜시오’라고 말해주는 체크박스만큼 유용한 것으로 평가되지 않는다는 점을 비롯해 개선의 여지는 있었다.
먼저 전체적인 장비 파라미터와 방화벽 규정 및 정책을 구성하는 데 있어서의 편이를 살펴 보았다. 그런 다음 안티바이러스, 콘텐츠 필터링, 침입 탐지 및 방지 등과 같은 고급 사양을 구성하는 데로 이동했다. 그 결과 사용자 인터페이스를 이행하는 방법에 있어 역할 모델은 소닉월이었다. 그 인터페이스에는 마법사가 있어 기본적인 장비 구성과 방화벽 규정 세트를 도와주었으며, 고급 사양을 구성하는 일은 매우 직관적이었다. 시만텍과 아스테로 장비에서 고급 사양을 구성하기는 더 힘들었으며, 기능이 적절히 작동하는지 여부를 알리기는 훨씬 더 힘들었다.
또한, 장비의 관리 인터페이스에서 이용할 수 있는 진단 툴도 살펴보았다. 경로추적(trace route), 핑(ping) 및 DNS 룩업이 포함된 이러한 툴들은 이행 문제를 디버깅하는 데 유용하다. 그 외에 고려한 관리 기능들로는 상태 페이지, 장비 상태 결정, 로깅 및 통보 능력 등이 포함됐다. 아스테로의 시스템 앤 네트워크(System and Network) 상태 페이지는 현재 장비 작동을 그래프로 보여주는 등 특히 두드러졌다.
테스트한 다섯 개 장비들 가운데 두 개의 장비는 전용 하드웨어와 운영시스템을 사용하며, 나머지 세 개는 리눅스 기반이다. 포티넷과 소닉월의 전용 장비들은 전체적인 파워와 사양 면에서 뒤떨어지긴 하지만, 사용과 구성은 훨씬 간편했다. 세 개의 리눅스 기반 장비들은 보다 나은 기능성과 보다 뛰어난 작업처리량을 갖고 있지만 셋업에 보다 많은 시간과 기술, 그리고 인내심이 필요했다.
전용과 리눅스 기반
그렇다면 자신에게 가장 잘 맞는 장비는 어떤 장비일까? 한정된 IT 지원을 갖춘 소기업에서는 에디터즈 초이스를 수상한 포티넷의 포티게이트-60(FortiGate-60)이 마음에 들었다. 이 장비에는 인상적인 사양과 직관적인 사용자 인터페이스가 있어서 최소한의 IT 지원만 있다 하더라도 조직에서 필요로 하는 보호를 제공하도록 장비를 설치하고 구성할 수 있음을 확신할 수 있었기 때문이다.
강력한 IT 지원 인력을 갖춘 보다 규모가 큰 기업에서는 서브게이트 에지포스(EdgeForce)가 인상적인 사양과 강력한 고성능 작업처리량을 보유함으로써 두 번째 자리를 차지했다.
비용을 비교하기 위해 우리는 업체들에게 50 라이선스 조직에 대한 견적서를 의뢰했다. 물론, 가격안은 설치기반의 규모에 따라 달라질 것이다.
