[국내 IPS 시장 A~Z ①] IPS의 정의와 장단점 분석
상태바
[국내 IPS 시장 A~Z ①] IPS의 정의와 장단점 분석
  • 장윤정 기자
  • 승인 2004.06.07 00:00
  • 댓글 0
이 기사를 공유합니다

지난해 슬래머 웜에 의해 전국의 인터넷이 마비되는 1.25대란을 겪은 이후 웜, 바이러스 등의 유해트래픽을 차단하는 보안문제는 기업의 자산을 보호하기 위한 최우선 투자로 떠오르고 있다. 각종 바이러스·윔 등 늘어나는 유해트래픽은 네트워크를 위협하는 수준을 넘어, 사업의 연속성을 중단시킬 우려가 있기 때문에 이제 보안은 선택이 아니라 필수다.

이런 관점에서 능동적으로 유해트래픽을 탐지하고 차단할 수 있는 침입방지시스템(IPS, Intrusion Prevention System)에 대한 시장의 관심이 날로 높아지고 있다. 지난해까지 IDS와 IPS의 개념의 차이와 우수성에 대한 논란 등이 오갔지만 탐지만 하는 IDS보다 방지를 수행해줄 수 있는 IPS쪽의 수요가 늘어나고 있다. 한국정보보호진흥원(KISA)에 의하면 국내 IPS 시장은 올해 약 700억원대 이상의 시장을 형성할 것으로 예상되며, 하반기 이후 본격 시장이 성장할 전망이다.

하지만 IPS 시장의 장밋빛 전망만을 보고 너도나도 IPS 사업을 하겠다고 뛰어들고 있어 시장이 본격화되기 전에 출혈·과당경쟁이 우려되고 있는 실정이다. 또한 IPS의 명확한 형태와 기능에 대해 각 업체들마다 논란이 분분해 IPS를 도입하려는 고객들에게 혼란을 주고 있다. 여기에 KISA와 국정원에서 IPS에 대한 CC인증을 곧 수행하겠다고 밝혀 CC인증을 둘러싼 각종 문제점들도 표출되고 있어 국내 IPS 시장에 꼭 장밋빛 청사진만 있는 것은 아니다.

이에 본지는 IPS의 개념과 분류, 형태 그리고 각 업체들의 동향과 문제점, IPS 적용 사례 등을 통해 IPS의 A부터 Z까지 진단해본다. <편집자>

> > > 제 1부 IPS의 정의와 장단점 분석

기술 진화·시장 확산, “이제부터 시작이다”
능동적 침입방지·트래픽 조절·효율적 보안정책 수립 가능 … 사용자 환경 고려 ‘필수’

침입방지시스템 IPS에 대한 시장의 관심이 날로 높아져가고 있다. 바이러스나 웜 등으로 인한 피해를 최소화하기 위해, 효과적인 보안을 위해서는 IPS가 필요하다는 인식이 확산되고 있다. 그러나 정작 IPS가 어떤 기능을 수행해 줄 수 있는지, 어떤 형태를 IPS라고 부를 수 있는지, 그리고 진정한 IPS란 무엇인지 업체들마다 자사의 형태가 최고라고 주장하며 사용자들을 혼란스럽게 만들고 있다. IPS의 정의와 IPS가 도입되면 어떤 이점을 얻을 수 있는지 현재 국내에 나와있는 여러 IPS 장비를 통해 알아본다.

IPS(Intrusion Prevention System)란 용어 그대로 침입방지시스템이다. 차세대 능동형 보안솔루션이라고도 불리는 IPS는 인터넷 웜 등의 악성코드 및 해킹 등에 기인한 유해트래픽을 차단해 주는 솔루션이다. IDS(Intrusion Detection System)는 특정 패턴을 기반으로 공격자의 침입을 탐지하는 반면 IPS는 공격탐지를 뛰어넘어 탐지된 공격에 대해 웹 연결을 끊는 등 적극적으로 막아주는 솔루션이라고 할 수 있다.

IPS의 기술요소에 대해서는 여러 논란이 분분하지만 먼저 IPS를 구분하자면 네트워크 기반 IPS와 호스트 기반 IPS로 크게 나눌 수 있다. 네트워크 기반 IPS는 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 IPS는 서버 애플리케이션을 담당하며 시큐어 OS 등과 비슷한 기능을 수행한다.

일반적으로 네트워크 기반 IPS에 대한 수요가 많고 제품도 많이 출시돼 있으며, 호스트 기반 IPS 제품은 드물다. 따라서 통상적으로 IPS라고 하면 네트워크 IPS인 NIPS를 지칭하고 여기서도 대부분의 제품이 NIPS이므로 IPS로 통칭하기로 한다.

