|글·오현식 기자·hyun@datanet.co.kr|
웹 애플리케이션 보안은 그동안 보안의 영역에서 소홀히 다뤄진 분야이지만, 많은 서비스와 비즈니스가 웹을 이용해 진행되는 오늘날의 환경에서는 무엇보다 중요한 보안 솔루션으로 부상하고 있다. 인터넷의 급속한 확대와 e비즈니스의 증가로 인해 수많은 애플리케이션이 웹 환경으로 전이되고 있으며, 이에 따라 웹을 겨냥한 공격도 갈수록 증가하고 있기 때문이다.
웹 보안은 이제 필수적인 솔루션으로 부상했으며, 공공 및 금융 시장에서는 웹 방화벽 도입을 권고하는 지침이 내려지고 있기도 하다. 웹 방화벽 시장이 본격적인 비상의 날갯짓을 펼치려 하고 있는 것이다.
특히 지난 10월 발생한 대기업 4곳의 웹 해킹 사고는 웹 방화벽의 도입 필요성을 깨닫게 하는 사례로 평가된다. LG전자를 비롯해 동부그룹, 포스코, KTF 등의 입사지원 시스템이 해킹을 당해 이들 4사에 입사지원서를 제출한 1만4천여명의 정보가 유출된 것이다. 경찰 조사 결과, 해커는 공채 탈락자로 인터넷에서 쉽게 구할 수 있는 웹 해킹 툴을 이용해 별다른 어려움 없이 정보를 빼낸 것으로 밝혀졌다. 경찰청 관계자는 “허술한 사용자 인증 절차와 더불어 웹 방화벽 등의 웹 보안 정책 미비가 간단한 조작으로도 정보 접근을 가능케 했다”고 지적했다.
보안 관계자들은 “대부분의 애플리케이션은 보안을 고려하지 않고 개발돼 수많은 취약점을 노출하고 있다”며 “기업 애플리케이션이 수많은 위협이 존재하는 웹 환경으로 전환됨에 따라, 웹 애플리케이션 보안에 대한 정책수립과 더불어 개발 단계부터 웹 애플리케이션의 취약점을 제거하는 노력이 필요하다”고 입을 모으고 있다. 더불어 “웹 방화벽은 웹 애플리케이션을 이용한 정보 유출을 방지하는 최종 단계로 반드시 갖춰야할 필수적인 솔루션”이라고 강조했다. 웹 방화벽은 웹의 마지막 관문을 지키는 ‘최종 지킴이’란 것이다.
웹 보안이 강조됨에 따라, 이에 대한 인식이 제고되고 있다는 점은 다행스러운 일이다. 안랩코코넛이 최근 보안 담당자 200여명을 대상으로 실시한 설문조사에서 보안담당자들이 가장 필요로 하는 보안 서비스로 웹 보안 관련 서비스가 꼽힌 것. 안랩코코넛에 따르면, 해당 항목에서 웹 방화벽 서비스가 21%, 웹 취약점 분석 서비스가 15%를 차지, 웹 보안 서비스에 대한 필요를 느끼는 비율은 36%에 달했다. 또한 가장 이슈가 되고 있는 보안 솔루션을 묻는 항목에서도 웹 방화벽이 33%로 1위를 차지, 보안 담당자들의 주목을 한 몸에 받고 있음을 증명했다.
어플라이언스 구현 대세
현재 구현되는 웹 방화벽은 크게 세 가지 방법으로 구현된다. 하나는 소프트웨어 방식으로 웹 서버에 설치돼 방어를 수행하는 호스트 기반의 웹 방화벽이며, 다른 하나는 전용 하드웨어로 웹 보안을 구현하는 어플라이언스 방식이다. 그리고, L4~7 스위치에 웹 방화벽 모듈을 얹음으로써 스위치 기능과 동시에 웹 방어 기능을 제공하는 스위치 기반형 방식으로 나눠 볼 수 있다.
세 가지 방식 중 현재 주류를 이루고 있는 방식은 단독 어플라이언스형 웹 방화벽 제품이다. 웹 방화벽 시장에 진출한 대다수의 기업이 어플라이언스형을 채택하고 있을 정도로 각광받고 있다.
어플라이언스 형태가 각광받는 까닭은 호스트 기반 방식과 스위치 기반 방식의 장단점의 가운데에 위치해 비용 및 구성 측면에서 보다 다양한 사이트에 유연한 적용이 가능하기 때문이다. 스위치 기반 방식에 비해 저렴할 뿐 아니라 고객이 L4~7 스위치를 보유하고 있을 경우에 생겨날 수 있는 중복투자의 우려도 발생하지 않게 된다.
호스트 방식에 비해서는 높은 초기 도입비용이 발생하지만, 다수의 웹 서버가 존재할 때는 서버 수에 비례해 가격이 높아지는 호스트 기반 방식 보다 더 비용효율적으로 사용할 수 있게 된다. 이 외에 전용 ASIC, 가속 보드 등을 채택을 통한 고속 처리 지원, HA를 통한 페일오버 구성, 웹 서버의 부하 절감 등은 어플라이언스 형태의 장점이다.
