마켓트랜드 - 웹 애플리케이션 보안

부상하는 웹 보안 시장, 패권 경쟁 불꽃

외산 VS 국산 한판 승부 … 성능·가격·인지도 향상 등이 성장 관건

웹 애플리케이션 방화벽이 올해 보안 시장을 뜨겁게 달구고 있다. 특히 최근 웹 방화벽의 오픈소스가 공개되면서 웹 방화벽 제품 개발에 대한 장벽이 낮아져 국내 업체들이 속속 웹 방화벽 시장에 진입하고 있다. 이미 국내 웹 방화벽 업체수는 약 10여 개에 달해 미국 등 글로벌 웹 방화벽 업체들의 숫자와 거의 맞먹는 수준에 이르렀다.
관련 전문가들은 “이미 포화상태에 이른 기존 방화벽, VPN 업체들이 새로운 차세대 보안 시장으로 웹 애플리케이션 방화벽을 주목하고 있다”며 “신규로 웹 방화벽 제품을 개발하거나 웹 방화벽 제품을 이미 보유한 업체들과 새로 시장에 진입하려는 업체들의 합종연횡으로 웹 방화벽 시장의 경쟁은 갈수록 치열해질 것”이라고 전망하고 있다. 고객들의 인식변화도 웹 방화벽 시장 성장에 한몫할 전망이다. 늘어나는 웹 애플리케이션 공격에 대비해 웹 방화벽을 구매하려는 고객들의 요구도 커지고 있는 것.
그러나 늘어난 업체수만큼 낮아지는 가격과 고객의 기대에 못 미치는 제품 성능 등은 시장 성장의 걸림돌로 꼽히고 있다. 더욱이 웹 방화벽의 표준이 아직 정확하지 않은 상태라 기능에 못 미치는 제품을 웹 방화벽이라는 이름을 붙여 출시하는 사례도 늘어날 것으로 보여 사용자의 세심한 관심도 요구되고 있다. 올해를 기점으로 본격 성장할 것으로 기대되는 국내 웹 애플리케이션 방화벽 시장의 현황을 점검해본다.
장윤정 기자·linda@datanet.co.kr

웹 애플리케이션 보안제품은 웹 해킹 및 웜으로부터 핵심적인 웹 애플리케이션을 보호하는 전용 솔루션을 의미한다. 전용 웹 애플리케이션 보안제품은 웹 애플리케이션의 취약성을 진단할 수 있는 웹 스캐너와 웹 애플리케이션 게이트웨이로 나눌 수 있다. 웹 애플리케이션 게이트웨이는 흔히 기존 방화벽처럼 웹 애플리케이션을 전문적으로 차단해준다는 의미로 웹 애플리케이션 방화벽이라고 지칭한다.
웹 애플리케이션에 대한 공격이 늘어나며 웹 애플리케이션을 전문적으로 보안해 줄 수 있는 웹 방화벽에 대한 관심이 날로 증가하고 있다. 특히 최근 리니지 등 웹 상에서 온라인 게임의 계정정보 탈취 사건과 중국발 해킹 등으로 인한 피해들이 늘어나면서 웹 방화벽을 구축하려는 고객들이 늘어나고 있다. 이에 힘입어 국내 웹 방화벽 시장의 규모도 하루가 다르게 커져가고 있다.
본지가 지난해 11월호에서 관련업체들을 대상으로 조사한 바에 의하면 2005년 웹 방화벽 시장의 규모는 약 70억원, 2006년 시장 규모는 약 300억원대에 이를 것으로 집계됐다. 2006년 5월말 본지가 조사한 2005년 국내 웹 방화벽 시장 규모는 약 60억원, 2006년 시장규모는 관련 업체들의 목표 매출액 합계에 따르자면 약 300억원에 육박했다. 그러나 실제적인 시장 형성은 약 150억원대에 그칠 것으로 추정된다.