지난해 가트너그룹에서 정의한 바에 따르면 IPS는 방지능력과 빠른 반응속도를 위해 인라인에 위치한 제품, 세션기반 탐지 지원, 다양한 종류의 방지 방법 및 방식(시그니처, 프로토콜 어노멀리, 액션 등)을 통해 악의적인 세션을 차단, 세션 기반 탐지를 지원한다고 얘기한다.

하지만 IPS에 대한 고객들의 요구가 늘어나며 다양한 IPS 제품이 속속 출시, IPS의 기능은 이런 것이라고 잘라 말할 수 없는 실정이다. 또 인터넷상의 웜, 바이러스 등을 차단해주는 솔루션이라면 모두 IPS라고 하는 등 IPS의 정의와 역할에 대해 논란이 분분해지고 있다.

IPS란

지난해 발표된 가트너 그룹 보고서에 따르면 1세대 네트워크 IDS 제품은 탐지 성능에 문제가 있어서 신뢰할 수 있는 네트워크에 제한된 소수의 센서만을 설치 가능한 것으로 나타났다. 뿐만 아니라 IDS는 잘못된 탐지 경보를 남발하는 문제가 있어 진짜 공격을 놓칠 위험을 감수하면서도 상당한 자원을 오경보 추적에 소모하게 됨으로써 이미 제한된 보안 인원과 인프라에 심각한 영향을 줄 수밖에 없었다.

고도의 탐지 방법과 공격을 방지할 수 있는 기능이 없는 1세대 IDS는 충분한 성능 지원 없이 단지 보안에 대한 환상만을 제공한다는 점에서 그저 디지털 마지노선에 지나지 않는다. 이에 따라 등장한 것이 바로 침입방지 시스템 ‘IPS’이다.

IPS는 IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책이라는 점이 가장 큰 장점이다. IPS는 OS나 애플리케이션의 취약점을 능동적으로 사전에 보완하고 웜이나 버퍼오버플로우, 특히 비정상적인(Ano-maly) 트래픽이나 알려지지 않은 공격까지 차단할 수 있기 때문에 한층 높은 보안을 제공해준다.

또 IPS의 가장 큰 특징은 기업 외부에서 내부 네트워크로의 침입을 방지하는 것이다. IPS의 도입을 원하는 대부분의 기업들 목표 역시 외부 침입방지이며 효과 역시 유해 트래픽의 원천적인 차단이다.

그렇다면 외부 트래픽을 차단하는 방화벽과 역시 외부 침입을 방지하는 IPS는 어떤 차이가 있는 것일까? 기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격을 감지하지만, 님다나 코드레드같은 새로운 공격을 막기에는 역부족이다. IDS 또한 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 침입탐지의 오판에 따른 시간, 인적, 재정 낭비도 문제점으로 지적된다. 이에 반해 IPS는 알려지지 않은 공격에 대해서 적절하게 대응을 하며 명백한 공격은 사전 방어를 취한다. 또 웜과 바이러스 등의 침입을 네트워크단에서 차단시킴으로 보안 인프라와 네트워크 영향을 제거하며 공격에 대한 사후 조사로 인해 소요되는 관리자 운영 부담을 없애주는 장점이 있다.

이처럼 IPS는 웜 바이러스와 해킹으로부터 유발되는 네트워크 서비스 장애로부터 벗어날 수 있고 부가적으로 유해한 트래픽을 사전 차단함으로써 인터넷 및 네트워크 자원의 효율적 사용을 통한 비용절감을 도모할 수 있다.

하지만 이런 장점에도 불구하고 현재 어떤 기능들을 갖추고 있어야 IPS라고 부를 수 있는가에 대한 기준은 상당히 모호하다.

일선 영업담당자들은 “IPS 제품선정을 위해 BMT를 실시한다는 공고가 뜨면 IPS 전용장비는 물론이고 IDS에 드롭(Drop) 기능을 추가한 제품, L7스위치, 바이러스월 등 각종 장비가 모여든다”며 “최소한 바이러스월과 IPS는 구분된다거나 L7스위치와 IPS의 경계를 지어주는 등 기준이 필요할 것”이라고 언급하고 있다. 즉 IPS의 웜, 바이러스 차단, 네트워크 트래픽 조절 등의 기능으로 인해 바이러스월도 L7스위치도, IDS도 모두 약간의 기능을 추가하면 IPS라고 부를 수 있는 제품으로 둔갑한다는 것이다.

