전문 기관들에서는 네트워크 보안 플랫폼(Network Security Platform)이 향후의 보안 시장을 변화시킬 것이라고 예측한다. 이러한 예측의 이유는 기존의 보안 솔루션들이 하드웨어 기반의 보안 플랫폼에 통합돼 비용이 절감될 뿐만 아니라 좀더 보안을 잘 관리할 수 있기 때문이다.
이러한 보안 시장의 경향으로 기존 보안제품들의 경계선이 모호해질 것이며 이미 시장에서 부분적으로 그러한 유형의 제품들을 많이 볼 수 있다. 그러나 혼란해 보이는 시장의 변화는 벤더들에게는 새로운 기회가 될 수 있다. IPS의 미래는 이러한 네트워크 보안 플랫폼의 발전과 시장의 요구 속에서 찾아야할 것이다.
네트워크 보안 플랫폼과 IPS
전문기관들이 예측하는 <그림 1> 보안 플랫폼의 발전에서 느낄 수 있듯이 보안 플랫폼의 발전 자체가 앞으로의 보안 시장에서 가장 중요한 요소중 하나가 될 것이다. 전형적인 발전 방향의 하나는 리눅스 플랫폼에 IDS, 방화벽, VA(Vulnerability Assessment) 도구, 안티바이러스 게이트웨이 등이 통합되는 것이다.
그리고 이 플랫폼은 다른 네트워크 보안 기능을 지속적으로 추가해 나갈 것으로 예상하는데 요즈음 모든 사람들을 성가시게 하는 이메일 문제와 관련해서 이메일 콘텐츠 스캐닝이나 안티스팸 기능 등이 추가적으로 고려되어질 것이다. 또한 엔터프라이즈 보안을 위해서 이들은 포렌직 정보를 제공해 준법감시(Compliance) 요구를 충족시키는 도구가 될 것이다.
향후 예상하는 엔터프라이즈를 위한 보안 플랫폼의 하드웨어는 어플라이언스 형태의 침입차단 장치이기 때문에 현재 IDS기반의 IPS 어플라이언스가 기능을 추가해 나가는 과정에서 이상적인 보안플랫폼으로 이전하는 상당한 기간동안 IPS의 이름을 그대로 이어받아 사용할 것으로 보인다. IPS 측면으로만 생각해 본다면 현재의 IPS는 계속 새로운 기능을 추가하여 침입을 차단하는 통합보안솔루션 박스의 모습으로 거듭 날 것이라는 예상을 할 수도 있다.
보안 플랫폼 시장은 대역폭에 따라서 크게 두 가지로 구분이 될 수 있으며 1Gbps 이상의 서비스 시장과 1Gbps 미만의 엔터프라이즈 시장으로 나눌 수 있다. 현재도 그런 경향을 볼 수가 있는데, 대역폭 제공이 중요한 서비스 시장에서는 스위치 기반의 IPS가 시장 점유율이 높고, 엔터프라이즈 시장에서는 관리가 좀더 편한 어플라이언스 형태의 IPS가 시장을 주도하고 있는 것으로 보인다. 앞으로 당분간은 하드웨어적인 태생이 다른 두 가지 IPS가 시장을 구분할 것으로 보인다. 그러나 장기적으로 하드웨어 기술이 발전하면 할수록 이들의 구분 또한 모호해 질 수도 있을 것이다.
가트너에서는 네트워크 보안 플랫폼(Network Security Platform)의 현재 위치를 <그림 2> 보안의 하이프(Hype) 사이클에서와 같이 기술의 초기진입 단계로서 기대가 부풀려진 모습으로 보여 주고 있다. 기대만큼 기술이 성숙하려면 아직 해야 할 일이 많다는 것을 알려주고 있는 것이다.
그러나 실제적인 시장에서 IPS의 적용 효과는 현재의 기능만으로도 상당한 효과를 얻을 수 있는 것을 볼 수 있다. 이는 하이프 사이클과 같이 기술적으로 이상적인 목표를 향해서 발전하고 있는 IPS를 현재의 보유 기능으로 비교해서 평가하는 것이 아니다.
최근 웜바이러스 등의 확산이 수만 노드도 10분여 만에 감염시키는 빠른 속도를 보이지만 기존의 IDS나 방화벽 등이 신속히 보안의 위협을 차단하지 못하는데서 IPS의 자동 차단효과가 돋보이고 있는 것이다. 그래서 특히 IT규모는 크면서 상대적으로 관리 인원이 적은 캠퍼스 네트워크 등에서 IPS의 도입 및 검토가 활발하게 이뤄지고 있다.
리눅스 기반의 네트워크 보안 어플라이언스가 하나의 추세이듯이 스위치 기반의 IPS도 하나의 추세가 될 수 있다. <그림 3> 네트워크 보안을 위한 시스템 아키텍처 발전에서 보듯이 처리속도는 빠르나 보안기능의 추가가 어려운 ASIC과 처리속도는 느리나 기능의 추가가 쉬운 CPU의 장점들만을 취할 수 있는 SoC(System-on-Chip)가 최근에 도입되는 것을 볼 수 있다. 몇 해전부터 네트워크 벤더들이 보안회사들을 인수하면서 네트워크 장비에 보안기술을 내장하기 시작했고 빠른 보안기술 발전을 수용하기 위해 SoC를 채택한 네트워크 하드웨어 시스템 아키텍처가 일반화되고 있다.