단독 어플라이언스 형태가 주는 이러한 장점으로 인해 듀얼시큐어는, 소프트웨어 형식으로 웹 방화벽 부문의 국정원 보안적합성 검증을 획득했음에도, 다양한 고객요구 수용을 위해 어플라이언스 형태의 제품을 선보이고 있다. 트리니티소프트의 경우, 정식 어플라이언스 제품을 출시한 것은 아니지만 고객이 일체형 장비를 고집할 경우, 하드웨어에 자사 소프트웨어를 얹어 어플라이언스 형태로 공급하는 유연한 정책을 구현하고 있다고 알려진다.
물론 호스트형이나 스위치 기반 방식이 주는 이점도 작지는 않다. 웹 서버 내에 설치·운영되는 호스트형, 즉 소프트웨어 방식은 전용 하드웨어가 필요치 않아 일정 수 이하의 웹 서버를 운영하는 환경에서는 커다란 비용절감 효과를 노릴 수 있다. 아울러 기존 네트워크의 구성 변경을 요구하지 않아 설치가 용이하고, 웹 시스템별로 상세한 정책적용이 가능하다는 장점도 호스트 방식이 주는 이점이며, 웹 서버별로 설치됨으로써 웹 방화벽의 장애가 전체 장애로 이어지지 않는다는 점도 장점으로 들 수 있다.
스위치 일체형 방식은 높은 가격이 최대 걸림돌로 꼽히지만, L4~7 스위치에 기반함으로써 가장 우수한 안정성과 네트워크 기능을 자랑한다. 또 스위치의 QoS 기능을 이용해 트래픽 제어가 가능할 뿐만 아니라 인라인 브리지 모드 지원으로 웹 서버의 IP 변경없이 구현이 가능하다는 이점도 스위치 기반 방식의 장점으로 꼽힌다.
어플라이언스 형태의 출시가 각광받는 까닭은 현 시점에서 어플라이언스 형태가 보다 더 많은 사이트에서 채택될 수 있는 장점을 가졌기 때문이지, 기술적으로 이 방식의 우위를 뜻하는 것은 아니다는 것이 관계자들의 중론. 전용 어플라이언스 방식의 경우, 관리돼야 할 관리지점을 하나 더 증가시키게 됨으로써 네트워크의 복잡성을 더하게 되며, 웹 방화벽 장애가 전체 웹 서비스 장애로 이어질 가능성도 존재한다. 따라서 도입하려는 목적과 사이트 특성에 맞는 제품 선택이 요구되는 것이다.
초기시장 확보 경쟁 ‘치열’
현재 웹 방화벽 시장에는 듀얼시큐어, 모니터랩, 싸이버텍홀딩스, 아이자이어로보틱스, 엑스퍼넷, 잉카인터넷, 파이오링크, 펜타시큐리티 등의 국산 솔루션 기업과 넷컨티넘, 시트릭스, 카바노, 포티파이, 체크포인트코리아, F5 등의 외산 솔루션 기업이 참여해 치열한 시장 경쟁을 벌이고 있다. 이들은 올해 공공, 통신을 중심으로 시장 교두보 확보를 위한 레퍼런스를 구축, 시장 개화를 준비하고 있다. 정보통신부, 한국전산원, 한국소프트웨어진흥원, 행정자치부, KT, SK텔레콤, LG파워콤 등은 이들이 시장교두보로 내세우는 대표적인 레퍼런스다.
다수의 기업이 저마다 굵직한 레퍼런스를 내세우고 있지만, 올해 웹 방화벽 시장은 기대에 못 미친 것이 사실이다. 올해부터 시장 개화를 기대했지만, 성장폭이 크지 못한 것. 올해 웹 방화벽 시장 규모는 지난해 70억원보다 다소 성장한 100억원대에 그친 것으로 집계됐다. 100억원이라해도 전년대비 40% 이상되는 높은 성장률을 기록한 것이지만, 지난해 말 시장 개화에 대한 기대 속에 300억원대 형성까지 전망됐다는 점을 생각하면, 만족할 만한 성과는 아니다.
웹 방화벽 시장이 100억원대 형성에 그친 이유에는 분석이 엇갈리는데, 이에 따라 내년도 시장 전망도 상이한 형태로 나타나고 있다.
하나가 바로 웹 방화벽의 성능과 가용성 문제로 상당수 기업이 도입을 꺼려하고 있다는 분석이다. 이들은 “기존 포지티브 모델에서의 성능저하 문제를 보완하기 위해 네거티브 보안 모델이 부문 채용된 하이브리드형이 웹 방화벽의 주류로 부상되는 등 기술적 발전 및 보완에 따라 웹 방화벽의 성능이 크게 개선되고 있지만, 아직 기업이 요구하는 수준에는 미치지 못 하고 있다”며 “웹 방화벽의 필요성을 인정하면서도 대다수 기업이 일부 서비스에서만 시범적용을 실시하는 등 시험적 태도를 보이고 있어 내년도에도 폭발적 성장보다는 점진적 성장에 그칠 것”이라고 전망했다.