지난해 약 60억원·올해 약 150억 원 예상
지난해 11월 본지가 조사한 바에 의하면 2005년 관련 업체들의 예상 매출액은 약 60억원 가량이었다. 아직 매출액 집계가 끝나지 않아 실제보다 조금 높게 잡았던 경향이 있었는지 2006년 5월말까지 본지가 재 조사한 결과에 의하면 약 60억원 가량으로 나타났다. 비공개로 통계자료를 위한 용도로 본지에 몇몇 업체들이 밝힌 내용을 바탕으로 합산해보면, 지난해 연말에도 실제적인 매출보다 조금 높게 잡았던 경향이 있는 것으로 조사됐다. 따라서 이렇게 낮아진 업체들의 실제 2005년 매출액과 비공개로 밝힌 업체들의 매출액을 합산하면 지난해 약 60억원 가량의 시장 규모를 형성한 것으로 조사된다.
또한 지난해 11월 조사시에도 관련 업체들이 대부분 2006년 예상 매출액을 약 30억원 안팎으로 설정해 약 300억원에 육박하는 것으로 나타났다. 올해 역시 업체들이 대부분 예상 매출액을 약 30억원 내외로 설정해 업체들의 예상 매출액을 합산하면 올해 웹 방화벽 시장에 대한 기대치는 약 300억원 가량인 것으로 분석된다. 그러나 업체들의 예상 매출액이 상당 부분 현실보다 업체의 기대치를 반영했다는 점과 현재 업체들의 레퍼런스 수와 하반기 예정된 프로젝트의 수 등을 감안하고 관련 전문가들의 의견을 종합하면 올해 웹 방화벽 시장은 약 150억원 안팎이 될 것으로 추정된다.
또 지난해 연말 본지가 조사한 결과에 의하면 각 업체들의 웹 방화벽 관련 레퍼런스는 약 80개 내외였으나 2006년 5월말 현재 본지의 조사에 의하면 2배 가량 증가한 약 170개에 이르렀다. 6개월 사이 2배 이상 웹 방화벽 레퍼런스가 늘어났다는 것은 올해 전반적인 웹 방화벽 시장의 전망에 긍정적인 청신호를 보인다. 그만큼 고객의 인지도와 필요성이 빠르게 증가하고 있다는 반증이라는 것.
하지만 업체들의 수익은 기대만큼 높지는 못하다. 웹 방화벽 제품의 가격이 갈수록 하락하고 있어 지난해 중소형급 제품이 약 8천~9천만원 가량이었다면 올해는 5~6천만원 가량으로 약 20~30% 가량 낮아졌다. 제품 가격 하락은 국내 업체들이 앞다퉈 웹 방화벽 제품을 개발, 출시 또는 수입하면서 경쟁이 치열해져 당분간 계속될 것으로 보인다.
지난 2004년까지 외산 업체 중심으로 진행돼오던 국내 웹 방화벽 시장이 지난해 국내 업체들이 연달아 국산 웹 방화벽 제품을 내놓으며 조금씩 국내 업체들이 향후 시장을 주도해갈 움직임이 엿보인다.
물론 아직까지는 외산 제품들이 시장에서 주류를 이루고 있지만 국내 제품들의 숫자가 늘어나는 가운데 시장의 판도가 국내 업체들 중심으로 바뀔 조짐을 보이고 있다는 것. 더욱이 최근 웹 방화벽 개발의 주요 소스가 오픈되며 국내 업체들의 웹 방화벽 개발 움직임이 탄력을 받고 있다. 한 업체 관계자는 “포화된 국내 보안 시장에서 새로운 차세대 먹거리로 웹 방화벽을 주목하고 있다”며 “기존 방화벽과 IPS 등 자사가 가진 보안 제품의 기능을 활용해 웹 방화벽의 기능과 합쳐 새로운 제품을 내놓으려는 시도가 올 하반기부터 본격화될 것”이라고 전망했다.

웹 방화벽, 국내 업체 중심으로 재편(?)
