시장은 열렸지만 … 경쟁 과열로 수익성 ‘악화’
정보보안은 최근 가장 강조되는 부문 중 하나다. 정보의 중요성이 점점 높아지면서 정보의 취득을 통해 금전적 이득을 노리는 ‘금전지향형 공격’이 점차 증가함에 따라 정보보안은 기업의 가장 큰 이슈로 떠오른 상황이다. 더불어 인터넷을 통한 해킹 기술의 공유로 별다른 해킹 지식 없이도 공유되는 해킹 툴을 이용해 공격이 수행될 수 있어 다양한 형태의 위협이 대두되고 있다. 공격자의 지식 수준이 낮아도 공격이 가능하게 됐지만, 정교한 해킹 툴로 인해 공격의 위험수준은 오히려 높아지고 있다. 이러한 위협에 맞춰 보안시장에서는 차세대 보안으로 웹 방화벽, NAC(Network Access Control), UTM(Unified Threat Management) 등이 주목받고 있다. 웹 방화벽은 오늘날 공격의 80%에 달하는 웹 애플리케이션의 취약점을 방어할 수 있다는 점에서, NAC는 다양한 위협에 대해 네트워크 무결성을 유지하도록 한다는 점에서, UTM은 다양한 보안 솔루션으로 인한 관리의 어려움을 해소한다는 점에서 차세대 솔루션으로 주목받고 있다. 차세대 솔루션으로 주목받아온 웹 방화벽, NAC, UTM 시장의 현주소를 3회에 걸쳐 점검해본다. |오현식 기자·hyun@datanet.co.kr|
글 싣는 순서
1. 웹 방화벽(이번호)
2. NAC(10월호)
3. UTM(11월호)
웹 애플리케이션 방화벽은 그동안 보안의 영역에서 소홀히 다뤄진 웹 애플리케이션을 보안하는 솔루션이다. 인터넷의 급속한 확대와 e비즈니스의 증가로 인해 수많은 애플리케이션이 웹 환경으로 전이되고 있고, 이에 따라 웹을 겨냥한 공격은 오늘날 갈수록 증가하고 있다. 하지만, 기존 방화벽으로는 웹 애플리케이션의 통로인 80포트, 443포트로 유입되는 악성 웹 트래픽을 방어할 방법이 없으며, 이에 웹 방화벽은 수년 전부터 새로운 차세대 보안 솔루션으로 주목받아 왔다.
STG시큐리티 문재철 사장은 “보안 시장의 흐름을 보면, 2~3년 주기로 새로운 공격방법과 이에 대응하는 새로운 보안 솔루션이 개발돼왔다”고 분석하고, “네트워크 보안 1세대인 방화벽, 2세대 IPS에 뒤를 잇는 네트워크 보안의 3세대 솔루션은 바로 웹 방화벽이 될 것”이라고 전망하고 있다.
문 사장의 전망처럼 웹 방화벽은 몇 년 전부터 주목받았다. 특히 지난해에는 대기업 4곳의 입사지원 시스템이 웹 해킹당한 사실이 알려지면서 웹 방화벽에 대한 시장의 관심이 급증하기도 했다. 지난해를 기점으로 웹 방화벽의 개념과 유용성이 널리 알려지고, 또 수요에 탄력이 붙기 시작했지만, 웹 방화벽 시장이 본격적인 개화기를 맞이한 것은 아니다.
국내 웹 방화벽 시장은 전년 대비 소폭 성장에 그칠 것으로 예상된다. 약 100억원대 초반의 시장형성이 전망되는 것이다. 일부에서는 200억원대 시장 형성이란 장밋빛 전망을 내놓고 있기도 하지만, 대부분의 업계 관계자들은 시장공급가격 기준으로 많아야 150억원을 넘지 않을 것으로 관측하고 있다.
가격 경쟁 심화로 ‘수익성 악화’
한국정보보호진흥원(KISA)이 ‘2006년 국내 정보보호산업 통계조사’를 발표하면서 전망한 바에 따르면, 웹 방화벽 시장은 2011년까지 700억원대의 성장이 예측될 정도로 각광받는 분야 중 하나다. 하지만, 웹 방화벽은 이러한 예측과 달리 시장 본격화를 위한 잰걸음을 여전히 보이지 못하고 있다.