자사 상황 고려 필수

이처럼 현재 출시된 IPS들은 그 출신성분, IPS라는 이름을 달고 내놓은 제품 이전 제품은 어떤 것을 보유하고 있었느냐에 따라 방화벽 기반의 IPS, IDS 기반의 IPS, 스위칭 기반의 IPS, 바이러스월 기반의 IPS 등으로 나눌 수 있다. 또 전용 ASIC 기반, 네트워크 프로세서를 탑재했느냐에 따라 ASIC 기반 IPS, PC 서버 등 서버에 올렸느냐에 따라 서버 기반 IPS, 스위치 기반 IPS 등 하드웨어 타입에 따라 나누기도 한다. 여기서 또 기능상의 분류로 들어가 세션 기반, 패킷 기반, 그리고 스위칭 기반이냐 등으로 분류될 수도 있다.

IDS 기반의 IPS로는 엔터라시스의 ‘드래곤 IPS’, 윈스테크넷의 ‘스나이퍼 IPS’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이 속한다. 또 방화벽 기반의 IPS로는 체크포인트의 ‘인터셉트’, 시큐아이닷컴의 ‘NXG 시리즈’ 등이며, 스위칭 기반의 IPS로는 라드웨어 ‘디펜스프로’, 탑레이어 ‘AM IPS 5500’ 등, 바이러스월 기반으로는 포티넷의 ‘포티게이트 시리즈’ 등이 속한다. 한편 전용 ASIC 기반 네트워크 프로세서가 탑재된 제품으로는 티핑포인트의 ‘유니티원’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이며, 서버 기반으로는 S/W 형태로 출시돼 별도의 서버에 탑재해야하는 윈스테크넷의 ‘스나이퍼 IPS’, 정보보호기술의 ‘테스 IPS’, 넷스크린의 ‘IDP 시리즈’ 등이다.

혹자는 IPS를 세션 기반이냐 패킷 기반이냐 나누고 세션 기반이 패킷 기반보다 시그니처 분석 등으로 세심한 공격탐지가 가능하다는 식의 주장을 하기도 하지만 이런 분류는 별로 의미가 없다는 것이 전문가들의 주장이다. IPS는 네트워크상에 위치하는 제품인 만큼 세션과 패킷을 동시에 처리해야 하며 대부분의 제품들이 세션과 패킷을 혼용해서 출시돼 있어 세션이나 패킷이냐의 분류는 잘 쓰지 않는다.

한편 IPS의 설치구성상의 차이점과 기능에 따라 인라인 IPS, L7스위치, 호스트기반 IPS, 하이브리드(Hybrid) 스위치 등으로 구분하기도 하는데 인라인 IPS는 보호되어야할 시스템과 그 외의 네트워크 사이에서 L2 브리지처럼 작동하며 모든 트래픽은 브리지 장비와 달리 발견해내도록 취약점 검사를 수행한다. 현재 통용되고 있는 한국ISS, 넷스크린, 티핑포인트, 윈스테크넷 등 국내외 업체들의 IPS 제품들이 대부분 여기에 속한다. 또 L7스위치는 지난 1.25대란을 겪으며 일부 기업과 통신사 등에 공급, 효과적으로 웜 바이러스를 차단할 수 있다는 입소문을 타고 침입차단의 강자로 부상했다.

유독 국내에서는 L7스위치가 IPS 제품으로 통용되고 있는데 침입차단 및 방어 기능에 로드밸런싱 등으로 트래픽을 효과적으로 조절한다는 측면에서 IDS 기반의 IPS보다 선호하는 고객도 많다. 대표적으로 라드웨어, 탑레이어 등 L7스위치 기반의 IPS가 여기에 속한다. 또 보호를 필요로 하는 각 서버에 탑재돼 보안기능을 발휘하며 시큐어 OS와 비슷한 기능을 수행하는 호스트기반 IPS는 NA의 ‘인터셉트’, 조은시큐리티의 ‘싸이폴로’, 임퍼바의 ‘시큐어스피어’ 등이 속한다. 하이브리드 스위치는 호스트 기반의 IPS와 L7스위치의 특성을 함께 가지고 있으며 대개 하드웨어 기반으로 L7스위치처럼 서버의 앞단에 위치한다.

하지만 하이브리드 스위치는 일반적으로 네트워크 IPS 타입의 룰셋보다 호스트 기반의 IPS와 비슷한 정책을 사용하며 여기에 속하는 제품은 앱실드(Appshild), 카바두(Kavado) 등에서 취급한다.

