기가급 성능·자동 방어 필수 … 제품 출시 봇물·출혈 경쟁 자제해야
지난해 날로 증가하는 웹 해킹 및 웜으로부터 핵심적인 웹 애플리케이션을 보호하는 전용 솔루션으로 주목받으며 부상이 예견됐던 웹 애플리케이션 보안 제품 시장이 예상보다 더딘 성장을 기록했다.
물론 웹 전용 방화벽에 대한 고객의 인지도가 낮고 경기도 그다지 좋지 않아 빠른 성장을 기대하기는 어려웠지만, 관련 업체들의 활동이나 트렌드에 빠른 고객들의 관심도에 비하면 썩 좋은 성적이 아니다. 올 초 약 300억원 이상의 시장을 형성할 것이라 기대를 모았던 웹 방화벽 시장은 올해 약 70억원대 정도의 시장을 형성하는데 그쳐 관련 업계를 우울하게 하고 있다.
그러나 외산 중심이던 웹 방화벽 시장에 국내 업체들이 속속 가세하며 다양한 시장을 형성해 가고 있고 이에 따른 가격 하락 등으로 내년경에는 고객이 부담없이 웹 방화벽을 도입할 수 있게 될 전망이다. 또 성능을 중시하는 고객들의 입맛에 맞는 기가급 장비들이 잇따라 출시되고 있는 등 고객의 기대와 눈높이에 맞춘 웹 방화벽 제품들의 출시로 내년에는 관련 시장이 약 300억원대 규모 이상이 될 것으로 전망되고 있다.
하지만 늘어난 업체수만큼 출혈·저가 경쟁에 대한 우려도 커져 시장의 규모가 적정 수준 이상이 될 때까지는 가격 경쟁보다 시장 자체를 키우는 공조의 노력이 더욱 시급하다고 업계관계자들은 지적하고 있다. 관련 업체들의 동향을 통해 시장의 흐름과 향후 전망을 살펴보고 웹 애플리케이션 보안이 실제 도입된 사례, 향후 기술 동향 등을 통해 국내 웹 애플리케이션 보안시장의 기상도를 점검해본다. <편집자>
제 1부 국내 웹 보안 시장 동향 및 제품 특징
제 2부 국내 웹 보안 활용 사례
제 3부 웹 애플리케이션 보안 기술 동향
제 1부 국내 웹 보안 시장 동향 및 제품 특징
각종 웹 문제 해결사, “시장 확대 공조 노력이 절실하다”
성능·가격·인지도 향상 등이‘관건 … 국산VS 외산 경쟁 심화
지난해 초반 웹 애플리케이션 보안 전용 제품을 표방하며 국내에 등장했던 업체들은 거의 외산중심이었다. 그러나 올해 웹 방화벽 시장이 달라지고 있다. 펜타시큐리티, 모니터랩, 엑스퍼넷, 잉카인터넷, 아이자이어로보틱스 등 국내 업체들이 연초부터 속속 웹 방화벽 제품을 출시하며 시장 구도를 외산 Vs 국산으로 변화시키고 있는 것. 또한 지난해 활발한 사업을 펼치던 외산업체들도 흡수, 합병 등으로 재편돼 국내 웹 애플리케이션 보안 시장은 지난해와 사뭇 달라진 양상을 보이며 2라운드를 준비하고 있다.
올초 약 300억원대 이상의 시장 성장이 형성될 것으로 예상, 관련 업체들의 경쟁이 치열했던 웹 애플리케이션 보안 시장은 올해 약 70억원대 규모에 그칠 전망이다. 그러나 내년에는 본격적인 성장을 눈앞에 두고 약 300억원대 이상의 규모가 가능할 것으로 기대되며 국내외 업체들의 치열한 경쟁이 불붙고 있다. 관련 업체들의 동향을 통해 웹 애플리케이션 보안 시장의 향후 전망을 가늠해본다. |장윤정 기자·linda@datanet.co.kr|
웹 애플리케이션 보안제품은 웹 해킹 및 웜으로부터 핵심적인 웹 애플리케이션을 보호하는 전용 솔루션을 의미한다. 전용 웹 애플리케이션 보안제품은 웹 애플리케이션의 취약성을 진단할 수 있는 웹 스캐너와 웹 애플리케이션 게이트웨이로 나눌 수 있다. 웹 애플리케이션 게이트웨이는 흔히 기존 방화벽처럼 웹 애플리케이션을 전문적으로 차단해준다는 의미로 웹 애플리케이션 방화벽이라고 지칭한다.
지난해까지 소프트웨어 기반의 웹 방화벽 솔루션을 서버 등에 탑재해 구동시키는 제품이 주류를 이뤘던 것과 달리 고객들이 높은 퍼포먼스가 나오는 하드웨어 어플라이언스형 제품을 선호함에 따라 최근 시장의 경향은 하드웨어 일체형 제품이 주류를 이루고 있다. 또한 대용량 트래픽을 견딜 수 있는 고성능 제품에 대한 요구가 점점 높아짐에 따라 하드웨어 어플라이언스형 제품조차 만족할만한 성능을 내지 못한다며, 스위치 기반의 제품으로 고객의 눈높이가 점점 올라가는 추세다. 이에 따라 지난해 인기를 누렸던 테로스, 넷컨티넘 등은 어플라이언스 제품의 성능을 지속적으로 향상시키고 있고 워치파이어(쌩텀, 최근 F5가 인수), 카바도, 듀얼시큐어코리아 등에서도 하드웨어형 제품을 속속 내놓고 고객만족도를 높이기 위해 혈안이다.
더욱이 연초 펜타시큐리티를 필두로 모니터랩, 아이자이어로보틱스, 엑스퍼넷, 잉카인터넷 등에서도 최근 웹 방화벽을 출시하며 국내 웹 방화벽 시장 경쟁에 가세했다. 이처럼 국내외 업체들의 웹 애플리케이션 보안 시장에 대한 뜨거운 관심에 힘입어 내년 웹 방화벽 시장은 약 300억원대 이상의 규모로 성장할 수 있을 것으로 기대되고 있다.
올해 약 70억원, 내년 300억원 시장 ‘기대’
올초 국내 보안 전문가들은 웹 애플리케이션 보안 제품 시장이 약 300억원대에 이를 것이라고 전망했다. 하지만 본지가 국내 웹 애플리케이션 보안 전문업체들을 대상으로 조사해본 바에 의하면 올해 국내 웹 애플리케이션 보안 관련 시장은 약 70억원대에 이를 것으로 예상된다.
본지가 조사한 <표 참조> 국내 웹 애플리케이션 보안 업체 현황에 의하면 웹 방화벽 제품이 공급된 레퍼런스는 약 80여개 내외다. 웹 방화벽을 중심으로 현재 국내 공급현황을 조사한 결과 웹 방화벽 제품이 레퍼런스당 1대 또는 많아야 5대 이상이 공급되기 어렵고 제품별 편차는 있지만 국내 제품 및 소프트웨어 기반 제품의 경우 중간급 모델이 대략 4천~5천5백만원 사이로 나타났다. 외산 대용량 제품의 경우 2억원을 호가하는 제품도 있지만 역시 중간급 모델을 대략 6천만~1억원선이라고 보면 국내 올해 웹 보안 시장 규모는 약 70억원대 이하라는 계산이 나온다. 사실 70억원도 상당히 높게 잡은 금액이라고 관련 전문가들은 언급한다. 이중 레퍼런스 확보 차원에서 거의 무상으로 공급한 사례도 꽤 숨겨져 있을 것이며 웹 스캐너와 웹 방화벽을 모두 가진 벤더의 경우 한 종류의 제품만 공급해도 웹 보안 관련 레퍼런스라고 언급하기 때문이다. 따라서 웹 방화벽보다 가격이 싼 웹 스캐너의 가격을 감안하면 실제 규모는 약 50억원대 내외의 시장규모가 정답이라는 것. 그러나 제품별 편차를 감안하고 레퍼런스 수를 계산하면 대략 70억원 정도를 올해 국내 웹 애플리케이션 보안 시장 규모로 볼 수 있을 것이다.