이러한 이유로는 몇 가지가 지적된다. 우선 첫 번째 이유는 과열경쟁에 따른 가격 파괴 현상이다. 공급 사이트로 볼 때 많은 웹 방화벽 기업들은 이미 지난해 1년 동안 거둔 성과 이상을 상반기에 달성했다. 듀얼시큐어, 모니터랩, 잉카인터넷, 펜타시큐리티 등 주요 웹방화벽 업체가 밝힌 상반기 신규 레퍼런스는 40여곳 이상에 달한다. 레퍼런스나 공급 대수로는 이미 지난해만큼의 성과를 올렸거나 이를 상회하고 있는 것. 하지만, 시장가격이 크게 하락해 실질적으로는 시장 성장이 답보상태에 머물고 있다는 게 업계 관계자들의 전언이다. 실제로 부산의 한 대학교의 경우, 올해 예산을 수립하면서 웹 방화벽 예산으로 7천만원 가량을 설정했지만, 가격 경쟁이 벌어진다는 소문에 이 예산을 2천500만원으로 대폭 삭감한 것으로 알려진다.
한 영업사원은 “대학교의 경우처럼 담당자간 커뮤니케이션이 활발한 곳에서는 가격 경쟁이 벌어지면 입소문을 타고 순식간에 확산된다”면서 “대학시장은 하나의 예일 뿐으로 출혈경쟁으로 수익성이 크게 악화되고 있는 상황”이라고 전했다. “결국 이러한 출혈경쟁으로 인해 웹 방화벽 시장은 레퍼런스가 급증했음에도 불구하고, 여전히 시장성장은 답보상태에 그치고 있다”고 그는 덧붙였다.
웹 방화벽이 예산이 2천만원대라는 것은 팔면 팔수록 손해보는 장사를 강요하는 것이다. 총판과 파트너의 이윤, 그리고 최소 700~800만원에 달하는 하드웨어 가격까지 고려하면 벤더에게 돌아가는 몫은 없게 된다. 그럼에도 불구하고 출혈경쟁이 난무하고, 출혈을 감수하면서라도 제품이 공급되는 까닭은 웹 방화벽 시장의 높은 성장 가능성으로 인해 보안기업의 웹방화벽 시장 진입이 계속 이어지고 있기 때문이다. 이미 경쟁하고 있는 10여개 이상의 업체만으로도 버거운 시장 규모이지만, 높은 가능성을 갖고 있기에 업체 참여가 계속 이어지고 있는 것이다.
지난해 말 ‘고성능 네트워크 프로세스 기반의 보안 관리 웹 애플리케이션 방화벽’ 사업 개발자로 지정돼 관련 기술을 개발한 이지서티(대표 심기창 www.easycerti.com)는 개발한 기술을 기반으로 ‘왑세이퍼’라는 상용 제품을 선보이고 있으며, 윈스테크넷(대표 김대연 www.wins21.com)도 지난 6월 ‘스나이퍼WAF’를 발표하면서 이 시장에 뛰어들었다. 웹 방화벽 시장 진출을 예고했던 시큐아이닷컴 또한 9월 초 관련 제품을 선보이면서 본격적으로 웹 방화벽 시장에 대응할 방침을 갖고 있다.
높게 잡아도 150억원 남짓한 시장, 벤더 공급가 기준으로는 100억원이 채 되지 않을 것으로 전망되는 웹 방화벽 시장에서 10여개 이상의 업체가 경쟁하는 과열 양상을 띠고 있는 것. 더불어 웹 방화벽이 미래 유망 시장으로 평가받으면서, 초기 시장 주도권을 확보를 위한 레퍼런스 경쟁이 촉발됨으로써 출혈경쟁과 이로 인한 수익성 악화, 재정부담, 저가공급이 이어지는 악순환이 지속되고 있는 것이다.
