“‘RSA 컨퍼런스 2007’을 통해 본 정보보호의 미래”

“낡은 비즈니스의 방식으로 돌아갈 수는 없다. 디지털 분야의 신뢰를 확립하는 것은 업계 전체의 의무다.”

지난 2월 미국 샌프란시스코에서 열린 ‘RSA 컨퍼런스 2007’에서 시만텍의 존 톰슨 CEO가 한 말이다. 그는 여기에 “기업과 소비자 모두 서로의 신뢰를 무너뜨리면 전자상거래에 관련된 리스크를 받아들일 수 없는 수준에 이르게 될 것이다”고 덧붙였다.
올해 15번째를 맞이하는 이 컨퍼런스는 원래 암호화 기술 분야에 뿌리를 둔 아담한 행사였다. 그러나 최근에는 정보보호 트렌드를 파악하고 그에 따른 많은 보안기업들의 제품을 확인하는 정보보호 전문 컨퍼런스로 부각되고 있다. 이러한 변화는 기업은 물론 사회 전체가 정보보호에 대한 우려와 관심이 높아지고 있음을 반증하는 것이다.
기조연설을 한 마이크로소프트(MS)의 빌게이츠를 비롯해 EMC 보안사업부 RSA의 CEO 아트 코에빌로, 시만텍 CEO 존 톰슨 등은 모두 정보보호의 중요성을 강조하고 나섰다. 자사의 비즈니스에 맞게 강조하는 포인트만 약간씩 달랐을 뿐, 결론은 빠르게 증가하는 정보 속에서 정보보호의 중요성 또한 확대되고 있다는 것이다.

NAC, 무대의 주인공으로
이번 컨퍼런스에서 주요한 보안트렌드로 제시된 NAC(Network Access Control), UTM(Unified Threat Management), 무선보안(Wireless Security), 웹보안(Web Security), IM(Identity Management) 중에서 주인공은 단연 NAC였다. MS를 비롯해 시스코, 시만텍, 주니퍼네트웍스, 쓰리콤, 록다운네트웍스, 스틸시큐어, 컨센트리 등 주요 업체들이 그동안 개념 정립 수준에 머물렀던 NAC를 실현하는 다양한 장비와 소프트웨어를 대거 출품, NAC시장의 성장을 예고했다.
NAC는 네트워크 접속이 허가되지 않은 사용자나 보안이 취약한 사용자의 네트워크 접속을 근본적으로 차단하는 기술이다. 하지만 네트워크에 대한 원격접속이 소개된 10여 년 전에는 안티바이러스 제품을 보안의 전부라 여길 정도였을 뿐, 지금처럼 네트워크 보안까지 고려한 전사적인 보안은 생각지도 못했다.
당시에는 라우터의 ACL을 이용한 초보적인 접근제어나 몇몇 대기업 정도에서 공인 IP부족에 대한 대안으로 도입한 NAT장비를 이용한 내부 IP 보호 등이 기업 네트워크 보안전략의 대부분이었다. 지금 생각해보면 초보적인 수준이었지만 당시로서는 최선이었고, 상당한 비용투자가 수반되는 작업이었다. 또한 원격접속은 기존의 네트워크 보안책을 우회할 수 있다는 것 때문에 도입에 따른 편익과 보안위협이 항상 논란이 돼 왔다.
그 이후로도 방화벽, IDS, VPN, IPS 등 수많은 보안솔루션이 소개됐으나, 원격사용자나 노트북으로 대변되는 휴대형 단말로 인한 보안상의 우회경로는 기업 보안전략 관점에서 해결할 수 있는 마땅한 대안이 없었다. 이러한 상황에서 등장한 NAC는 그 개념적인 측면에서 앞서의 보안문제를 해결할 수 있는 유일한 대안으로 받아들여지기 시작했다.
처음 NAC가 소개됐을 때, 이것이 이토록 시장에서 뜨거운 관심을 받고, 또 많은 업체에서 NAC를 이야기 하리라고 예측한 사람은 그리 많지 않았다. 개념적으로는 훌륭하지만, 이것을 현실적으로 구현할 수 있느냐라는 기술적인 문제에서 많은 어려움이 예상됐기 때문이다. 그러나 업체들은 파트너 혹은 인수합병을 통해 난관을 빠르게 헤쳐 나가기 시작했고, 이제는 NAC의 개념을 기술적으로 훌륭하게 구현하게 됐다. 더불어 정보보호의 중요한 트렌드로 자리잡게 됐다.
NAC의 성장성이 폭발적이긴 하지만 방화벽 혹은 IPSec VPN, IPS만큼의 시장규모를 확보하는 데는 많은 시간이 걸릴 것이다. NAC는 단품 장비의 도입으로 완성되는 것이 아니라, 정책, 여건, 비용, 그리고 환경을 고려한 검토와 사전조사에 의해 결정되기 때문이다. 하지만 NAC의 모델을 도입해야 하는 이유에 대해서는 많은 전산, 보안담당자가 공감하고 있으며 도입을 위한 구체적인 시점에 와 있다.
NAC외에도 방화벽과 네트워크 어플라이언스의 통합, 무선랜(Wireless Switch, IEEE 802.1x, 무선 IPS), VoIP 관련, 알려지지 않은 위협으로부터 보호할 수 있는 NBA(Network Bihavior Analysis) 솔루션 또한 주목해야 할 정보보호 트렌드로 보인다.
특히 NBA 솔루션은 침입탐지나 차단시스템과 같은 탐지, 제어기술이 발견해내기 어려운 행태를 발견하는 분야로, 가트너는 2007년 말까지 대기업의 25%가 네트워크 보안전략의 일환으로 NBA를 도입할 것으로 전망하고 있다. 현재 시스코, 아버네트웍스(Arbor Networks), 랜코프(Lancope) 등의 해외업체들이 NBA 시장에서 각축을 벌이고 있으며, 국내에서는 유넷시스템이 애니클릭NAC로 레퍼런스를 확대하며 시장을 형성하고 있다.