또 본지가 조사한 <표> 국내 웹 애플리케이션 보안 업체 현황을 보면 내년도 예상 매출액은 각 업체들마다 30억원 이상씩 책정하고 있어 내년 시장에 대한 기대가 크다는 것을 알 수 있다. 관련 전문가들은 올초 이야기했던 300억원대 시장은 올해는 시기상조였으며, 내년경 가능할 것으로 전망하고 있다. 한 업계의 전문가는 “지난해에 비해 올해 고객들의 웹 보안 제품이 무엇인지에 대한 인식이 높아졌고 공공 등을 중심으로 웹 보안의 필요성에 대한 지적이 늘어가고 있다”며 “2006년에는 공공 기관을 중심으로 웹 보안의 수요가 본격 확산될 것”이라고 언급했다.
시장조사 기관인 가트너 그룹은 2006년까지 전 세계 2천대 글로벌 기업의 약 75% 이상이 기존 방화벽을 애플리케이션 방화벽으로 교체할 것으로 예측하고 있다. 또 프로스트 & 설리반의 ‘2005년 세계 웹 애플리케이션 방화벽 시장’에 대한 보고서에 따르면 세계 웹 애플리케이션 방화벽 시장은 지난 2003년 약 2천90만 달러에 이르던 것이 2004년 66.5% 성장해 약 3천4백80만 달러에 달했다고 밝혔다. 세계 웹 방화벽 시장은 2004년부터 오는 2011년까지 매년 약 52.1%씩 성장해 2011년 약 6억5천6백20만 달러에 이를 것으로 프로스트 & 설리반은 내다봤다.
국내의 보안 전문가들은 “오는 2006년부터 향후 2~3년간 국내 웹 보안 시장은 각종 웹 해킹 관련 사고의 증대와 다양한 웹 보안 제품의 등장에 따라 춘추전국시대를 형성할 것”이라며 “그 후 경쟁력과 시장성을 확보하는 2~3개의 솔루션을 근간으로 국내 웹 보안 시장이 주도될 것이다. 또한 기존의 대형사이트에서 중소형(SMB)로의 도입이 이행, 2006년 이후 시장확대가 가속화될 것”이라고 내다봤다.
<표> 국내 웹 애플리케이션 보안 시장 현황
<자료: NETWORK TIMES>
성능은 높게·기능은 뛰어나게·가격은 낮게
프로스트 & 설리반의 ‘2005년 세계 웹 애플리케이션 방화벽 시장’ 현황 보고서에 따르면 웹 보안 시장의 성장을 위한 세 가지 요소로 ‘주요 비즈니스 애플리케이션에 대한 철저한 방어, 새로운 표준(기술)의 제정, 웹 서비스의 흡수’를 꼽았다. 또한 시장 성장을 저해하는 요소 3가지는 ‘리딩 벤더의 부재, 시장 인식의 부족, 채널의 이해 및 경험 부족’을 지적했다. 이와 함께 프로스트 & 설리반이 주목한 세계 웹 방화벽 시장의 주요 리딩 벤더는 테로스, F5네트웍스, 넷컨티넘, 임퍼바, 체크포인트, 데니올(DenyAll), 마이크로소프트 등이다. 또 강력한 도전자로 멀티넷(MultiNet), 이아이 디지털 시큐리티(eEye Digital Security), 센트리웨어(Sentryware), 브렌치 시큐리티(Breach Security), 어레이네트웍스(Array Netware), 셀렉션스(Secluttins) 등을 꼽았다.
국내 시장은 지난해 본지가 조사할 당시(2004년 10월) 호스트 기반의 웹 방화벽이 주류를 이뤘다. 에스티지시큐리티가 호스트 기반 웹 방화벽/스캐너 ‘인터두, 스캔두’를 한국후지쯔가 역시 호스트 기반 웹 방화벽/스캐너 워치파이어의 ‘앱쉴드, 앱스캐너’를 국내에 내놓았다. 이중 에스티지시큐리티는 카바도가 DB보안업체인 프로테그리티에 인수, 합병됨에 따라 잠시 상황을 주시하고 있으며, 워치파이어는 F5네트웍스에 인수돼 F5의 트래픽쉴드와 통합작업을 진행중이다.
또 ASIC 기반 하드웨어 어플라이언스형 웹 방화벽 넷컨티넘과 테로스가 각각 안철수연구소와 삼양데이타시스템을 총판으로 국내에 진출했는데 ASIC 기반의 하드웨어 어플라이언스 형태를 선호하는 고객들의 입맛에 맞춘 제품이라는 평가와 함께 공급 호조를 보이고 있다. 하지만 보다 높은 성능을 원하는 고객들의 요구에 따라 테로스와 넷컨티넘 모두 성능 업그레이드를 꾸준히 진행, 연내 새로운 제품을 내놓는다는 계획이다.
또 역시 호스트 기반의 웹 방화벽을 자체 개발, 출시했던 듀얼시큐어 ‘아스록’은 최근 기가급 성능을 지원하는 게이트웨이형 장비를 출시했다. 싸이버텍홀딩스도 호스트 기반 제품에서 게이트웨이형 제품으로 포커스를 바꾸고 임퍼바의 성능을 강화했으며 F5네트웍스는 웹 보안 전문업체 매그니파이어에 이어 워치파이어까지 인수하며 퍼포먼스와 기능을 향상시킨 웹 방화벽 전용 제품을 출시, 국내외 시장을 평정하겠다는 야심을 보이고 있다.
한편 웹 보안 제품을 정리, 사업을 포기한 업체도 있다. 베니트(구 라이거시스템즈)는 리베로정보기술과의 제휴로 출시했던 ‘제로스가드’의 독자 판매를 중단하고 자사 SI 사업의 한 부분으로 편입시켰으며, 디지털아키텍트가 공급하던 센트리웨어의 ‘하이브’는 판매 부진으로 영업이 중단된 상황이다.
국산 제품 ‘속속’ 출시
이와 상반되게 신규 제품을 출시하며 새롭게 시장에 도전장을 낸 업체들도 상당수다. 연초 펜타시큐리티, 이니텍 등이 웹 방화벽을 출시하며 외산 일색이던 웹 애플리케이션 보안 시장에 국산화의 바람을 일으켰고 뒤이어 모니터랩이 웹 방화벽 ‘웹 인사이트’를 출시했다. 지난 9월 엑스퍼넷이 자사 '레드엑스 IPS'의 시리즈로 자체 개발한 웹 방화벽 ‘레드쉴드’를 내놓았으며, 지난달 잉카인터넷도 웹 방화벽 ‘웹 프로텍터’를 출시, 경쟁에 가세했다. 또 국내 파이오링크의 L7스위치에 웹 보안 기능을 올린 아이자이어로보틱스의 웹 방화벽 ‘웹 시큐어’도 국산화에 한몫하고 있다.
이렇게 사라진 업체들과 새롭게 제품을 출시하는 업체들을 살펴보면 시장의 흐름을 엿볼 수 있다. 웹 애플리케이션 보안 시장의 초기 흐름을 주도했던 호스트 기반(소프트웨어 형태) 웹 방화벽이 하드웨어 형태의 어플라이언스 일체형 제품으로 변화됐다는 것. 또 한걸음 더 나아가 하드웨어 어플라이언스 일체형 제품은 보다 높은 성능을 요구하는 고객들의 입맛에 맞춰 스위치 기반 하드웨어 플랫폼으로까지 올라가는 추세다. 관련 전문가들은 특히 국내 시장에서 하이 퍼포먼스에 대한 요구가 강하다고 언급한다.