또 다른 요소는 웹 방화벽 자체의 문제다. 웹 방화벽은 제품의 성능도 중요하지만, 숙련된 운용 능력이 필요한 솔루션이다. 웹에서 발생하는 다양한 상황을 풀어내지 못한다면 웹 애플리케이션 중단을 초래할 수도 있다는 것이 그 이유. 현재 사용되고 있는 많은 웹 애플리케이션들이 보안을 고려하지 않고 만들어졌을 뿐 아니라, 운영 프로세스에서도 보안 관리자는 배제돼 있는 것이 현실로, 웹 방화벽을 도입하고, 산적한 문제를 지혜롭게 해결하지 않는다면 운영중인 애플리케이션을 중단시켜 업무에 막대한 지장을 초래할 수 있다.
KT는 대기업 중에서도 웹 방화벽을 조기 도입했던 기업에 속하는데, KT의 담당자는 “도입 초기에는 보안 정책을 위반하고 있는 여러 웹 애플리케이션과의 조율에 애를 먹었다”고 회고하면서, “애플리케이션과 별개로 구축/운용될 수 있었던 방화벽, ID&P 등 네트워크 보안 솔루션과 달리 웹 방화벽은 가용성 유지를 위해 애플리케이션을 중요 고려사항으로 염두에 두고 보안 정책을 실행해야 해 다른 보안 솔루션보다 운용이 까다로울 뿐만 아니라 끊임없이 발전하는 웹 애플리케이션 진화를 좇아야 해 관리자의 능력이 더욱 요구된다”고 밝히기도 했다.
경쟁체제 미비, 공공기관 도입 ‘부담’
한편으로는 인증제품 부족 현상도 지적된다. 공공기관에 도입되기 위해서는 국가정보원의 국가보안성 검증필을 획득해야만 한다. 하지만, 웹 방화벽 시장에서 보안성 검증필을 획득한 제품은 아직까지는 듀얼시큐어코리아(대표 이성재 www.dualsecure.co.kr)의 ‘아스록’이 유일하다.
그런데, 국가보안성 검증을 통과한 유일한 제품이 존재한다는 점이 일부에서는 오히려 부담으로 작용하고 있다. CCRA 가입으로 국내 인증제도가 크게 요동치면서 국정원은 중복 인증의 난점 해소를 위해 보안성 검증필은 CC인증 가입 제품에 한해 수행하며, CC인증과 중복되는 부문은 서류검토 만으로 쉽게 수행되도록 하겠다는 방침을 밝혔는데, 공교롭게도 이는 듀얼시큐어에게 독점적 환경을 만들어 준 요인이 됐다.
듀얼시큐어의 아스록은 CC인증제품은 아니지만, 인증제도의 변화 이전에 국정원 보안성 검증을 신청, 지난해 9월 통과함으로써 유일한 보안성 검증필 제품이 됐다. 이에 업계의 반발이 있었던 것은 당연한 일. 일부 웹 방화벽 기업들은 특혜를 주장하기도 했다. CC적체 현상으로 보안성 검증까지 1년 이상이 소요될 것으로 전망됐기에 반발은 거셌으며, 큰 논란을 불러 일으켰다. 이런 상황이기에 일부 공공기관의 담당자들은 웹 방화벽 도입으로 구설수에 오르는 것을 부담스러워고 있으며, 이에 웹 방화벽을 확산이 더뎌지고 있는 것이다.
이에 업계 관계자들은 인증제품의 추가 시점이 공공기관에서 웹 방화벽 도입이 폭발하는 시기가 될 수 있다는 견해를 밝히고 있다. 공공기관의 담당자들이 구설수에 휘말리지 않기 위해 도입을 미루고 있지만, 인증제품이 증가해 선택의 폭이 넓어지고 제품선택에 대한 부담이 경감되면 도입이 더욱 활성화될 수 있다는 것이다.
이러한 전망에 유일한 검증필 제품인 아스록을 공급하고 있는 듀얼시큐어 측도 일정정도 동의를 표시한다. 듀얼시큐어 안상현 이사는 “적지 않은 공공기관들이 인증 제품이 하나라는 데 부담을 느끼고 있는 것이 사실”이라고 말하며, “인증제품이 추가돼 경쟁 환경이 조성되는 시점이 공공기관에서 웹 방화벽 도입이 폭발하는 시기가 될 수도 있다”고 예상했다.