실제로 시큐아이닷컴은 최근 통합 유해트래픽 차단 솔루션인 ‘NXG IPS 6000-WAF’ 제품을 발표했다. 이 제품은 웹 공격 및 침해사고에 대응할 수 있도록 구현됐으며 IPS 기능 이외에도 웹 방화벽, 안티 바이러스, 이메일 및 OWASP(국제웹보안협회)의 10대 취약점공격 방어에 효과적이라며 시큐아이닷컴은 웹 방화벽과 IPS 통합 시장에 도전한다고 밝혔다.
컨설팅 업체인 인포섹은 파이오링크와 손잡고 지난 2005년 10월 이후 공동 협업으로 웹 보안 스위치 ‘웹프론트(WEBFRPONT)’를 개발했다. 인포섹에서 제품 소스 등을 제공, 개발단계부터 협력했으며 지난달 말에 세일즈 및 마케팅에 관한 정식계약을 체결하고 파이오링크의 총판으로 웹 방화벽 사업을 개시할 방침이다.
인포섹은 제품 개별 판매는 물론 컨설팅 고객들에게도 웹 방화벽을 제안해 시너지를 올릴 계획이다. 모니터랩도 자사의 웹 방화벽으로 지난해 연말부터 한컴기술연구소, 인젠시큐리티서비스와 협력 계약을 맺고 웹 애플리케이션 보안 ASP 서비스 사업을 개시했다.
윈스테크넷도 기존 자사의 IPS 고객들이 웹 방화벽을 추가로 구입하기를 원하거나 IPS 구축시 웹 방화벽도 함께 구축하기를 원하는 고객이 많아 직접 개발 또는 기존 웹 방화벽 업체들과의 제휴를 통해 웹 방화벽 사업에 뛰어들 것을 고려중이라고 알려졌다.
또 시큐어소프트의 보안 사업 부문을 인수해 보안 사업을 개시한 유니포인트(구 우노시스템)도 웹 방화벽의 기능을 방화벽과 IPS에 추가할 계획도 있어 관련 기술에 대해 검토하고 있는 중이라고 밝혔다. 이외에도 기존 방화벽, IPS 등을 영업하는 다수의 업체들이 웹 방화벽을 차기 제품으로 개발 또는 제휴를 추진중이다.
심지어 한 해외 웹 방화벽 업체의 관계자는 “적당한 채널을 구해 국내 웹 방화벽 사업을 활성화시키려고 해도 저마다 자체 제품 개발을 준비하려는 추세라 좋은 채널을 구하기가 어렵다”고 토로했다. 그는 또 “웹 방화벽이 최근 오픈 소스가 돌고 있는데다 애플리케이션단이라 복잡한 로직이 들어가는 것도 아니여서 진입 장벽이 높지 않다. 향후 국내 웹 방화벽 시장은 국내 업체들에 의해 주도될 것으로 보인다”라고 덧붙였다.
하지만 이렇게 국내 업체들이 웹 방화벽 시장에 너도나도 뛰어들다보면 가격 하락과 저가수주 경쟁이 심화될 것은 뻔하다. 또 제품의 품질보다는 외형이나 관리 툴에만 신경쓰고, 제품의 지속적인 업그레이드에는 신경을 쓰지 않는다면 제품의 퀄리티가 낮아질 우려도 있다. 혹자는 결국에는 예전 방화벽 시장에서의 소스 오픈 상황과 비슷하게 진행될 것이라는 전망을 내놓기도 한다.
또 웹 방화벽이 자금 회전율이 빠른 제품이 아닌데다 여러 대가 공급되는 제품도 아니고 전산담당자만으로 구입 결정이 내려지는 것이 아니라 전산, 각종 애플리케이션 서버 담당자, 임원진 등 여러 단계의 검토를 거쳐야하는 제품의 특성 때문에 섣불리 사업을 개시했다가 문을 닫는 경우도 생길 수 있다. 실제로 디지털아키텍트는 美 센트리웨어의 ‘하이브’ 제품을 공급하다가 판매부진으로 웹 방화벽 사업을 중단했다. 아이자이어로보틱스도 기존 파이오링크에서 L7스위치를 공급받아 자사의 추적 기능 등을 탑재해 웹 방화벽을 개발했지만 파이오링크에서 자체 제품이 출시됐고 그간의 판매부진으로 레퍼런스를 하나도 내지 못한 상황에서 웹 방화벽 사업은 개점휴업 상태인 것으로 알려졌다.