업계의 한 관계자는 “연초부터 웹 애플리케이션의 취약성이 널리 알려지기 시작하며 웹 전용 보안제품에 대한 관심 역시 높아졌으나 실제적으로 도입된 사례가 적었던 데는 고객이 기대하는 만큼의 성능이 뒷받침되지 못했던 것”이라며 “장비를 실제 고객 사이트에 걸면 부하를 견디지 못하고 중단되는 사태가 일어나 대용량 트래픽도 견딜 수 있는 고용량 제품이 나와줘야 웹 방화벽의 실질적인 확산을 기대할 수 있을 것”이라고 언급했다. 또 고용량뿐만 아니라 뛰어난 탐지능력을 가진 제품 역시 고객은 원한다. 퍼포먼스가 아무리 좋아도 웹 취약점을 탐지하기 위해 걸어둔 제품이 ‘OWASP에서 지정한 웹 애플리케이션의 10대 취약점’조차 막아내지 못한다면 무용지물이라는 것. 게다가 기존 보안제품보다 상대적으로 비싼 웹 애플리케이션 보안 제품들의 가격 역시 확산의 걸림돌이었다.
그러나 올해 연말을 기점으로 이런 문제점들이 조금씩 해소되며 내년경 웹 보안 시장은 본격 성장을 맞을 조짐이다. 하드웨어 플랫폼의 고도화로 고용량 제품이 속속 출시되고 있으며 보안 탐지 기능 역시 벤더별로 업그레이드가 꾸준히 진행되고 있다. 가격 또한 벤더간 경쟁의 틈바구니속에 내려가는 추세라 내년경 웹 애플리케이션 보안은 범용적인 보안제품으로 고객들과 만나는 기회를 맞을 것으로 전망된다.
--------------------------------------------
웹 애플리케이션의 10대 취약점
1. 입력값 검증 부재: 웹 요청 정보가 웹 애플리케이션에 의해 처리되기 전에 적절한 검증이뤄지지 않는다. 공격자는 이 취약점을 이용해 웹 애플리케이션의 백엔드 컴포넌트를 공격할 수 있다. (공격 기법: SQL 구문 삽입, 데이터 노출 및 변조, 공격 도구 업로드, 자바스크립트 검증 우회 등)
2. 취약한 접근 통제: 인증된 사용자가 수행할 수 있는 작업을 적절히 제한하지 않고 있다. (인증 및 권한 우회, 데이터 노출 및 변조)
3. 취약한 인증 및 세션 관리 : 계정 토근과 세션 토큰이 적절히 보호되지 않고 있다. (인증 및 권한 우회)
4. 크로스사이트 스크립팅(XSS) 취약점 : 웹 애플리케이션이 다른 사용자의 브라우저를 공격하는 도구로 사용될 수 있다. (인증 및 권한우회, 바이러스 및 해킹 도구 설치)
5. 버퍼 오버플로우: 웹 애플리케이션 컴포넌트가 사용자의 입력값을 적절히 점검하지 않는 언어로 작성돼 다운될 수 있다. (시스템 명령 실행, DoS, DDoS 등의 서비스 방해 공격)
6. 삽입 취약점: 웹 애플리케이션이 외부 시스템이나 자체 OS에 접근할 때 입력받은 인자를 그대로 전달한다. (시스템 명령 실행, 외부파일 실행 공격)
7. 부적절한 에러 처리: 일상적인 운용과정중에 발생하는 에러 상황에 대해 적절한 처리가 이뤄지지 않는다. (데이터 노출, 인증 및 권한 우회, DoS, DDoS 등의 서비스 방해 공격)
8. 취약한 정보 저장 방식: 웹 애플리케이션은 정보나 인증관련 토큰을 보호하기 위해 암호화를 자주 사용하지만 암호화는 기능이나 코드를 적절히 구현키 어렵다. (인증 및 권한 우회, 데이터 노출 및 변조)
9. 서비스 방해 공격: 공격자가 다른 정당한 사용자가 사이트에 접속하거나 애플리케이션을 사용하는 것을 방해하기 위해 웹 애플리케이션의 리소스를 고갈시킬 수 있다. (인증 및 권한 우회, 데이터 노출 및 변조, 시스템 명령 실행)
10. 부적절한 환경 설정: 강화된 서버 환경 설정 표준을 보유하는 것은 안전한 웹 애플리케이션에 있어 중요한 부분이지만 벤더 출하시 기본적으로 안전치 않은 상태로 출시된다. (데이터 노출 및 변조, 시스템 명령 실행)
<자료: OWASP, 2004년 1월>
--------------------------------------
공공·금융·포털 등 도입 움직임 ‘활발’
우선 관련 업체들이 가장 주 타깃으로 삼고 있는 고객군은 공공과 금융, 웹 서비스의 비중이 높은 인터넷 쇼핑몰, 포털사이트, 게임사이트 등이다. 본지가 조사한 <표> 국내 주요 웹 보안 업체 현황을 봐도 관련 업체들이 주타깃으로 첫손에 꼽고 있는 곳이 공공, 금융, 포털 등임을 알 수 있다. 실제적으로 웹 보안제품을 도입한 사이트도 보안상 고객들이 실명을 밝히기는 꺼리지만 공공과 금융 등이 다수를 차지한다. 포털, 게임 등은 아직 대용량 트래픽을 견뎌낼 만한 제품이 없다며 웹 보안 제품의 도입을 망설이는 형편이지만 해킹 등 웹 침해사고로 인해 웹 보안 제품을 가장 목말라하는 사이트라는 점에서 관련 업계의 구미를 당기게 하는 고객군이다.
본지의 조사에 의하면 삼양데이터시스템이 총판을 맡고 있는 ‘테로스’ 웹 방화벽이 약 30여개의 레퍼런스를 보유, 2005년 10월말 현재까지 가장 많은 레퍼런스를 보유한 것으로 조사됐다. 테로스의 국내 총판인 삼양데이터시스템은 지난해부터 법제처, 대검찰청, 국방부, 해양경찰청, 한국정보진흥원, 인터넷침해사고대응센터, 삼성물산, AIG생명보험, 수협중앙회, 안동과학대, 남서울대학교, 광운대학교 등 약 30여개 사이트에 테로스를 공급했다.
삼양데이터시스템 NI사업팀 김종훈 부장은 “올해까지는 공공과 교육 기관에 주로 공급, 활용토록 했으나 내년부터는 일반기업과 인터넷 사업자 등에 대한 시장활성화를 준비하고 있다”며 “가격과 성능의 조화를 이룬 테로스가 고객이 원하는 바를 적절히 충족시켜 인기를 얻게 된 것 같다. 성능강화로 내년에도 성장세를 이어갈 것”이라고 언급했다.
테로스는 ASIC 기반의 SSL 가속기능을 지원하며, 양방향 웹 트래픽 환경에서 해커의 공격을 실시간으로 차단, 트래픽의 헤더와 패이로드를 모두 검사해 자체적으로 구성함으로 보안성능을 향상시키고 SSL의 완벽한 검사를 위해 스트림 단위로 트래픽을 분석한다.
