국내시장에서 IPS가 각광받기 시작한 출발점은 지난 2003년 1·25 인터넷 대란이라 할 수 있다. 수많은 사이트가 다운됐지만, IPS 구축 기업들은 대란의 원인이었던 슬래머 웜의 피해를 입지않고 서비스 연속성을 구현할 수 있었다는 결과가 알려지면서 각광받기 시작한 것이다.

IPS는 특정 패턴을 기반으로 공격을 탐지하는 IDS(Intrusion
Detecting System)와 달리 연결 차단 등의 방법을 통해 탐지된 공격에 대한 적극적 차단을 수행하는 차이가 있다. IPS는 인라인 상에 위치해 세션기반의 탐지 지원, 시그니처와 같은 탐지 방식 적용 등을 통해 악의적인 세션 차단을 차단함으로써 보다 적극적인 방어를 수행하게 된다.
지난해 IPS는 350억원을 다소 상회하는 규모로 집계된다. 일부에서는 학내망에서의 IPS 적용 확대 등으로 400억원대까지 언급하고 있지만, 이러한 전망은 다소 무리가 있다는 게 업계의 중론이다. IPS에 대한 뜨거운 관심이 시장 확대로 이어지며 단숨에 300억원대의 시장으로 올라섰다는 점을 고려하면, 기대에 못미치는 결과라고 볼 수 있다. IPS는 본격적으로 시장이 형성된 2004년 300억원대의 시장을 형성해 약 700억원대로의 성장까지 전망됐지만, 이후로는 10% 내외의 소폭 성장에 그치고 있다.
업계는 IPS의 보다 빠른 확대를 위해서는 IPS의 고객군 다양화가 선행돼야 할 것으로 입을 모은다. 지난 3~4년간 꾸준한 성장을 이뤄낸 것은 사실이지만, 주로 공공 등 일부 시장에 국한됨으로써 더 큰 성장을 이뤄내지 못하고 있다는 것이다. TCP/IP의 모든 프로토콜 스펙을 지원, 다양한 애플리케이션 계층에 대한 정밀 검증을 수행함으로써 다양한 엔드포인트 애플리케이션 서비스에 대한 방어 기반을 마련할 수 있다는 IPS의 특징을 고려하면 이러한 시장 확대의 실패는 아쉬움을 남기는 부문. 공공 시장을 제외한 일반 기업 시장에서 IPS 도입률은 30%에 미치지 못한다는 것으로 업계는 분석하고 있다.
IPS의 보급이 당초 기대에 미치지 못하는 주요 원인으로는 IPS 제품의 단가하락과 더불어 UTM(Unified Threat Management)과 같은 신규 보안 솔루션의 등장에 의한 경쟁 심화 등 시장 상황의 변화를 꼽을 수 있다. 특히 UTM의 등장은 미드레인지 이하급 시장에서 IPS 제품과 직접적으로 경쟁하면서 전통적 의미의 IPS 제품군의 위치를 위협했다.

IPS의 다기능화 진행
사실 IPS와 UTM 장비의 구분이 쉬운 것은 아니다. IPS의 다기능화가 진행되면서 IPS 역시 UTM처럼 다양한 기능이 탑재되고 있기 때문이다. 특히 지난해는 IPS 업체들이 SMB 시장 공략을 화두로 내세우면서 이러한 경향이 더욱 두드러지게 나타났다.
2005년 말 출시된 쓰리콤의 ‘티핑포인트 X505’를 필두로 노키아 엔터프라이즈솔루션의 ‘IP390’, 라드웨어의 ‘미니디펜스프로’, 어울림정보기술의 ‘세피온’ 등 SMB 공략을 위한 미드레인지급 제품이 연이어 발표됐다. 특히 어울림정보기술의 세피온4000의 경우, IPS 기능 외에도 방화벽과 VPM 기능을 제공함은 물론, 안티바이러스까지 제공하고 있다. UTM으로 구분해도 무리가 없을 정도의 다기능을 제공하고 있다.