이렇게 웹 방화벽 시장의 장밋빛 전망에 이끌려 섣불리 시작했다가 낭패를 보는 경우가 생길 수 있기 때문에 확실한 기술력을 갖추는 것은 필수다.

올해 최고의 화두 ‘CC인증’
그러나 이런 걱정에도 불구하고 웹 방화벽 사업은 분명 매력적이다. 섣불리 시작하면 실패하겠지만 제대로 된 기술력과 사업력을 갖추고 시작한다면 국내 시장은 물론 해외 진출까지 가능하다. 현재 웹 방화벽 전문 업체는 미국에 약 10여개, 이스라엘에 3개 정도로 소수지만 이미 국내에는 자체 개발한 웹 방화벽 솔루션을 갖춘 기업이 10여 개에 이르고 있다. 따라서 웹 방화벽 사업을 시장 분석과 계획에 따라 집중 육성하면 국내시장은 물론 해외 시장에서 통할 수 있는 능력이 충분하다는 평가다. 따라서 관련 업계는 치밀한 전술과 전략, 그리고 정부의 전폭적인 지원도 절실하다.
한편 본지가 조사한 ‘국내 주요 웹 보안 업체 현황’<표>를 봐도 관련 업체들이 주 타깃으로 첫손에 꼽고 있는 곳이 공공, 금융, 포털 등임을 알 수 있다. 실제 웹 보안제품을 도입한 사이트도 보안상 고객들이 실명을 밝히기를 꺼리지만 공공과 금융 등이 다수를 차지한다. 포털, 게임 등은 아직 대용량 트래픽을 견뎌낼 만한 제품이 없다며 웹 보안 제품의 도입을 망설이는 편이지만 해킹 등 웹 침해사고로 인해 웹 보안 제품을 가장 목말라하는 사이트라는 점에서 관련 업계의 구미를 당기게 하는 고객군이다.
하지만 가장 많은 수요를 보일 것으로 예상되며 트래픽이 적고 설치 환경이 복잡하지 않은 공공 고객이야말로 관련 업체들의 1순위 타깃이다. 이에 관련 업계에서는 인증을 빨리 받는 업체가 공공 시장을 선점할 수 있을 것으로 내다보고 있다. 이들은 국제공통평가인증(CC)인증을 빨리 받기 위해 분주한 행보를 보이는 등 CC인증 확보는 올해 웹 보안 시장의 최대 미션으로 떠올랐다. 특히 정부에서 각 공공 기관에 웹 방화벽 설치에 대한 지침을 내려 공공기관의 웹 방화벽에 대한 필요성은 높지만 CC인증 및 국정원 보안성 심사 등을 받은 제품이 드물어 도입이 지연되고 있다.
아직 웹 방화벽 업체중에 CC인증을 받은 업체는 국내외를 통틀어 거의 없는 상황이다. 하지만 빠르면 올 하반기, 늦어도 내년 상반기경이면 거의 모든 국내 업체들이 CC인증을 획득하고 공공 고객 몰이에 나설 전망이다. 외산업체들은 국정원의 보안성 인증 등으로 국내 공공 시장에 공급할 수 있다는 보장이 없는 상황에서 CC인증을 받는 것은 모험이라며 CC인증에 쉽게 도전하지 않을 듯한 분위기다.
그러나 아직 웹 방화벽에 대한 기준과 사례가 없어 CC인증을 받는 것이 쉽지만은 않다. 특히 웹 방화벽의 성능과 보안 기능이라는 것의 기준이 모호해 저마다 자사 제품이 우수하다고 주장하는 형편이라 적절한 가이드라인이 시급하다는 지적이다. 이에 CC인증은 단순히 인증받은 제품을 공공 기관에 도입하기 위한 수단이 아니라 웹 방화벽에 반드시 필요한 기능과 일정 수준의 품질을 보장할 수 있는 잣대로 활용되도록 세밀한 조사와 체계적인 평가론에 근거해 정해져야한다고 관련업계는 입을 모으고 있다.