단품위주에서 ‘서비스+보안’으로
정보보호 시장의 현재와 미래를 확인하는 ‘RSA 컨퍼런스 2007’를 통해 느낀 점은 크게 두 가지다.
첫째, 단품 위주의 정보보호 시장이 저물어가고 있다는 점이다. 지금까지 정보보호 시장은 방화벽, 안티바이러스, IPS 등 단품 보안솔루션이 주도해 왔지만 많은 전문가들은 이제 기존의 단품 보안솔루션만으로는 더 이상 성장할 수 없다.
전세계 정보보호시장이 별도의 제품이 아닌 서비스에 보안을 기본으로 제공하는 구조로 변화하고 있다고 강조하고 있다. EMC와 RSA, IBM과 ISS, 시만텍과 베리타스 등의 합병은 이를 입증하는 사례다.
둘째, 국내기업의 정보보호 니즈 및 수준이 상당히 높아졌음을 느낄 수 있었다. 필자가 본격적으로 정보보호 분야에 뛰어든 2000년도에만 해도 국내와 해외 시장의 수준은 일정거리 이상의 차이가 있었다. 우리가 100M급 방화벽 개발에 매달리고 있을 당시, 해외업체는 1G 제품으로 시장을 휩쓸고 있었다. 국내 제품과는 엄청나게 차이나는 높은 가격으로 말이다.
이후에도 해외업체들이 정보보호 트렌드를 선도하며 새로운 개념의 제품을 내놓으면 그것을 보고 국내 업체가 한 템포 늦게 제품 개발에 나서곤 했다. 그러다 보니 해외업체들은 선발주자라는 이유로 보다 순조롭게 많은 이익을 내는 반면, 국내업체들은 후발주자로서 치열한 경쟁 속에 제대로 이익도 내지 못하는 악순환이 반복되기 일쑤였다.
하지만 지금은 상황이 달라졌다. NAC에 있어서만큼은 해외업체와 동등하게 제품을 개발하고 경쟁하게 됐다. 유넷시스템의 경우, MS의 NAP에 기술협력을 할 만큼 대등한 수준을 보이고 있는데, 이는 국내기업들의 보안에 대한 니즈가 상당한 수준이라는 것을 뜻한다. 유넷시스템의 NAC개발 동기가 바로 국내기업의 보안 요구사항에 기인했기 때문이다.
정보보호에 대한 중요성과 필요성이 부각되고는 있지만, 계속되는 경기 불황으로 국내 시장은 수요 감소, 투자 보류 등의 어려움을 겪고 있는 것이 현실이다. 하지만 세계적인 IT 강국에 걸맞는 정보보호 기술 개발을 위한 국내 보안업체들의 노력은 꺾이지 않고 있다. 정보보호에 대한 작은 관심과 투자가 세계적인 정보보호 제품 개발로 이어진다는 점을 잊지 말았으면 하는 바람이다.