이러한 경향으로 말미암아 혹자는 “IPS와 UTM의 차이는 단순히 마케팅 전략의 차이”로 치부하기도 할 정도다. 또 업계 전문가들은 “성능을 중시하는 하이엔드 IPS를 제외한 다른 분야에서는 IPS가 다기능화하면서 UTM과의 차이는 점차 없어질 것”이란 전망을 내놓고 있다.
미드레인지급 이하의 시장에서의 IPS가 점차 통합보안 어플라이언스, 즉 UTM으로 진화할 것이라는 예상이지만, 아직까지는 UTM과 IPS의 구분은 존재한다. 예산 및 관리 인력 부족 등의 어려움으로 통합보안 장비를 선호하는 SMB 시장 공략을 위해 다기능화가 진행되고는 있지만, IPS란 타이틀을 내걸고 나오는 제품들이 아직은 UTM이란 명칭의 제품군처럼 수많은 보안 기능을 한데 응축하고 있지는 않기 때문이다.
이와 관련, 한국쓰리콤 티핑포인트 디비전 위성표 과장은 “개별 포인트 솔루션에서 방화벽 기반의 UTM 장비로 발전한 통합 보안의 흐름은 이제 IPS 기반의 통합보안장비로 나아가고 있다”며 IPS의 UTM화에 대해 동의하면서도 “아직은 하드웨어적인 제약으로 인해 통합형 IPS라고 해도 침입방지란 본연의 기능을 해치지 않는 범위에서 선별적 기능 탑재에 그치고 있다”며 IPS와 UTM 장비의 구분선을 그었다.

통합형 IPS, SMB 공략 교두보 ‘확보’
SMB 시장으로 향하는 IPS 기업들의 발걸음은 올해도 지속될 것으로 보인다. 2004년 이후 10% 가량으로 성장세가 한 풀 꺾인 IPS 시장 확대를 위해 새로운 성장 동력으로 SMB를 주목하고 있는 것이다.
아울러 신규로 IPS 시장에 진입하는 기업들도 초기 단계를 넘어선 하이엔드 시장을 피해 미드레인지급에서 교두보를 확보한다는 전략을 펼치면서 SMB는 IPS 기업들의 격전지로 떠오르고 있다. 지난해 10월 소스파이어와의 제휴를 통해 IPS 진입을 선언한 노키아엔터프라이즈솔루션의 IPS 전략에서도 이러한 모습을 살필 수 있다.
한국노키아엔터프라이즈솔루션 최원식 사장은 “일정정도 공급이 진행된 기가급 IPS 시장 보다 250~400Mbps가 향후 가장 성장이 기대되는 시장 상황이란 점에서 이에 해당하는 미드레인지급 제품이 가장 먼저 출시된 것”이라고 설명하며, “미드레인지 시장에서의 교두보를 확보한 후 하이엔드 시장으로 진출, IPS의 새로운 바람을 일으킬 것”이라는 전략을 밝히기도 했다.
SMB 시장 공략을 노리는 미드레인지급 IPS의 특징은 다기능화다. 예산이 부족한 중소기업들은 대기업처럼 요소마다 보안장비를 구매하기 어려울 뿐만 아니라 전문 보안인력도 부족할 경우가 많다. 이에 관리 포인트를 단순화하고, 여러 기능을 한 장비에서 제공해 비용절감을 가져올 수 있는 통합장비를 선호하고 있다. 이러한 중소기업들의 요구를 맞추기 위해 미드레인지급 IPS에서는 IPS 기능에 더해 방화벽, VPN, 웹 필터링 등의 기능을 탑재하는 다기능 IPS, 혹은 통합형 IPS의 출시가 이어지는 것이다.
쓰리콤 티핑포인트의 X505는 이를 보여주는 대표적인 사례로 2005년 말 출시되면서, IPS의 중소기업 시장의 불씨를 던진 것으로 평가된다. 티핑포인트가 쓰리콤에 인수된 이후 첫 번째로 출시된 보안장비인 X505는 관리 인력 등의 문제로 통합보안을 요구하는 SMB 시장의 요구를 수용하기위해 방화벽, VPN, 웹 필터링, 멀티캐스트 라우팅 등의 부가 기능을 추가시켰다. 티핑포인트 X505는 방화벽으로 800Mbps, 방화벽+IPS로 200Mbps의 쓰루풋을 제공한다.