또 우리나라가 이제 국제공통평가기준상호인증협정(CCRA)에 가입해 CC인증을 받는 만큼 해외에 나가서도 통용될 수 있는 제품의 성능과 보안 기능에 대한 정확한 검증이 필요하다는 의견이다. 국내 웹 방화벽 제품이 해외에서 자리잡는 시발점이 될 수 있도록 CC인증은 반드시 고객들이 꼭 필요로 하는 기능과 평가 기준에 의해 정립돼야 할 것이다.

공공 시장 ‘내게 맡겨라’
이렇게 불붙은 공공 고객들을 잡기 위한 경쟁에서 선두에 나선 국내 웹 방화벽 업체들은 공공 고객을 하나라도 먼저 확보, 웹 방화벽 시장의 패권을 장악하기 위해 혈안이다. 공공 시장에서 현재 가장 두각을 보이고 있는 업체들은 모니터랩, 펜타시큐리티 등의 국내 업체들이다. 물론 이들 중에 아직 CC인증을 받은 업체가 없기 때문에 향후 CC인증을 먼저 받는 업체가 공공 시장에서의 유리한 고지를 차지할 수 있을 것으로 예상된다. 하지만 현재로서는 국내 업체들 중심으로 조금씩 수요가 올라오고 있는 공공 시장에서 치열한 격전을 벌이고 있다.
모니터랩(대표 이광후)은 자사의 ‘웹 인사이트(WEB INSIGHT) WI-100, WI-500, WI-1000’ 등으로 공공기관과 대기업, 금융권, 게임업체 등을 공략하고 있다. 현재 한국전산원, 용산구청, 서울지방경찰청, 국무조정실, 한국과학기술원, 행자부, ETRI, 매직스 등 약 22개의 고객사를 확보했다. 이와 함께 모니터랩은 지난해 말 한컴기술연구소, 인젠시큐리티서비스 등과 제휴해 개시한 웹 애플리케이션 보안 ASP 서비스 사업에서도 3개 고객사를 확보했다고 밝혔다.
모니터랩 이광후 사장은 “지난해까지 대부분의 고객들이 웹 보안이 필요하긴 하지만 웹 방화벽 제품의 성능이 딸려서 도입하지 않는다는 분위기였다”며 “그러나 이제 기술이 진보하고 있고 고객의 요구를 충족시킬 수 있을 만한 제품들이 나오고 있어 웹 방화벽의 시장 성장은 시간문제”라고 언급했다. 그는 또 “오는 6월경 CC인증 평가 계약을 체결하고 빠르면 연말경 CC인증과 보안성 검사를 받을 수 있을 것으로 보인다”고 덧붙였다.
모니터랩은 지난해 약 2억5천만원의 매출을 올렸으며 올해 약 25억원의 매출을 달성해 시장 점유율 1위의 선두 업체가 되겠다는 목표를 밝혔다. 또한 향후 모니터랩은 웹 방화벽이란 한정적인 제품 영역을 넘어 보안과 가용성을 종합적으로 고려하는 통합 애플리케이션 솔루션 프로바이더가 되는 것이 목표다.
이 사장은 “웹과 애플리케이션의 사용이 늘어가며 보안 뿐만 아니라 가용성에 대한 문제도 커져간다”며 “결국 보안과 가속 기능이 통합돼 웹 가속기와 웹 방화벽을 합친 제품이 기업이 바라는 모델이라고 보고 통합 제품을 개발, 토털 애플리케이션 프로바이더로 거듭날 것”이라고 강조했다.
지난해 초반 웹 보안 게이트웨이 ‘와풀(WAPPLE Secu- rity Gateway)’을 출시한 펜타시큐리티(대표 이석우)는 그간 고객 대상 시연과 총판, 협력사 등과의 효과적인 협업으로 15개사 이상의 고객을 확보했다. 특히 펜타시큐리티가 최근 실시한 고객 사이트의 무료 스캐닝 프로모션이 상당히 반응이 좋아 스캐닝 후 웹 방화벽 도입으로 이어가도록 탄력을 붙인다는 계획이다.