현재 트리니티소프트의 ‘웹스레이’가 지난 6월 CC인증을 획득해 두 번째 보안성 검증필 제품이 될 것으로 예상되지만, 예상보다 보안성검증이 늦어지면서 아직까지는 아스록이 유일한 보안성 검증필 제품으로 남아있는 상황이다.
소송·상호비난·루머, ‘제 무덤 판다’
무엇보다 웹 방화벽 시장의 발목을 잡는 가장 큰 요인은 시장에 있다기 보다 웹 방화벽 업체 내부에 있다는 것이 업계의 공통된 지적이다. 상대 업체에 대한 비방이 전체 웹 방화벽 제품의 이미지를 깎는 부메랑이 돼 돌아오고 있다는 지적이다. 상대 업체에 대한 비난은 어느 분야나 있는 현상이지만, 웹 방화벽 쪽은 유독 심하다.
‘A사 제품은 깡통’, ‘B사 레퍼런스 중 제대로 쓰는 고객이 없다’, ‘C사는 기술력은 없고 정치력만 쎄다’, ‘D사의 이번 공급은 공짜 공급’, ‘E사는 곧 회사가 없어진다’ 등 상대 업체에 대한 비난과 루머가 떠도는 것. 듀얼시큐어 특혜 시비로부터 촉발된 상호 비방전과 루머는 걷잡을 수 없이 확대되고 있는 것으로 업체간 동업자 정신보다는 상호 불신을 양분으로 원색적인 비난이 난무하고 있다. 이를 두고 한 웹 방화벽 업체의 사장은 “한 마디로 진흙탕 시장”이라고 표현하기도 했다.
이어지는 고소는 업체간 불신을 보여주는 사례다. A는 B에게, B는 C에게, C는 D에게 딴지걸기식 소송이 진행되고 있으며, 이에 대한 맞소송도 준비되는 것으로 알려진다. 웹 방화벽 업체는 아니지만 엑스큐어넷 측이 모니터랩을 상대로 제기한 소송은 이러한 불신을 보여주는 사례다.
엑스큐어넷은 모니터랩의 웹 방화벽 기술이 자사의 원천소스를 사용한 것이라며 소송을 제기했다. 모니터랩의 공동설립자인 이광후 사장과 안병규 이사가 엑스큐어넷 재직 당시 개발한 소스를 토대로 웹 방화벽 ‘웹인사이트’를 개발했다는 것이다. 원만한 해결을 위해 지인들이 가교역할을 자임하며 중재를 시도하고 있지만, 아직까지는 현재 진행형이다. 듀얼시큐어와 트리니티소프트간 진행되는 행정소송도 유사한 사례. 듀얼시큐어는 트리니티소프트를 상대로 행정처분을 신청했는데, 트리니티소프트가 자사 영업인력을 유출, 영업비밀을 침해했다는 것이 그 이유다. 행정법원은 트리니티소프트의 손을 들어줬지만, 듀얼시큐어는 항소를 준비중인 것으로 알려진다.
동업자 정신이 실종돼 시장을 키워나가기 보다 루머와 비난이 양산되고, 결국 소송으로 치닫는 웹 방화벽 업계를 보면서, 혹자는 “제 무덤을 파고 있다”라는 쓴 소리를 하기도 했다. 시장을 키워나가도 부족할 판국에 상대 업체에 대한 비방으로 시장 확산을 웹 방화벽 업체 스스로 가로막고 있다는 것. 상호 비난으로 아직 보안 시장의 주류로 자리매김하지 못하고 있는 웹 방화벽에 대한 불신을 업체 스스로 키워나가고 있다는 지적이다.
전망은 여전히 ‘장밋빛’
업체 간 상호 비방전으로 인한 이미지 실추로 일부 고객은 웹 방화벽의 필요성에 의문을 제기하기도 한다. ‘보안 시장에 있어 하나의 유행 솔루션이 아닌가’하는 의구심을 제기하는 것이다. 보안이 강조되면서 여러 솔루션의 도입이 증가하고 있지만, 보안 사고는 끊임없이 발생하고 있다는 것도 각 기업의 담당자들이 새롭게 등장하는 보안 솔루션의 필요성에 대해 다시한번 심사숙고하게 되는 상황을 만들고 있다.