또 테로스의 3대 학습엔진은 애플리케이션의 동작을 자동적으로 학습해 보안정책을 제시하며 OWASP에서 지정한 10가지 웹 애플리케이션 공격방법은 물론 16가지 이상의 애플리케이션 취약성으로부터 고객 사이트를 보호해준다. 현재 테로스는 엔터프라이즈용 ‘테로스 200’부터 ‘테로스 100’ 그리고 최근 SMB용으로 출시한 '파이어라인(FireLine)'까지 고객 상황에 유연하게 적용할 수 있는 제품라인을 갖추고 있다. 또한 테로스 본사에서 그간 한국 고객들이 테로스의 불만으로 지적해온 성능 문제를 해결코자, TPS 성능을 개선한 고용량 제품을 내년 4월경 출시할 계획이다. 삼양데이터시스템은 자사가 보안전문회사가 아니라는 약점을 관제사업자와의 협력 등 제휴를 통해 해결해나가며, 웹 보안 ASP 서비스 등도 준비중이다. 이를 통해 약 2년간 테로스 사업에서 얻은 노하우를 펼쳐 지속적으로 테로스를 근간으로 한 보안 부분 매출을 끌어올린다는 계획이다.
▲ 삼양데이터시스템이 공급하는 ‘테로스’. (테로스)
‘넷컨티넘(NetContinuum)'의 웹 애플리케이션 방화벽 ‘NC-1000'으로 한국전산원, KINTEX, 군인공제회, 국립중앙도서관, 엔씨소프트 등 약 10여개의 레퍼런스를 보유한 안철수연구소(대표 김철수)도 보안에 민감하고 트래픽 양이 많은 전자상거래, 대형 엔터프라이즈를 중심으로 영업을 강화해나갈 방침이다.
안철수연구소 보안영업팀 한명호 과장은 “확보된 채널을 중심으로 전문적인 기술영업을 지속적으로 진행할 방침이며 연내로 출시될 예정인 기존 장비보다 평균 10배 이상 성능이 개선된 NC-2000 장비로 포털, 게임사, 전자상거래 업체 등에 적극 영업해나갈 것”이라고 언급했다.
안철수연구소는 넷컨티넘 도입 초기에는 전문팀을 운영해 한정된 대기업군을 타깃으로 영업했지만 지금은 모든 안철수연구소 영업대표들이 각 담당 고객군을 대상으로 전방위 영업을 진행중이라고 강조했다. 또한 美 넷컨티넘 본사에서도 한국 시장의 규모 증가에 발맞춰 한국고객의 요구를 차기제품에 적극 반영하고 있다는 것. 이런 노력의 결실로 국내의 요구가 반영된 신제품이 연내로 출시될 예정이며, 오는 2006년 1/4분기에도 보안 기능 및 사용 편이성이 대폭 증가된 신제품이 속속 출시될 계획이다.
넷컨티넘은 웹 애플리케이션 방화벽의 취약성인 퍼포먼스를 해결하기 위해 ASIC 기반으로 개발됐으며 서버로드밸런싱, L4~7 서버 헬스체크, TCP 풀링과 캐싱, 가용성을 보장해주는 액티브-액티브/액티브 패시브 페일오버 등의 기능을 보유하고 있다.
인라인 모드와 원암모드(one-armed) 모두를 지원하며 자체 스캐너는 없지만 타 애플리케이션 스캐너와 연동을 통한 정책설정도 지원하며 자기학습기능으로 정책설정을 도와준다.
▲ 안철수연구소가 공급하는 ‘넷컨티넘’. (안철수.JPG)
한편 아직까지 국내 레퍼런스는 많지 않지만 고성능, 고용량 제품을 원하는 국내 고객들의 입맛에 맞는 제품을 내놓을 만한 저력을 보유하고 내년 시장을 준비하고 있는 F5네트웍스의 행보도 내년 웹 보안 시장의 변수다. 지난해 웹 보안 전문업체 매그니파이어를 인수하고 자사 제품과의 통합으로 웹 방화벽 ‘트래픽쉴드(TrafficShield)’를 출시했던 F5네트웍스는 지난해 본지(美 네트워크 컴퓨팅)의 웹 애플리케이션 성능 비교 테스트에서 에디터즈초이스를 받은 워치파이어(쌩텀)까지 인수하며 웹 보안 시장의 준비된 강자임을 내세운다.
F5네트웍스코리아(대표 남덕우)는 지난 5월부터 국내에서 트래픽쉴드를 본격 영업하기 시작해 아직 기대만큼의 성장은 이루지 못했다. 하지만 워치파이어의 ‘앱쉴드, 앱스캔’과의 기술통합으로 보다 정교하며 빠른 속도의 웹 방화벽 제품의 탄생이 가능, 국내 고객의 눈높이에 맞춘 제품이 나올 것으로 기대하고 있다.
F5네트웍스코리아 이광림 이사는 “매그니파이어, 워치파이어의 뛰어난 웹 보안 기술력과 F5의 트래픽 관리 기술의 결합으로 고객이 원하는 속도와 기능의 양측을 모두 제공할 수 있는 기반을 갖추게 됐다”며 “트래픽쉴드가 속도 등의 고용량 트래픽 처리면에서 타 벤더보다 우수했지만 세밀한 웹 보안의 침입탐지, 방지 기능에는 미흡한 측면이 있었으나 앱쉴드의 기술력으로 이 부분이 보완될 것”이라고 언급했다.
F5네트웍스가 웹 애플리케이션 보안에서 초점을 맞추고 있는 부분은 L7 스위치와 웹 애플리케이션의 결합이다. 최근 출시된 L7 스위치인 ‘BIG-IP 6400’과 웹 애플리케이션 보안 솔루션인 ‘트래픽쉴드 4100’이 결합된 신제품 ‘BIG-IP 6400ASM’으로 국내 시장을 선도한다는 것. 이 장비는 앱쉴드를 인수하고 첫 번째로 내놓은 제품이라 기존 트래픽쉴드 4100보다 최고 10배 이상의 성능을 낸다고 F5네트웍스는 밝혔다.
나아가 F5는 내년경 이미 결합된 두 솔루션에 SSL VPN 솔루션인 ‘파이어패스’를 탑재함으로써 F5의 3가지 솔루션을 한 박스에 통합할 계획이다. 이 통합제품을 통해 애플리케이션 레벨의 엔드 투 엔드 솔루션을 제공함으로써 L7 스위치 시장과 기술을 선도하는 대표기업으로 자리매김한다는 방침이다.
▲ F5네트웍스 ‘트래픽쉴드 4100’. (F5네트웍스)
S/W 기반은 가라, ‘어플라이언스형 각광’
웹 애플리케이션 보안 시장에서 선발업체로 다수의 레퍼런스를 확보하며 선전했던 듀얼시큐어코리아 등도 성능 향상에 대한 고객들의 요구에 발맞추지 않으면 시장에서 도태될 수 있다는 우려와 함께 최근 하드웨어 어플라이언스형 제품을 출시, 내년 시장을 대비하고 있다.
외산제품의 틈바구니 속에서 선두적으로 제품을 개발, 지난해 초반부터 웹 애플리케이션 보안 시장에 뛰어든 듀얼시큐어코리아(대표 양성화)는 최근 하드웨어 게이트웨이 장비 ‘아스록-100’, ‘아스록-200’을 출시했다. 소프트웨어의 기능은 기존 호스트 기반 아스록과 같지만 기가급에 최대 8포트, 광 인터페이스를 지원하는 것이 이번 신제품의 특징이다.
듀얼시큐어코리아의 송양호 이사는 “국산제품이라는 점과 비교적 시장에 일찍 진출했다는 점에서 경쟁사들보다 많은 이익을 봤지만 아직 시장이 무르익지 않아 어려움도 크다”며 “지난 4월부터 사업이 안정화되기 시작해 올 하반기를 기점으로 내년에는 웹 방화벽 시장의 성장이 기대된다”고 언급했다.