이처럼 많은 분류들이 상존하고 있으나 이런 분류들은 각각의 장단점이 존재하며 이 분류가 절대적 우위를 가리는 판단기준이 되지는 않는다. 공격에 따라 적절히 대응하는 보안시스템이라는 유연성 측면에서 고려한다면 IDS 기반과 방화벽 기반, 바이러스월 기반 등의 IPS가 우세할 것이며, 네트워크 퍼포먼스, 성능 측면을 고려한다면 전용 네트워크 프로세서를 탑재한 제품이나 ASIC 기반과 스위칭 기반의 IPS를 선택하는 것이 좋을 것이다. 퍼포먼스보다 기능측면을 고려하는 소호 등의 소규모사이트라면 방화벽+IDS 등 별도의 부가기능이 추가된 통합적인 형태의 IPS를 구입하는 것도 좋은 대안이다.

업계의 한 전문가는 “고객들은 자사 네트워크에 맞게 성능의 가이드라인을 세우고 이에 맞는 제품을 선택해야한다”며 “우리 네트워크에서의 문제는 무엇인지, 웜·바이러스 등에 의한 문제가 가장 심각한지, 네트워크 가용성이 중요해 퍼포먼스를 우선해야 하는지 등을 따져보고 이미 기투자된 장비와의 연동성 등도 고려해 선택하는 것이 좋다”고 조언했다.

하지만 관련 전문가들은 IPS의 기준이 모호하고 다양한 분류에 대한 이견이 분분한 것에 대해 아직 IPS 시장이 본격 형성되지 않았고 선두 업체가 정해지지도 않았기 때문이라고 분석한다. 상반기를 지나 하반기쯤이면 IPS의 대형 레퍼런스가 탄생할 것이고 이를 선점하는 선두업체의 IPS 제품이 IPS의 모델로 시장에서 자연스럽게 자리잡혀 갈 것이라는 전망이다. 따라서 IPS 시장의 진입 초기인 현재의 복잡한 IPS 제품에 대한 분류는 올 하반기를 지나 내년경이면 정리되어 갈 것으로 예측된다.

한편 관련 전문가들은 사용자들이 IPS를 선정하는 기준으로 최근 가장 중요시하는 것은 웜 차단 기능과 퍼포먼스라고 전한다. 웜이 워낙 기승을 부려 웜에 대한 효과적인 차단기능이 필요해 IPS를 고려하는 경우가 많기 때문이다. 그리고 IPS가 네트워크단에 설치되기 때문에 가용성을 우선해 기가비트급 이상의 성능이 지원되는 ASIC이나 네트워크 프로세서 기반의 IPS 등을 선호한다는 것.

IPS는 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 달리 네트워크의 패킷이 지나가는 길에 설치한다는 특성으로 인해 퍼포먼스가 고객의 최대 관심사가 되고 있다.

따라서 현재 출시되는 대부분의 IPS들이 기가급을 지원하고 있다. 최소 1Gbps 이상의 속도를 지원하며 올해부터 본격 구현되고 있는 10기가비트 네트워크를 겨냥해 10기가 이상의 속도를 낼 수 있는 IPS를 출시했거나 준비중도 업체들이 많다. 하지만 웜 차단이 IPS 기능의 전부가 아니고 웜이외에도 다양하게 발생할 수 있는 유해 트래픽과 관련된 IPS의 기능들을 눈여겨 봐야하며 피크타임시의 네트워크 대역폭이 최대 500Mbps 정도의 소규모 고객이 기가급 IPS만을 고집하는 것은 과투자가 될 수 있다. 따라서 자사의 네트워크를 잘 살펴보고 이에 맞는 제품을 고르는 지혜가 우선돼야 한다고 관련 전문가들은 지적하고 있다.

그러나 IPS의 필요성을 느끼는 가장 큰 부분이 바로 웜 차단이며, 전체 네트워크 환경을 고려해 기가급의 IPS를 선호하는 추세는 당분간 이어질 것으로 보인다. 실제로 관련 전문가들은 “현재 웬만한 대학이나 금융, 기업 등에서 기가급 이하의 네트워크를 찾아보기 힘들다”며 “어렵게 기가급 이상의 네트워크를 구축해놓고 저속의 IPS를 네트워크상에 설치해 전체 네트워크의 성능을 떨어뜨리고 싶어하는 고객은 없다. 방화벽도 이런 이유에서 기가로 올라가는 추세”라고 언급한다.

또 한 업계의 관계자는 “최근 IPS의 관건은 기존 네트워크의 성능을 저하시키지 않으면서 얼마나 세심하게 고객이 원하는 기능을 지원해줄 수 있는가이다”며 “빠른 성능과 뛰어난 탐지를 발휘할 수 있는 지능화를 기본으로 고객이 원하는 기능을 부가적으로 지원해줄 수 있는가가 성공의 열쇠가 될 것”이라고 언급했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.