그러나 보안 전문가들은 80포트나 443포트에 대한 공격방어는 웹 방화벽이 아니면 수행하기 힘든 부문임을 지적하면서, 웹 방화벽은 필수 솔루션 중 하나임에 분명하다고 강조하고 있다. 마케팅 메시지로 유행이 창조되는 솔루션은 아니라는 것으로, 웹 방화벽 시장이 더딘 성장세를 보이고 있지만, 기존의 방화벽처럼 기업 보안의 필수적인 요소로 자리매김하리라는 게 전문가들의 전망이다. 올 하반기 정부 통합센터에서 웹 방화벽 도입이 검토되고 있는 것 등은 웹 방화벽이 조금씩 시장 주류로 나아가고 있다는 것을 보여준다.
웹 방화벽 업체들은 정부 통합센터, 교육부의 각 시도 교육청 웹 방화벽 도입 등에 기대를 걸고 있다. 올 초 행정자치부에서 검토됐던 시군구 웹 방화벽 구축사업은 예산 등의 이유로 무산됐지만, 각 자치단체별로 웹 보안을 위한 웹 방화벽 도입이 조금씩 증가하고 있다는 것도 호재다.
행자부가 최근 급증하고 있는 전자정부 웹 사이트에 대한 사이버 공격을 차단하기 위해 지난 8월 ‘전자정부 웹 서비스 보안 취약점 대응지침’을 수립, 전자정부서비스를 제공하는 모든 행정기관에서 22개 보안 취약점을 개선하도록 권고한 것도 시장 활성화를 보다 기대하게 하는 부문이다. 행자부는 사이버공격에 범정부적으로 대응하기 위해 차관급의 ‘전자정부서비스 보안위원회’를 구성, 9월부터 본격 가동할 예정이다. 위원회에서는 OWASP(Open Web Application Security Project)가 발표한 10대 보안 취약점에 기반, 전자정부서비스 보안대책, 전자정부 사이버공격 침해대응 등의 업무를 다룰 계획으로 특히 최근 문제가 되고 있는 전자정부 웹 사이트 보안 취약점을 집중적으로 점검 보완해 나가게 된다.
웹 방화벽 시장은 시나브로 성장하고 있는 것으로 올 연말과 내년 초, CC인증 제품이 늘어나면서 본격적인 시장 활성화가 예상된다고 할 수 있다. 물론 시장 활성화의 전제는 과열 경쟁 해소가 전제돼야할 것으로 지적된다. 출혈경쟁으로 레퍼런스는 2~3배 증가해도 매출은 제자리인 현재와 같은 모습은 결과적으로 제품의 부실이나 업체 도산과 같은 문제를 불러 일으켜 시장의 불신만을 더욱 키우게 될 것이기 때문이다. 시장 파이를 키우고, 이익을 나눌 수 있는 동업자적 정신이 절실한 것이다.
듀얼·모니터랩 ‘양강’
업체별로 보면 국산업체의 약진이 두드러진다. 시장 주도권은 초기 외산 솔루션에서 지난해부터는 국산 솔루션으로 넘어왔다는 것이 공통된 분석이다. 국산업체 중에서 가장 활발한 움직임을 보이는 것은 듀얼시큐어와 모니터랩으로 업계는 이들을 양강으로 구분한다. 유일한 보안성 검증필 제품이라는 점을 무기로 공공시장을 기반으로 세를 확대하고 있는 듀얼시큐어는 법무부, 국가기록원, 외교부 전자여권시스템 등 공공기관은 물론 부산 인프라코어, 포스코 등에 공급을 성공시키며, 민수시장으로 영역을 확대하는 데 성공하고 있는 상황이다.
빠른 제품 안정화를 기반으로 웹 방화벽 시장 강자로 자리매김한 모니터랩(대표 이광후 www.monitorapp.com)은 한경와우, TGI프라이데이, 국방부 동원예비군 시스템, 서울의료원 등 40여군데의 레퍼런스를 추가 확보하고 있다. 모니터랩 측은 “지난해와 비교해보면, 대수 기준으로는 약 세 배 가량 성장을 기록할 정도로 공급이 활성화되고 있다”고 전했다.