네트워크 보안 아키텍처와 IPS
지금까지 IPS 등과 같은 보안 장비가 보안의 위협을 해결해 왔고 앞으로도 보안 장비의 역할은 계속 중요할 것이다. 그러나 실제로는 네트워크 보안을 설계시에 보안 제품만을 적용해서 웜바이러스 등의 피해를 줄이는 것이 한계가 있다. 최근에는 보안의 위협들이 모든 네트워크 포트를 통해서 빠르게 확산하고 있기 때문이다.
에지 스위치를 포함한 모든 네트워크 포트로부터 보안의 위협이 상존하는 현실에서 IPS만으로 더 이상 안전한 네트워크를 유지하는데 어려움을 많이 겪게 된다는 것이다. 그리고 이제 보안 사고의 피해를 본 후에 반응적으로 보안장비를 추가하는 모습으로는 보안의 위협으로부터 자유로울 수가 없다. 이 때문에 이제는 안전한 네트워크를 위해서 아키텍처적인 접근이 필요하고 IPS도 이에 대한 요소로서 고려해야한다.
네트워크 보안 아키텍처 기반으로 준비하지 못한 네트워크 상에서는 유비쿼터스 환경으로 진행하면 할수록 사용자의 관리가 어려워지고 보안의 위협은 더욱 증가하게 된다. 특히 에지로부터의 보안 위협이 상존하는 환경이 되어 IPS 등과 같은 보안제품으로만 주요 네트워크 관문에서 자동으로 웜바이러스 등을 차단하여 보안의 위협을 제거하는 것이 어렵다. 그렇다고 모든 네트워크 장비의 포트에 IPS를 설치할 수는 없다.
보안의 시스템 아키텍처적인 측면에서 IPS는 자동으로 침입차단을 하는 것뿐만 아니라 발생하는 보안 이벤트를 모든 에지 스위치 포트에도 연동하는 것이다. IPS는 주요 관문에서 유해한 데이터를 차단하는것 뿐만 아니라 에지 스위치의 포트를 포함해 모든 포트에서도 동시에 동일한 침입을 자동으로 차단하는 연동기능을 보유해야 한다는 것이다.
<그림 4> 에지와 인터넷 관문의 자동 차단 시스템 구성에서는 안전한 네트워크(Secure Network) 개념을 도입한 구성 사례와 이를 통해 네트워크 내에 모든 포트 차단의 자동화를 이루어 안전한 엔터프라이즈 네트워크를 유지하는 모습을 보여주고 있다.
IPv6까지 고려하는 장기적인 관점으로 보면 에지 스위치와 연동하는 IPS의 모습에서 미래의 네트워크 보안 아키텍처의 모습도 일부를 볼 수 있다. 현재는 VPN에서만 사용자의 데이터 부분이 암호화가 되지만 IPv6에서는 모든 사용자 데이터 부분이 기본적으로 암호화 기능을 가진다. 기존의 콘텐츠를 분석하는 방화벽이나 IDS 등의 보안장비들이 능력을 발휘하지 못하는 환경이 되는 것이다.
이렇게 사용자의 데이터가 암호화되는 환경에서는 IP주소나 TCP주소 등의 컨텍스트(Context) 기반으로 다양한 플로우 그룹을 생성하여 차단/QoS/오차 한계(Rate Limiting) 등의 보안관련 기능을 중앙집중적으로 관리해 이를 스위치에서 구현해야 한다. 여기서 IPS의 기능은 사용자의 데이터가 점차 암호화되는 과도기적 환경에서 컨텍스트 기반의 보안 정책을 컨텍스트 기반의 보안 정책으로 변환하는 도구의 역할을 하는 것이다.
사용자 입장에서의 요구 파악 ‘시급’
한 국내업체에서 수년 전 처음으로 IPS를 개발했다고 했었지만 안정성 문제로 주목을 받지 못했다. 그러나 그 후 IPS가 외국 기업들이 K인증이라는 환경의 장벽을 피할 수 있어서 보안솔루션 판매의 돌파구가 되었고, 이러한 측면이 IPS의 좋은 효과를 부각시키지 못하고 단점으로 비춰지기도 했다.
그러나 실제로 IPS의 적용 후 많은 효과를 볼 수 있었기 때문에 입소문을 타고 급격히 시장이 확대되고 있다. 이제는 보안을 하는 모든 기업에서 IPS를 이야기하고 있고 이러한 추세는 거스를 수 없어 보인다. 이제 국내 기업들에서는 IPS도 K인증을 제도화하려고 한다. 그러나 국내 기업들이 항상 잊지 않아야 할 것은 K인증에 안주하지 않고 사용자 입장에서 무엇이 필요한지 능동적으로 기능을 개선해 나가야 한다는 것이다.
네트워크 이슈의 시대적 변화는 Y2K를 지나 지금은 안전한 네트워크가 이슈가 되고 있고 아키텍처로서의 보안이 일반화되는 것이다. IPS도 네트워크 보안 아키텍처 속에서 필요한 기능 등을 끊임없이 추가해 사용자들에게 안전한 네트워크를 제공해야 할 것이다. 