듀얼시큐어코리아는 호스트 기반과 게이트웨이 장비의 두 종류를 라인업하고 곧 SMB용 아스록 게이트웨이 장비를 출시, 고객의 선택을 다양화한다는 방침이다. 또한 내년에는 스팸, 바이러스 전문회사와 제휴를 맺고 아스록에 통합보안기능도 탑재할 계획이다. 현재 인네트를 총판으로 영업하고 있으나 연내에 파트너사를 추가모집해 영업에도 탄력을 붙일 예정이다. 듀얼시큐어코리아가 특히 타깃하고 있는 시장은 공공이다. 국내 제품의 특성을 살려 CC인증을 완료하고 공공, 범정부 사업, 학내망 등의 사업을 전개할 계획이다.
송 이사는 “연말에 공공의 예산작업이 상당히 많은데 지난해와 달리 웹 애플리케이션 보안 장비를 예산에 편성하는 사례가 늘어 달라진 분위기를 실감하고 있다”며 “3년 이내에 기존 방화벽 시장만큼 웹 방화벽 시장도 커질 수 있을 것으로 보고 앞으로도 웹 방화벽 전문 업체로 기술개발에 매진할 것”이라고 강조했다. 듀얼시큐어코리아는 현재까지 정통부, 중부발전, 교육개발원, LG텔레콤 등에 아스록을 공급했으며, 올해 9억원 내년 약 40억원의 매출을 달성할 계획이다.
▲ 듀얼시큐어코리아 ‘아스록-200’. (듀얼시큐어)
싸이버텍홀딩스(대표 김상배)가 총판을 맡고 있는 임퍼바의 ‘시큐어스피어(SecureSphere)’도 제품 출시 당시에는 호스트 기반의 제품이었으나 4.0 버전이 출시되면서 하드웨어 어플라이언스 형태는 물론 기가급 성능을 지원하는 제품으로 바뀌었다. 특히 TP(TransParent) 모드로 네트워크 구성상의 변경이 없는 것은 물론 기존의 프록시 기반과는 달리 DNS, 웹서버, 데이터베이스 설정까지 바꿔야하는 어려움이 없다.
싸이버텍홀딩스 보안영업팀 한명호 과장은 “전형적인 TP모드 지원으로 설치가 간편하고 바이패스 카드를 이용한 무정지 시스템 등 인라인으로 고객 사이트에 설치돼도 안정성을 보장하기 때문에 고객들이 선호한다”며 “각 산업군에 대한 주요 레퍼런스 발굴과 전방위 영업으로 고객확보에 힘쓸 것”이라고 언급했다. 또한 사이버텍홀딩스는 웹과 함께 연동되는 데이터베이스 부분에 대한 보안 이야기가 자주 접해지는 것에 착안, 자사의 웹보안 기술에 데이터베이스 보안 기술을 접목해 고객에게 보다 높은 가치를 주는 방향으로 차별화할 방침이다.
▲ 싸이버텍홀딩스가 공급하는 ‘시큐어스피어 4.0’. (싸이버텍홀딩스)
체크포인트코리아(대표 손선목)의 웹 애플리케이션 보안을 위한 솔루션 ‘웹 인텔리전스’는 체크포인트 ‘VPN-1 프로’, ‘VPN-1 익스프레스’ 등에 탑재되고 웹 보안게이트웨이 ‘커넥트라(Connectra)' 등에도 탑재돼 공급되고 있다. 특히 체크포인트는 커넥트라와 같은 게이트웨이에 탑재된 방식을 국내 고객들이 선호함에 따라 웹 인텔리전스를 탑재한 커넥트라의 영업에 박차를 가하고 있다.
체크포인트코리아 김성철 차장은 “지금까지 웹 방화벽을 필요로 하는 고객은 거의 캐리어급의 대형사업자들인데 이들을 만족시킬만한 대용량 제품이 없었다는 것이 문제”라며 “제품과 시장사이의 괴리를 타개하며 시장을 리딩하는 업체가 등장해야만 국내 웹 애플리케이션 보안 시장이 활황을 맞을 수 있을 것”이라고 언급했다.
또 김 차장은 “기존 체크포인트 제품을 사용중인 고객들을 대상으로 DM 작업을 실시, 웹 방화벽에 대한 인지도를 높일 방침이다”며 “커넥트라는 기존에 사용중인 방화벽 등에서 약간의 업그레이드만 가미하면 손쉽게 웹 방화벽으로의 전환이 가능하기 때문에 기존 고객들이 선호할 것”이라고 덧붙였다. 또한 체크포인트는 웹 보안 전용제품인 커넥트라에 대해서도 신규 고객을 대상으로 DM 및 세미나를 개최, 인터넷포털, 금융, 엔터프라이즈, 대학 등의 다양한 고객군을 섭렵할 방침이다.
▲ 체크포인트 ‘커넥트라’. (체크포인트)
웹 보안 ASP 서비스, ‘곧 만날 수 있다’
반면 이스라엘 카바도와 웹 보안 솔루션 국내 총판 계약을 체결하고 국내 웹 보안 시장의 포문을 열었다고 해도 과언이 아닐 정도로 웹 보안 사업을 일찍 시작했던 에스티지시큐리티(대표 문재철)는 올초 여러 가지 문제들로 인해 어려움을 겪었다. 우선 고객들의 어플라이언스 형태 제품 선호에 따라 카바도에서 내놓은 하드웨어 일체형 ‘인터두 플러스’가 기대만큼의 성능을 내지 못해 오히려 기존 호스트 기반 인터두보다 성능이 좋지 않았던 것. 이에 에스티지시큐리티는 인터두 플러스보다 기존 인터두의 판매에 당분간 더 힘을 쏟는다는 방침이다.
또한 카바도가 DB전문업체인 프로테그리티에 인수, 합병됐고 에스티지시큐리티내의 웹 보안 전문 인력들의 이동으로 인해 잠시 공백기가 있었지만 올 하반기부터 웹 보안 사업을 재정비, 내년 시장에 대비한다는 각오다.
에스티지시큐리티는 보안컨설팅 전문회사인 만큼 컨설팅 분야의 장점을 살려 컨설팅적인 접근을 시도한다는 계획이다. 에스티지시큐리티 전략기획본부 김양욱 이사는 “웹스캐너, 웹 방화벽, 취약점 진단 컨설팅 및 진단 서비스를 결합해 3가지 방향으로 사업을 개시할 방침이다”며 “보안 컨설팅에 웹 애플리케이션 보안 컨설팅을 묶어가는 방향, 인터두 웹 애플리케이션 보안 제품 자체를 판매하는 방향, 스캔두를 활용한 웹 취약성 스캐닝 및 사후 고객 조치 방향 컨설팅 등 다각적인 사업을 전개해갈 것”이라고 언급했다.
또 김 이사는 “웹 보안 시장이 커져가겠지만 솔루션과 컨설팅으로 분화돼 갈 것”이라며 “웹 서버가 IDC 등에 대부분 아웃소싱 운영된다는 점을 감안, 관제서비스 업체들과 결합된 ASP 모델 등 웹 보안 컨설팅, 웹 보안 ASP 모델의 수요가 내년부터 발생할 수 있을 것”이라고 전망했다. 이에 따라 에스티지시큐리티는 자사의 컨설팅, 서비스 노하우를 살려 웹 보안 ASP 서비스를 내년경 출시한다는 방침이다. 현재 에스티지시큐리티는 삼성네트웍스, 국회사무처, SK C&C, 포스코, 우리금융, 현대오토애버, KT 등 약 15개의 레퍼런스를 보유하고 있다.