펜타시큐리티 이석우 사장은 “자사의 웹 암호화 제품 ‘아이작 웹’, DB보안 제품 ‘디아모’ 등을 와풀과 연동해 제안하니 고객 반응이 좋다”며 “기존 디아모와 PKI, 웹 구간 암호화 등을 통합해 고객에게 필요한 솔루션을 제공한다는 전략으로 접근하고 있기 때문에 충분히 승산이 있다”고 강조했다. 펜타시큐리티는 이외에도 웹 애플리케이션에 대한 제품들을 추가적으로 계속 마련해갈 방침으로 웹 방화벽과 함께 고객의 구매를 적극 유도해나간다는 계획이다.
펜타시큐리티는 자사의 와플 웹 방화벽이 아직 포털 등 트래픽이 높은 하이엔드 고객에게 접근하기에는 무리가 있지만 주 타깃인 공공 기관에 접근하기에는 충분하다는 판단 아래 상반기까지는 기능, 하반기에는 성능을 향상시킨다는 전략이다. 또 지난해부터 일본 수출을 준비, 올해는 가시적인 성과가 나올 수 있을 것으로 기대하고 있다. 펜타시큐리티는 가능한 빨리 인증을 받아 공공을 중심으로 국내 웹 방화벽 선두 3위 안에 진입하는 것을 목표로 전력을 다할 방침이다.
국내 업체로서 지난 2004년부터 웹 방화벽 ‘아스록(ASROC)’을 개발, 일찌감치 웹 방화벽 사업을 개시해온 듀얼시큐어(대표 양성화)는 선발업체로서의 장점을 살려 정통부, 관세청, 통계청, 강남구청, 한전, 중부발전, 한국철도시설공단, 교육개발원, LG텔레콤 등 약 22개 고객사를 확보하고 있다.
듀얼시큐어 양성화 사장은 “현재 국정원에서 보안성 검토중이고 CC인증의 EL4+를 추진중이기 때문에 다른 업체들보다 빨리 CC인증과 보안성 검토를 동시에 획득, 공공 기관에서 우위를 차지할 수 있을 것”이라며 “인증을 획득하면 어플라이언스 제품으로 공공 기관에 유통의 개념으로 접근, 가능한 많은 고객을 확보하고 금융, 포털, 통신 등 대형 트래픽이 오가는 고객들에게는 호스트기반의 웹 방화벽으로 안정성 위주의 구축을 시도할 계획”이라고 언급했다.
내년 1/4분기에는 네트워크 장비업체와의 협력을 통해 스위치 기반의 웹 방화벽 제품을 개발, 성능을 높이기 위한 로드맵을 시행할 예정이며 오는 4/4분기에는 중국 지사를 설립, 해외진출도 본격화할 계획이다. 일본, 호주, 중국, 남미 등 해외 진출을 준비해온 듀얼시큐어는 지난해부터 협력사와 함께 영문, 일본판 제품을 제작해 해외로드쇼와 제품소개를 병행해 와 올해 해외시장을 위한 발판을 다지고 내년부터는 본격적으로 해외수출을 가시화할 방침이다.
또 현재 듀얼시큐어는 개인정보 유출 방지용 단독 장비를 개발중이며 이를 웹 방화벽과 함께 묶어 공공 기관 등에 제안할 방침이다. 양 사장은 “지난해까지 어플라이언스 제품이 없어서 놓친 고객들이 많았으나 이제 어플라이언스와 호스트 기반의 제품을 모두 갖춰 유연성있는 고객 대응이 가능할 것”이라며 “웹 방화벽 제품에 대한 노하우와 그간 국내 고객들을 통해 얻은 경험을 바탕으로 국내 웹 방화벽 시장의 선두로 자리매김할 것”이라고 강조했다.