초기 웹 방화벽 시장을 주도했던 외산 솔루션의 경우, 지나친 가격 경쟁으로 인해 적극적인 대응을 하고 있지는 못하고 있다. 모니터랩 웹인사이트와 임퍼바 시큐어스피어를 함께 취급하고 있는 한 파트너 사 관계자는 “가격적인 측면으로 인해 임퍼바 솔루션을 제안하기가 쉽지 않다”면서 “상반기 웹 방화벽 매출 역시 모니터랩 제품에 집중된 상황”이라고 전했다. F5코리아의 경우에는 웹 방화벽 단품으로는 시장 가격이 지나치게 낮게 형성돼 있어 애플리케이션 스위치 제품인 BIG-IP의 옵션으로 제안하는 등 본격적인 경쟁에서는 한 발 물러선 상황이다.
모니터랩, 듀얼시큐어 양강 구도를 뒤흔들 복병으로는 단연 트리니티소프트(대표 김진수 www.trinitysoft.co.kr)가 꼽힌다. 지난 6월 CC인증 획득으로 웹 방화벽 시장에서 유일한 CC인증제품을 보유하게 됐기 때문이다. 듀얼시큐어의 경우, 인증제도 변화 이전에 보안성 검증을 신청해 CC인증은 아직 부여받지 못한 상황이다. 트리니티소프트는 CC인증에 발맞춰 에스넷시스템과 총판 계약을 체결하고, 전국 판매망을 구축했다.
트리니티소프트 김진수 사장은 “CC인증 이전 판매망을 구축하지 않고도 20여개 레퍼런스를 확보했는데, 에스넷을 총판으로 본격적인 영업 및 마케팅을 진행함으로써 비약적인 매출 증가가 예상된다”고 밝혔다. 이어 김 사장은 “웹 방화벽에 대한 CC인증은 해외에서도 아직 이뤄진 적이 없어 웹스레이가 유일한 CC인증 제품”이라며, “국정원 보안성 검증이 통과되면 웹스레이 공급이 크게 증가할 것”이라고 기대를 표시했다.
민간 정보보호 평가기관 설립과 더불어 신설된 국내용 인증도 웹 방화벽 시장의 변수 중 하나다. 국내용 인증이란, 국제 CC인증 평가 적체를 해소하기 위해 국가정보원이 지난 3월 발표한 제도로 우리나라 내에서는 국제 CC인증과 동일한 지위를 부여받을 수 있다. 해외 진출을 계획하지 않는 제품은 국내용 인증 신청하면 되는 것. 국내 인증 제품은 국내에서는 국제 CC와 동일한 지위를 보장받으므로 국내 인증 획득만으로도 원활한 사업 진행이 가능하며, 국내 인증 획득을 통해 공공기관 공급의 전제조건이라 할 수 있는 국정원 국가보안성 검증도 신청·획득할 수 있다. 현재 잉카인터넷, 펜타시큐리티시스템, 모니터랩 등이 국내용 인증으로 신청을 전환한 상황이다.
평가기관이 한국정보보호진흥원(KISA)에 집중됨으로써 발생하는 적체 현상 문제를 근본적으로 해소하기 위해 추진되는 민간평가기관도 속속 출현하고 있다. 한국산업기술시험원(KTL)과 한국시스템보증(KOSYAS)이 민간평가기관으로 승인받은 상황. 윈스테크넷은 제1호 민간평가기관으로 등록된 KTL과 CC인증 평가계약을 8월 초 체결해 연내 인증 획득을 기대하고 있다.
잉카·펜타, 레퍼런스 ‘급증’
잉카인터넷, 펜타시큐리티시스템 등 그동안 인증부재로 어려움을 겪었던 웹 방화벽 기업들은 조속한 시기에 인증을 획득, 시장 공략을 강화할 계획이다. 잉카인터넷의 경우에는 늦어도 11월에는 인증을 받을 수 있을 것으로 예상하고 있다.