▲ 에스티지시큐리티가 공급하는 '인터두‘. (에스티지시큐리티)
국산 웹 스캐너 전문업체인 패닉시큐리티(대표 신용재)도 웹 애플리케이션 보안 ASP 서비스를 준비중이다. 패닉시큐리티 신용재 사장은 “웹 방화벽을 도입하더라도 제대로 된 정책을 세워서 운영하기에는 전문 인력 부족 등으로 어려움을 겪는 경우가 많고 웹 환경의 변화 등에 따라 신속하게 변경을 적용해주기가 현실적으로 힘들다”며 “따라서 웹 애플리케이션 보안은 서비스의 개념으로 가는 것이 정답이다. 패닉시큐리티는 내년경 보안서비스를 준비, 출시할 예정”이라고 언급했다.
패닉시큐리티는 자사의 스캐너는 물론 시중에 출시하지는 않았지만 자체 개발한 방화벽 제품을 보유하고 있어 이를 활용한 ASP 서비스를 개시하겠다는 계획이다. 또한 중국, 미국을 타깃으로 해외진출을 준비, 해외시장에서 승부를 걸어볼 방침이다.
신 사장은 “자바 스크립트에 강한 자사의 웹 취약점 스캐너 ‘PS 스캔(Scan) W3B'의 특성에 따라 국내 환경처럼 화려한 웹 페이지를 선호하는 미국, 중국 등에서 선호될 수 있을 것”이라며 “누구나 저렴한 비용으로 손쉽게 쓸 수 있는 ASP형 웹 보안 서비스와 해외진출로 내년 한단계 도약할 방침”이라고 강조했다.
▲ 패닉시큐리티 ‘PS 스캔W3B'. (패닉시큐리티)
이렇게 웹 방화벽 솔루션을 활용한 ASP형 웹 보안 서비스를 준비하고 있는 업체는 에스티지시큐리티와 듀얼시큐리티만은 아니다. 삼양데이터시스템, 엑스퍼넷, 모니터랩 등 다수의 웹 애플리케이션 보안 솔루션을 보유한 회사들이 관제회사와 손잡고 ASP형 웹 보안 서비스를 출시할 계획을 추진중이다. 그러나 ASP 웹 보안 서비스가 아직 국내 시장에서는 좀 이르지 않느냐는 우려의 목소리도 만만치 않다.
아직 웹 보안 솔루션 자체에 대한 인지도도 고객들에게 그다지 높지 않은 상태에서 눈에 보이지 않는 서비스에 돈을 내고 이용할 고객이 있을 것이냐는 것. 한 업계의 관계자는 “웹 방화벽 제품의 해킹 차단이 기대만큼 눈에 보이지 않으면 효과에 대해 절감하지 못하는 고객들이 많은데, 유료서비스의 형태로 웹 보안이 제공된다면 얼마나 많은 고객들이 돈을 내고 이용할 수 있을지 의문”이라며 “최근 넷시큐어에서 웹 보안 관제서비스를 출시하는 등 관제서비스 업체들이 부가서비스의 하나로 웹 보안을 주목하고 있지만 고객이 원하는 서비스가 무엇인지, 서비스 모델과 가격 등 세심한 사전준비가 선행돼야할 것”이라고 지적했다.
국산업체들 맹추격, ‘2006년엔 우리가 접수한다’
이처럼 지난해부터 국내 웹 애플리케이션 보안 시장을 넓히기 위해 애쓰던 국내외 업체들의 치열한 시장 경쟁앞에 올초부터 새롭게 웹 애플리케이션 보안 제품을 출시하고 내년 시장에서 한판승부를 예고하는 후발업체들이 속속 등장하고 있다.
먼저 펜타시큐리티(대표 이석우)가 올해 초반 웹 보안 게이트웨이 ‘와풀(WAPPLESecurity Gateway)’을 출시하고 웹 보안 시장에 도전장을 냈다. 펜타시큐리티는 외산보다 쉬운 관리와 가격경쟁력 등을 내세워 공공 시장부터 공략해나갈 방침이다. 400Mbps급의 속도를 지원하는 2포트의 ‘와풀-100’, 최고 1.2기가를 지원하는 4포트급의 ‘와풀-1000’ 두 종류의 와풀시리즈는 웹 공격에 대한 3중 방어망을 구성하며 바이패스 기능 등으로 안정성을 제공한다.
펜타시큐리티 이석우 사장은 “웹 공격은 바이러스처럼 일상화돼가고 있으나 고객들이 느끼지 못하는 경우가 많다”며 “와플은 급증하는 웹 공격에 대한 효과적인 해결책을 제공하며, 직관적이고 간편한 보안정책의 설정을 통해 웹 공격을 차단할 수 있어 사용하기 편한 웹 보안 솔루션을 찾는 국내 고객들에게 적합한 대안이 될 것”이라고 언급했다.
특히 펜타시큐리티는 자사의 웹 암호화 제품 ‘아이작 웹’, DB보안 제품 ‘디아모’ 등을 와풀과 연동해 웹 보안에 대한 패키지로 특화한다는 방침이다. 이들 제품라인을 이용해 펜타시큐리티는 향후 웹 서비스 보안을 위한 솔루션 개발 및 서비스 제공도 계획하고 있다. 이 사장은 “펜타의 전략은 웹 방화벽 하나만이 아니다. 웹이 유비쿼터스되고 컨버전스되는 IT발전의 한 요소라고 보고 DB보안, 웹 암호화 등과 연동해서 지속적인 서비스를 제공할 것”이라고 강조했다.
▲ 펜타시큐리티 ‘와풀’. (펜타시큐리티)
지난 2월에 웹 애플리케이션 보안 전문회사를 표방하며 설립된 모니터랩(대표 이광후)은 ‘웹 인사이트(Web Insight)' 웹 방화벽을 내놓고 패킷 인스펙션 기반의 웹 보안 기술에 특화한다는 방침이다. 모니터랩 이광후 사장은 “웹 보안은 회사의 창업전략과 연관된 것으로 고유한 웹 프락시 엔진을 개발, 네거티브 시큐리티 모델과 포지티브 시큐리티 모델을 동시에 수행하는 것이 특징”이라며 “최근 중소기업청장상을 받는 등 기술력에 있어서 인정받고 있어 내년경 본격화될 웹 보안 시장에서 우위를 차지할 수 있을 것”이라고 언급했다.
웹 인사이트는 패스트 이더넷 모델 'W1-100‘, 기가급 모델 ’W1-1000' 두 가지로 구성돼 있으며 페일 오픈 기능으로 장애시 웹 트래픽 바이패스 및 기존 네트워크 구성 변경없이 신속한 복구가 가능하다.
모니터랩은 우선 공공 등을 중심으로 인지도를 확산시키며, IDC 등 웹 호스팅 업체들과 연계해 웹 보안 서비스 등을 준비해나갈 계획이다.
▲ 모니터랩 ‘웹 인사이트’. (모니터랩)
역시 지난 2월 웹 애플리케이션 보안 제품 ‘웹 시큐어(WebSecure)'를 개발, 출시한 아이자이어로보틱스(대표 김태봉)는 파이오링크의 L7 스위치위에 웹 애플리케이션 보안 기술을 올린 것이 특징이다. 이에 L7 스위치의 쓰루풋을 낼 수 있어 최고 사양의 제품인 'N-5000P'의 경우 약 3Gbps의 속도, 18기가 포트를 지원하는 등 빠른 처리능력을 자랑한다. 400M급 ’N-1400P'와 800M급 ‘N-1800P', 1.2Gbps 'N-3200P' 등으로 구성된 웹 시큐어 제품군은 순수 국내 기술로 개발돼 커스트마이징이 손쉬워 신속한 장애 대응 등이 가능하다.