요구하는 수준에 맞는 기업을 찾지 못해 3년째 관련 BMT 만을 실시하고 있는 것으로 알려진 삼성그룹의 사례는 성능 이슈를 제기하는 이들의 주장을 뒷받침하는 대목이다. 또한 전체 웹 방화벽 기업이 총 200여건의 공급 사례를 자랑하고 있지만, 일부 중복된다는 점도 있다. 레퍼런스 중복은 사용하는 제품에 만족하지 못해 추가 공급을 진행하면서 공급 기업을 갈아타거나, 혹은 아예 기존 제품을 걷어내고 새로운 웹 방화벽을 설치하는 경우까지도 존재하기 때문이다.
반면, 내년도 시장을 긍정적으로 보는 이들은 “올해 기대에 못 미친 것은 웹 방화벽 관련 예산 편성의 미비, 인증 등의 이유로 단지 연기된 것뿐”이라며 “포지티브와 네거티브를 혼합한 하이브리드형 모델의 등장 등으로 인해 성능 문제는 지난해 말을 기점으로 상당수 해소됐다”고 주장했다. 더불어 올해 웹 보안이 이슈로 등장, 도입 분위기가 조성되던 차에 때맞춰 발생한 입사지원 시스템 해킹 사고는 (해당 업체에게는 불행한 일이지만) 웹 방화벽 시장 도입을 폭발적으로 불러일으킬 수 있는 요인으로 기대되고 있다.
이와 관련, 박광림 듀얼시큐어 보안사업본부장은 “IPS와 달리 웹 방화벽은 보호하려는 애플리케이션의 차이에 따라 한 기업에 여러 대가 공급될 수 있다”며 “적게 잡아도 내년 웹 방화벽 시장은 올해보다 2배 이상 성장할 것”이란 전망을 내놓았다.
가격파괴 시장 ‘걸림돌’
초기 시장으로 미래에 대한 장밋빛 희망에 불타올라야 할 웹 방화벽 시장이지만, 관련업체들은 한결같이 과당경쟁으로 인한 어려움을 호소하고 있다. 시장 교두보 확보를 위한 과열 경쟁이 지나친 가격 파괴를 불러일으키고 있기 때문이다. 올해 만만치 않은 공급 건이 있었음에도 100억원 시장 형성에 그친 주된 이유도 저가 출혈 경쟁이 원인으로 지적된다.
업계의 한 관계자는 “명시된 상품가격은 의미가 없어진지 오래”라고 지적한 후 “심한 경우 리스트 프라이스의 80% 수준, 심지어는 몇 백만원 단위의 공급도 일어나고 있는 상태”라고 전했다.
웹 방화벽 가격은 결코 만만한 수준이 아니다. 외산 제품들은 대부분 수 억원을 호가할 정도로 값비싼 솔루션에 속한다. 국산 제품의 경우에도 명시된 공급 가격은 수 천에서 수억원대다. 그런데 이러한 제품이 몇 백 단위의 공급이 일어나고 있다는 점은 시장 혼탁이 어느 정도인지를 짐작하게 하는 대목. F5코리아 측은 “웹 방화벽 시장 혼탁으로 인해 웹 방화벽 전용 제품인 트래픽쉴드보다 주력 스위치 제품군인 빅IP에서 제공하는 웹 보안 옵션인 ASM으로 시장에 대응한다는 방침”이라고 밝힐 정도로 과당 경쟁 양상을 보이고 있다.
시장 규모에 비해 업체가 너무 많은 까닭에 가격파괴 현상은 더욱 심화되는 추세다. 또한 이들은 각기 확산될 웹 방화벽 시장에서의 교두보 확보를 위해 레퍼런스 확보에 혈안이 돼 있어 가격 파괴 현상을 더욱 부채질하고 있다. 업계는 내년 경에는 경쟁에서 탈락하는 기업이 등장, 자연스럽게 시장이 정리되기를 기대하고 있는 형편이다. 하지만, 아직도 시큐아이닷컴 등 웹 방화벽 시장 참여를 검토 중에 있거나, 웹 시장에 뛰어들기 위해 제품 개발에 매진하고 있는 기업도 존재하고 있어 과당 경쟁 문제는 기대처럼 쉽게 해소되기는 어려울 것으로 전망된다.
지나친 출혈경쟁은 공멸을 가져올 뿐이란 점에서 업계의 공감대 형성이 필요한 시점이다. 웹 방화벽 성능에 대한 의구심이 아직 남아있는 가운데 출혈경쟁으로 인한 품질 저하는 자칫 웹 방화벽에 대한 불신으로 이어질 수 있기 때문이다.