잉카인터넷(대표 주영흠 www.inca.com)은 KT&G, 경남대학교, 문화관광부 등 40여 곳에 웹 방화벽 솔루션인 엔프로텍트 웹파이어월’을 공급했다. 지난해 10여 개의 레퍼런스 확보에 그쳤다는 점을 고려하면, 비약적인 성장이다.
잉카인터넷 유인향 차장은 “웹 방화벽 프로모션 등을 통해 공격적인 시장 개척을 진행하고 있다”며 “올해 연말까지 80여 개의 레퍼런스 사이트를 확보해 시장 교두보를 확보할 것”이라고 전망했다.
국산 보안 1세대 기업인 펜타시큐리티시스템(대표 이석우 www.pentasecurity.com)도 올 상반기에만 40여 곳의 레퍼런스를 확보하는 등 웹 방화벽 시장에서 만만찮은 성과를 올리고 있다. 태웅, 아주대학교, 리드코프 등이 펜타시큐리티가 올해 확보한 레퍼런스 사이트들이다.
펜타시큐리티 측은 “웹 방화벽 뿐만 아니라 홈페이지 취약점 점검 등 전반적인 웹 보안 향상을 위한 솔루션 일괄 구매 수요가 증가하고 있어 웹 암호화 솔루션, DB 보안 솔루션 등 웹 애플리케이션과 관련된 다양한 제품 라인업을 완비한 펜타의 강점이 부각될 여지가 높다”며 시장 형성에 강한 자신감을 보였다.
또 다른 복병은 F5네트웍스, 파이오링크 등 스위치 기반 제품의 반격. 스위치 기반 웹 방화벽은 상대적으로 높은 가격이 걸림돌로 꼽히지만, 성능 면에서는 어플라이언스 기반 제품보다 월등한 성능을 제공할 수 있는 강점이 있다.
파이오링크(대표 조영철 www.piolink.com)의 경우, 이를 바탕으로 지난해 KT, SK텔레콤 등에 ‘웹프론트’를 공급하는 성과를 올렸으며, 올해도 팬택 등으로 레퍼런스를 확장하고 있다. 대학권에서도 부산여대, 성신여대 등을 레퍼런스 사이트로 확보한 상황이다. 웹 방화벽 시장의 가격 파괴가 파이오링크에게도 적잖은 짐이 되는 것은 사실이지만, 스위치 기반으로 다른 웹 방화벽 솔루션과 차별화될 수 있기에 가격 파괴의 영향권을 직접적으로 받고 있는 것은 아니다.
파이오링크 조영철 사장은 “무리한 확장보다는 내실있는 점진적 성장을 계획하고 있다”면서 “고성능 웹 방화벽에 대한 수요가 증가하고 있어 웹 방화벽 시장의 20% 이상을 점유할 수 있을 것으로 기대한다”고 밝혔다.
특히 파이오링크 측은 하반기 최대 프로젝트로 전망되는 정부 통합센터 웹 방화벽 프로젝트에 큰 기대를 걸고 있다. 통합센터의 경우, 고성능이 요구되기 때문에 스위치 기반으로 높은 성능을 보장하는 웹프론트가 공급될 여지가 충분하다는 것이 파이오링크 측의 견해다.
외산 솔루션 ‘권토중래’
스위치 기반 웹 방화벽 시장을 개척하고 있는 F5네트웍스도 하반기 대공세를 준비하고 있다. F5네트웍스코리아(대표 남덕우 www.f5.com) 오는 9월 자사 웹 방화벽 트래픽쉴드의 새로운 버전을 출시할 계획으로 이에 발맞춰 시장 공략을 한층 강화한다는 복안을 갖고 있다.
F5코리아 양경윤 부장에 따르면, 차기 버전은 웹 방화벽 시장 공략을 위해 F5가 그동안 인수했던 매그니파이어와 쌩텀의 기술력이 F5의 보유 기술과 완전히 통합된 제품으로, 더욱 향상된 보안성은 물론, 운영의 편리성도 보장할 수 있는 제품이다. 오라클 등 주요 애플리케이션 벤더들의 제품 특성에 맞춘 자동화 툴이 포함돼 웹 방화벽 제품의 문제점이었던 운영의 어려움을 해소시킬 수 있는 것이다.