아이자이어로보틱스의 김태봉 사장은 “최근 하나로텔레콤에서 실시한 BMT에서 1위를 차지하는 등 제품의 성능을 인정받았다”며 “뛰어난 성능과 아이자이어의 독보적인 기술인 추적기능 등으로 차별화할 계획이다. 또 CC인증을 곧 체결하고 국내 제품을 선호하는 공공 등을 중심으로 기반을 넓혀갈 것”이라고 언급했다.
또 아이자이어로보틱스의 웹 방화벽 제품군이 하이엔드 중심이라 SMB용 모델을 오는 4/4분기에 출시할 계획이다. 즉 하이엔드는 L7기반의 고성능 제품, SMB는 서버기반의 저가형 모델로 대응한다는 것. 특히 아이자이어네트웍스는 자사의 해킹 및 공격 근원지를 색출 가능한 실시간 자동 추적기술의 선호도가 높아 추적기술 때문에 자사의 웹 방화벽을 선택하는 경우가 많으며 추적기술만을 따로 원하는 고객도 상당해 내년 시장에서의 성장을 기대하고 있다.
▲ 아이자이어로보틱스 'N-5000P'. (아이자이어)
이니텍(대표 김재근)도 연초 웹 애플리케이션 보안 솔루션 업체인 패닉시큐리티와 제휴, 공동으로 웹 방화벽 ‘이니세이프 월(Inisafe Wall)'을 개발했다. 이니세이프 월은 기존 외산 제품과 달리 필터 형식으로 암호화된 패킷도 처리 가능, PKI 공인인증서 사용이 많은 국내 금융, 공공 등의 사용자 특성에 맞게 개발된 것이 특징이다.
이니텍의 김재근 사장은 “국내에 들어온 외산 웹 방화벽은 대부분 프록시 형태로 서버앞단에서 패킷을 분석해 차단할지 통과시킬지를 결정하는 제품인데 반해 이니세이프 월은 필터 형식으로 WAS에서 바로 데이터를 뿌려주기 때문에 PKI가 적용된 암호화된 데이터도 쉽게 처리할 수 있다”며 “그간 금융, 공공 등에서 웹 방화벽에 대한 요구가 높았지만 PKI 공인 인증을 활용하기 어렵다는 불만사항이 많아 국내 시장에 맞춘 제품 특성을 살려 공공, 금융 등에 적극 공략할 것”이라고 밝혔다.
인지도 강화, 기존 고객중심으로 기반 넓힐 것
또 올 하반기 들어 웹 방화벽을 출시하고 내년 시장을 대비하는 회사들도 상당수다. 엑스퍼넷(대표 이종경)은 지난 9월 자사의 IPS '레드엑스 IPS'의 시리즈로 웹 애플리케이션 보안 제품인 ‘레드쉴드(RedShield)'를 내놓고 고객요구사항에 신속한 대응 및 커스트마이징을 준비했다. 기존에 F5네트웍스의 트래픽쉴드 및 넷컨티넘을 영업하고 있던 엑스퍼넷은 외산 제품만으로는 다양한 고객들의 커스트마이징 요구에 즉각 대응하기 어렵고 고객들의 선택의 폭을 넓히기 위해 자체 기술력을 응용, 자체 개발품을 출시하게 됐다.
레드쉴드는 호스트 기반 제품과 네트워크 어플라이언스 형태 제품 두 가지 종류로 출시됐으며 자체 기술로 개발된 제품인 만큼 신속한 대응 및 고객환경에 맞는 커스트마이징 능력을 최고의 장점으로 꼽는다.
엑스퍼넷 이종경 사장은 “콘텐츠 네트워킹과 보안 분야의 장점을 살려 웹 보안의 엔지니어 능력, 컨설팅 노하우를 고객들에게 어필할 것”이라며 “자사 개발품부터 외산제품까지 고객의 선택폭을 다양화시키고 여기에 엑스퍼넷 인력의 노하우를 가미시켜 엑스퍼넷과 함께 하면 웹 애플리케이션 보안을 원스톱으로 끝낼 수 있다는 인식을 심어줄 방침”이라고 언급했다.
▲ 엑스퍼넷 ‘레드쉴드’. (엑스퍼넷)
또 지난 10월말 SSL VPN 전문업체인 토리넷과의 기술제휴로 웹 애플리케이션 보안 제품‘엔프로텍트 웹 파이어월(nProtect WebFirewall)’, ‘엔프로텍트 웹 스캔(nProtect WebScan)을 개발한 잉카인터넷(대표 주병회)은 이번 웹 보안 제품 출시를 계기로 기존 PC보안 중심에서 서버보안까지 영역을 확대한다는 계획이다.
잉카인터넷 엔진개발센터 고동훈 과장은 “앱 스캔은 잉카인터넷에서 자체 개발하고 웹 방화벽은 하드웨어 노하우를 가진 토리넷과 공동개발했으며 영업, 마케팅의 총괄은 잉카에서 전담할 예정”이라며 “연내 레퍼런스를 확보하는 것이 목표이며 본격적으로 내년 웹 보안 시장에서 승부를 낼 것"이라고 언급했다. 특히 잉카인터넷은 기존 엔프로텍트 안티바이러스 백신 등으로 공공 시장 등에서의 기존 고객이 다양하게 분포하고 있다는 것이 강점이다. 엔프로텍트 시리즈의 이름을 이은 것도 이런 맥락에서다.
잉카인터넷은 차세대 시장을 준비하는 차원에서 이번 엔프로텍트 웹 보안 시리즈와 게임 보안, PMS 등 다양한 제품라인을 준비, 서버용 제품으로 시장을 확대시킨다는 전략이다.
▲ 잉카인터넷 ‘엔프로텍트 웹 파이어월’. (잉카인터넷)
한편 지난달 공식 국내 시장 진출 발표를 한 블루코트코리아(대표 안승룡)는 기존 캐쉬플로우가 전신으로 웹 보안 전문회사를 표방하며 설립됐다. 그러나 블루코트코리아의 웹 보안은 앞서 언급한 웹 애플리케이션 보안제품들과는 약간 성격이 다르다.
블루코트코리아의 ‘프록시 SG’ 제품군은 광범위한 인터넷 보안 솔루션으로 HTTP, HTTS, 인터넷 메신저, P2P, 안티바이러스, 안티 스파이웨어, 러버스 프록시 등의 기능을 지원한다. 특히 웹 성능을 향상시킴과 동시에 웹 커뮤니케이션 현황을 한눈에 파악하고 관리할 수 있게 하며 통합 캐싱 기능이 탑재된 고객 중심 운영 시스템인 SGOS를 기반으로 블루코트 프록시 SG는 개인 사용자까지 유연하게 정책실행이 가능토록 지원한다.
블루코트코리아 안승룡 지사장은 “리버스 프록시 기능 등이 기존 웹 방화벽과 겹칠 수 있지만 블루코트의 웹 보안은 사용자가 인터넷을 통한 리얼타임 트래픽을 관리하는 솔루션이라고 말할 수 있다”며 “안티 스파이웨어를 필요로 하는 고객에게는 안티 스파이웨어를 부각시키고 리버스 프록시를 필요로 하는 고객에게는 리버스 프록시를 부각시키는 등 제품의 다양한 장점중에서 고객이 원하는 부분에 맞춰 영업할 것”이라고 언급했다.
또 그는 “대용량 트래픽이 오가는 대형 사이트라면 웹 방화벽 전용제품으로 보안해야겠지만 IPS도 없고 웹 방화벽도 없는 중소형 사이트에서라면 블루코트 프록시 SG시리즈 한 대로 웹 서버 보안은 물론 리얼타임 인터넷 웹 트래픽 제어까지 간단히 콘트롤할 수 있다”고 덧붙였다.