티핑포인트 X시리즈는 SMB를 타깃으로 한 시리즈로 자리매김시킬 전략이다. 한국쓰리콤은 500유저 규모의 기업을 대상으로 한 통합형 IPS인 X505 외에도 티핑포인트 X시리즈 라인업 보강을 위해 X505 보다 소규모 장비 1종과 대형 장비 1종의 출시를 준비하고 있다.
라드웨어코리아는 지난해 말 ‘미니디펜스프로’를 출시했다. SMB 시장 공략을 위해 경제성에 초점을 맞췄지만, 미니디펜스프로란 명칭에서도 알 수 있듯 1·25 인터넷대란 당시 슬래머 웜을 완벽하게 방어하면서, 크게 각광받은 디펜스프로의 기능과 보안성을 그대로 계승하고 있는 제품이다.
미니디펜스프로는 1Gbps 쓰루풋 성능으로 1600가지 이상의 알려진 공격을 차단하고, 알려지지 않은 제로데이 공격 및 Dos/DDos 공격에 대하여 능동적 방어를 수행한다. 또한 대역폭 제어 메커니즘을 통한 QoS 기능도 제공한다.
SMB 시장 개척을 위해 SMB 특화채널 양성 프로그램을 가동하는 등 적극적인 움직임을 보이고 있는 한국맥아피는 ‘인트루쉴드1200/1400(IntruShield 1200/1400)’ 등의 SMB용 IPS 제품군을 선보이고 있다. 한국맥아피는 “작년 중후반 이후 IPS 제품군, 특히 SMB용 IPS 제품군의 매출이 증가하고 있다”며 “맥아피가 보유한 2~3천개의 패턴을 통해 인트루쉴드는 보다 높은 수준의 보안성을 제공할 수 있다”고 설명했다.
어울림정보기술이 지난해 말 출시한 ‘시큐어웍스 세피온4000(Secureworks Sepion4000)’은 IPS의 통합화 경향을 극명하게 보여준다. 세피온4000은 4Gbps급 장비로 SMB 보다는 하이엔드 시장을 겨냥한 제품이지만, IPS, 방화벽, VPN 기능은 물론, 기존 통합형 IPS에서는 쉽게 탑재되지 않던 안티바이러스 기능까지 탑재함으로써 IPS의 통합장비화를 보여주는 사례라 할 수 있다. 성능 이슈로 인해 통상 VPN, 방화벽, 웹 필터링 등에 국한됐던 통합형 IPS의 기능이 기술발전과 더불어 보다 더 많은 기능 탑재로 이어지는 현상을 반영하고 있는 것이다. 또한 세피온4000에는 딥 인스펙션 기능도 탑재해 보다 강력한 탐지력을 자랑한다.
이와 관련, 김형률 어울림정보기술 기술연구소 이사는 “세피온4000은 패턴 매칭 알고리즘이 적용된 고성능 ASIC을 채택해 안티바이러스 기능에도 성능 저하가 발생하지 않도록 했다”면서 “쉽게 탑재되지 않는 안티바이러스 기능을 포함한 것은 그만큼 성능 보장에 대한 자신이 있기 때문”이라고 강조했다.
지모컴 역시 자사의 ‘웜브레이커 IPS’ 중 미드레인지급 이하의 제품군에 방화벽과 안티바이러스, 안티스팸, 웹 필터링 등의 기능을 탑재한 출시하고 시장 공략에 박차를 가하고 있다. 지모컴 한상진 사장은 “NPU(Network Process Unit) 기반의 하드웨어 일체형 구성을 통해 다기능 탑재에도 IPS 본연의 성능이 떨어지지 않게 했다”고 설명했다.

데이터넷