양경윤 부장은 “제품 출시는 9월 말로 예정돼 있는데 향상된 기능과 편리성으로 웹 방화벽 시장을 근본적으로 변화시킬 것”이라는 자신감을 표시하며, “신제품 출시 이후에는 웹 방화벽 시장에 보다 적극적으로 대응할 방침”이라고 밝혔다.
하지만, F5코리아는 새 버전 출시 이후에도 단독형 제품 보다는 스위치형 제품에 주력할 방침이다. 성능으로 극복하기에는 어플라이언스형 웹 방화벽 제품의 가격 파괴가 너무 심화됐다는 판단 때문이다. 또한 궁극적으로는 애플리케이션 딜리버리의 대두에 따라 웹 방화벽과 애플리케이션 스위치는 통합되는 방향으로 나아갈 것이기에 어플라이언스 웹 방화벽에 대한 별도의 대응보다는 웹 방화벽의 장점으로 BIG-IP의 레퍼런스 확대에 힘쏟을 계획이다.
시트릭스시스템즈코리아(대표 우미영 www.citrixkorea. com) 역시 대대적인 반격을 준비하고 있다. 시트릭스는 2005년 말 인수한 테로스의 웹 방화벽 기술을 스위치에 통합한 ‘넷스케일러 8.0’을 8월 발표하면서 F5코리아의 BIG-IP와 경쟁하겠다는 의지를 분명히 했다. 시트릭스코리아 측은 이번 8.0 버전에서는 웹 방화벽을 비롯한 보안 능력강화에 무게를 뒀다면서 애플리케이션 딜리버리 개념과 스위치 기반의 앞선 성능을 바탕으로 돌풍을 자신했다.
국산 웹 방화벽 업체들의 가격 공세와 국정원 보안성 검증이란 암초를 맞이해 주춤했던 외산 솔루션들은 앞선 성능을 바탕으로 권토중래를 노리고 있다. 넷컨티넘을 공급하는 안철수연구소(대표 오석주 www.ahnlab.com)는 거센 가격 공세 속에서도 국내 대형 통신사 및 생명보험사외 10여 개 사이트에 공급하는 성과를 올렸다고 밝혔다. 가격보다는 성능을 중시하는 기업군을 중심으로 수요가 발생하고 있다는 것이다. 웹 방화벽인 AF시리즈와 애플리케이션 게이트웨이인 AG시리즈로 세분화된 제품군을 제공, 단순한 웹 보안 뿐 아니라 가용성 측면에서 차별화된 성능을 제공하는 것이 장점. 또 최근에는 한글화된 모니터링 및 레포팅툴을 개발, 제공함으로써 외산 솔루션이 가지는 언어적 불편을 해소시키고 있다.
안철수연구소 유종훈 차장은 “국산 솔루션의 가격 공세로 인해 고전하는 것은 사실”이라며 “가격 공세에 대응하기보다 성능 우위를 살릴 수 있는 시장 공략을 통해 실익을 올릴 수 있도록 할 방침”이라고 전했다.
OWASP 10대 취약점 2007
국제 웹 애플리케이션 보안 표준단체인 OWASP(Open Web Application Security Project)가 웹 애플리케이션에서 가장 심각하다고 생각되는 10가지 보안 취약점을 선정 발표하는 것으로 웹 방화벽의 필수 요소다. OWASP 10대 취약점 해소는 모든 웹 방화벽 제품들이 가장 기본적으로 구현하고 있다. OWASP는 2004년 이후 3년만인 2007년 전면개정판을 발표했으며, 이번에 발표된 10대 취약점은 다음과 같다.
A1. 크로스사이트 스크립팅(XSS)
A2. 인젝션 결함
A3. 악성 파일 실행
A4. 안전하지 않은 직접 객체 참조
A5. 크로스사이트 리퀘스트 변조(CSRF)
A6. 정보 누출 및 부적절한 오류 처리
A7. 취약한 인증 및 세션 관리
A8. 불안전한 암호화 저장
A9. 안전하지 못한 통신
A10. URL 접근통제 실패