지난 5월부터 국내 영업을 본격 개시한 블루코트코리아는 기존 캐쉬플로우 영업 채널이었던 이하이스 등의 활약으로 신한은행, 시티뱅크, 한국토지공사 등 약 12개의 레퍼런스를 확보, 내년도에 본격적인 성장을 도모한다는 방침이다.
▲ 블루코트코리아 ‘프록시 SG’ (블루코트)
웹 보안, ‘이제부터 시작이다’
이렇게 다양한 국내외 업체들이 새로운 블루오션으로 떠오른 웹 애플리케이션 보안 시장을 놓고 오는 2006년 치열한 경쟁을 펼칠 전망이다. 관련업계는 내년이 웹 보안의 본격적인 분수령이 될 것이라며 내년 시장에서 리딩업체가 결정되고 성장이냐, 포기냐의 갈림길을 걷게 될 것이라고 언급한다.
하지만 웹 애플리케이션 보안 시장이 마냥 장밋빛인 것은 아니다. 악성코드, 바이러스, 해킹 등의 침해사고는 갈수록 늘어나지만 웹 서비스를 중단할 수는 없고 열려진 80, 443포트로부터 기업의 주요 웹 서버들을 보호해야한다는 것은 당연하다. 고객들은 기업의 중요 웹 고객들은 웹 보안의 필요성을 느끼고 있지만 웹 보안에 대한 기술이해가 부족하고 운영에 대한 부담감 때문에 도입을 꺼리는 경우가 많다.
특히 웹 방화벽 기술에 대한 표준화가 부재하다는 것은 심각한 문제다. 각각의 제품들마다 방어하는 범위, 주요 기능, 설치 구성 방법 등이 각기 다르기 때문에 고객들이 제안사를 접할 때마다 혼동을 일으킨다는 것. 따라서 관련 전문가들은 고객사에서 자신이 구축하고자 하는 목표, 네트워크 구성방안과 일치하는 제품을 고르는 현명한 선택이 중요하다고 지적한다. 즉 웹 방화벽을 도입하기 전에 자사의 네트워크 환경과 도입목적을 명확히 하고 이에 대한 제반지식을 습득, 각 제품별로 꼼꼼이 비교해보는 고객들의 지혜가 필요하다는 것이다.
또 웹 해킹 등의 다양한 침해공격에 대한 정보가 일반적으로 부족하고 기존 보안 장비 및 솔루션들로 이를 충분히 막아낼 수 있을 것이라는 보안 제품의 각 역할에 대한 명확한 정의 부족, 스캐너 솔루션과 실질적 보안 솔루션과의 차이 인식 부족 등 웹 전용 보안 제품에 대한 인식부족 등도 시장 성장의 걸림돌이다.
고객들의 웹 방화벽에 대한 인식부족도 문제지만 웹 방화벽에 대한 지나친 기대도 문제다.
한 업계의 관계자는 “방화벽을 설치하기 전에 스캐닝을 하고 설치한 후에 스캐닝을 해봐도 그다지 달라진 점이 안 보이는 경우가 많다”며 “해킹 공격이 항시 일어나는 것이 아니라 만일의 사고를 대비하는 것인데 고객들은 당장 눈에 띄는 변화를 원한다. 물론 아직까지 웹 방화벽의 성능이 고객의 기대치에 못 미치는 경우도 있긴 하지만 고객의 눈높이가 너무 높은 것도 문제다. 웹 방화벽이 만능 솔루션으로 모든 것을 해결해주리라 맹신하는 것도 금물”이라고 언급했다. 또한 웹 방화벽이 자사 사이트에 적응할 충분한 시간을 주는 것도 필요하다고 관련전문가들은 지적한다. 자가학습 기능 등을 적용한 웹 방화벽 제품들이 많은데 자가학습기능은 물론, 장비가 최고의 성능을 발휘하기 위해서는 사이트에서 충분한 시간을 통해 오탐을 줄여가는 과정이 필요하다는 것. 어느 장비든 오탐은 있을 수밖에 없고 오탐을 줄이도록 시간을 두고 다음으로 관리자가 기술적인 지원을 통해 단계적으로 최적의 성능을 낼 수 있도록 커스트마이징해 나가야 한다.
한 전문가는 “웹 방화벽은 커스트마이징이 관건이다”며 “웹 방화벽이 전통적인 방화벽보다 리소스가 훨씬 많이 투입되고 지원이 까다롭다. 국내 고객들의 웹 환경이 자주 변화하고 투입된 소스코드 등도 복잡해 특히 커스트마이징에 많은 힘을 기울여야한다”고 언급했다.
또한 기존 네트워크 보안 등의 전문벤더들이 영업하다보니 웹에 대한 지식이 부족한 것도 어려움이다. 따라서 관련 전문가들은 웹 개발자 등 웹에 대한 풍부한 지식을 소유한 전문가들과의 협업으로 다양한 고객의 요구에 맞춰낼 수 있는 지원능력 등을 보유하는 것도 성공의 열쇠중의 하나일 것이라고 지적하고 있다.
출혈경쟁 자제, ‘절실’
그러나 이런 다양한 문제점들에도 불구하고 지난해보다 웹 방화벽, 웹 애플리케이션 보안의 필요성에 대한 인식이 높아졌다는 것은 부정할 수 없는 사실이다. 지난해까지 관련 벤더들은 웹 보안이 무엇인가를 설명하기 위해 돌아다녔다면 올해부터는 고객이 웹 방화벽이 무엇인지는 인지하고 어떤 제품을 선택할 것인가의 단계로 접어들었다는 것.
특히 올 하반기 공공 등의 예산편성에서 이런 현상은 두드러져 실질적으로 내년경 웹 방화벽을 구입 예산은 공공, 금융, 대형 엔터프라이즈 등을 중심으로 더 확산될 전망이다. 늘어난 업체수요 역시 내년 웹 보안 시장의 성장을 증명하는 반증이다.
하지만 공급업체가 늘어난 만큼 상대적으로 하락한 가격에 관련 업계는 출혈경쟁으로 인한 서비스의 질 저하, 제품의 성능 저하 등으로 고객의 신뢰를 잃을까 걱정된다고 언급하고 있다.
한 업계의 관계자는 “지자체 고객의 경우 가격을 가장 중요시하고 엔터프라이즈 고객은 성능, 신뢰성, 금융은 레퍼런스를 중시한다. 이처럼 고객의 요구사항이 중구난방이다”며 “고객의 요구사항을 모두 맞추기 어렵지만 이중 가장 어려운 것이 가격맞추기다. 원가구조를 무시한채 저 가격을 요구하는 고객들, 그리고 일단 넣고 보자는 업체들의 무분별한 저가경쟁 때문에 수익이 우려된다”고 언급했다. 따라서 시장이 안정세에 들어가기 전까지 각 업체들은 저가, 출혈경쟁보다 시장 자체를 키우는 노력이 선행돼야한다는 것.
웹 애플리케이션은 기존 보안 장비에서 미처 손대지 못했던 새로운 영역이다. 그러나 반드시 보안돼야하는 부분이며 안전한 사용을 보장해야만 한다. 고객들이 웹 애플리케이션을 이용해 안전한 웹 기반의 사업 환경을 조성하고 수익을 거둘 수 있도록 지원하기 위해 웹 애플리케이션 보안 솔루션 관련 업체들은 단순 제품을 판매하고 끝나는 것이 아니라 각 고객 사이트에 맞는 맞춤화된 컨설팅을 제공하기 위한 노력이 그 어느 분야보다 시급하다.
올해 초기 시장을 거쳐 내년경부터 서서히 무르익을 것으로 기대되는 웹 애플리케이션 보안 솔루션 시장에 관련 업체들의 시장 자체를 확대하기 위한 공조의 노력이 절실한 시점이다.
