2003년 1·25 인터넷 대란 이후 IPS(Intrusion Prevention System)는 기업보안의 필수품으로 떠올랐다. 악의적인 분산서비스거부공격(DDoS)에 대항하기 위해서는 IPS를 통한 방어가 가장 최선책으로 평가됐기 때문이다.

지속성장세 유지
국내에 IPS의 개념이 도입 소개된 이후 4~5년이 지난 오늘날 IPS 자체적인 시장 이슈는 적다고 할 수 있다. 대형 하이엔드 시장에서는 IPS가 일반화돼 시장 성숙기에 접어든 상황이며, IPS의 새로운 시장 공략 지점이라 할 수 있는 미드레인지급 이하 시장에서는 IPS는 물론 VPN, 방화벽 등을 하나의 어플라이언스에 탑재한 UTM(Unified Threat Management)으로의 추세가 뚜렷하기 때문이다.
이에 IPS 시장은 10% 내외의 견실한 성장률을 지속적으로 이어나가고 있다는 것이 업계의 평가로 올해 IPS 시장 규모는 400억원을 다소 상회하는 것으로 예측된다. IPS 시장은 성숙기에 접어들었지만, 개인정보보호법 논의와 관련 법안의 개정 등에 따라 금융기관과 포털, ISP 등에서 추가적 도입이 이뤄진 것이 시장 성장세를 뒷받침한 것으로 평가된다.
겉으로는 평온하기 이를 데 없는 한해를 보냈다고 할 수 있지만, 향후 IPS 시장은 더욱 치열한 경쟁 국면에 접어들 것으로 전망된다. 올해 안철수연구소란 새로운 강자의 출현과 더불어 티핑포인트 IPS의 국가보안적합성 검증필 획득으로 상징되는 글로벌 보안 기업의 대공세가 예상된다는 점이 시장 격변을 불러오는 요인이라고 할 수 있다.
유니포인트 보안사업부문 인수 이후 네트워크 보안 시장 공략을 강화하고 있는 안철수연구소는 최대의 국산 보안 기업일 뿐만 아니라 국내 보안산업의 대표성을 띄고 있는 기업이란 점에서 기존 강자들을 긴장시키게 하는 요인임에는 분명하다.
안철수연구소의 ‘앱솔루트IPS(AhnLab Absolute IPS)’는 아름방송, HCN 등의 케이블TV 업체에 공급된 상황이며, 지난 8월에는 8Gbps급 IPS로 EAL4 수준의 국제CC 인증을 획득, 시장 공략을 더욱 본격화할 태세를 갖추고 있다.

IPS 시장 양강구도 붕괴(?)
네트워크 보안 사업으로 진출하는 안철수연구소의 모습도 주목할 부문이지만, 무엇보다 주목되는 것은 글로벌 기업들의 움직임이다. 특히 티핑포인트는 지난 8월 말, 외산 솔루션 중 최초로 국가보안적합성 검증필을 획득해 공공시장을 공략할 수 있는 기반을 마련했다. 국가보안성 검증은 보안제품의 공공기관 공급을 위해서는 반드시 받아야 하는 인증으로, 티핑포인트는 ‘티핑포인트IPS 400/1200/2000/2400’ 등 4개 모델에 대한 검증필을 획득했다.
티핑포인트 박진성 이사는 “국내 정부기관으로부터 성능과 안정성을 검증받았다는 상징적 의미도 있어, 공공기관 뿐 아니라 민수시장에서의 수요 증가에도 도움이 될 것”이라는 기대를 덧붙이며, “기존 강점을 지닌 일반 기업시장에서의 입지를 더욱 굳건히 할 방침”이라고 밝혔다.
국내 시장에서 IPS 붐을 가져온 장본인인 라드웨어 또한 시장 공략을 가속화하고 있다. 올해 초 SMB용 IPS 제품인 ‘미니디펜스프로’를 출시한데 이어 10월에는 행동 기반 서버 IPS 기능을 특징으로 하는 ‘디펜스프로4.0’을 출시하는 등 시장 공략의 불을 당긴 상황. 또한 라드웨어는 11월 국내에서 높은 이용률을 갖고 있는 동영상 재생 프로그램인 ‘곰플레이어’의 시그니처를 개발, 디펜스프로에 추가하기도 했다.
이러한 도전은 양강으로 불리는 윈스테크넷과 LG엔시스의 내부적인 대변화와 맞물리면서 양강구도의 재편까지 전망되고 있다. 우선 윈스테크넷의 경우, 나우콤과의 합병이 최대 변수로 꼽힌다. 각자경영체제로 양사 사업의 큰 변화는 없지만, ‘나우콤의 우회상장을 위해 윈스테크넷이 이용되는 것이 아니냐’는 의혹이 발목을 잡고 있다.
윈스테크넷 측은 “윈스테크넷 주도의 합병으로 윈스테크넷이 인터넷TV 분야로 사업을 확장하는 것”이라고 밝히고 있지만, 합병 후 나우콤으로의 사명변경 등이 이뤄지고 있다는 점에서 루머는 잠재워지지 않고 있다. 더불어 불과 1년 전 유사한 방법으로 진행된 퓨쳐시스템과 나노엔텍의 합병이 불과 4개월여 만에 퓨쳐시스템 재분리(코스닥 자동퇴출)란 헤프닝으로 끝났다는 점은 우회상장에 대한 논란을 그치지 않게 하고 있다.
LG엔시스의 경우, LG CNS의 계열 자회사로 흡수되면서 보안사업이 LC CNS 쪽으로 이관되는 일대 변화가 일어났다. LG CNS는 기존 보유한 대형 시스템 구축 역량에 보안 솔루션 제품을 결합, 보안 컨설팅에서부터 시스템 구축, 유지보수, 관제까지 통합 제공하는 ‘토털 보안서비스’로 시장 영향력을 더욱 확대한다는 전략이다.
기업 보안에 대한 요구가 증가하면서 보안SI의 중요성과 위상이 높아지고 있는 시장 변화를 반영했다는 점에서 시너지 효과가 기대되지만, 이관 첫해로 실제적인 효과는 아직까지는 미지수라고 할 수 있다. 더불어 변화의 틈을 노린 경쟁사의 공세도 거세지고 있다는 점은 LG CNS의 불안요소 중 하나다.
긍정적인 요인은 이관 시너지가 최근 본격적으로 발생하고 있다는 점이다. LG CNS는 11월 차이나텔레콤 자회사인 FFCS에 세이프존IPS를 주문자상표부착생산 방식으로 연간 100만달러에 달하는 공급계약을 체결하는 성과를 이뤄내는 성과를 거뒀다.

차세대 10Gbps 경쟁 ‘핵심키’
미드레인지 이하 시장에서 UTM이 굳건히 자리잡았다는 점에서 IPS 시장 경쟁은 고성능 제품으로 모아지고 있다. 네트워크 백본망의 10Gbps 진화와 함께 IPS 또한 10Gbps로 진화하고 있다는 점도 10Gbps IPS 경쟁의 불을 붙이는 요소다.
센터비전의 IPS ‘랩터’ 시리즈를 이전한 모보는 기존 랩터 IPS를 계승하는 ‘랩터 RT7000’를 출시해 시장 공략을 강화하고 있다. 라드웨어 또한 10Gbps ‘디펜스프로 6000’을 출시, 10Gbps 고성능 시장에 대응하고 있는 상황. 라드웨어는 G마켓과 디지틀조선일보 등에 디펜스프로 6000을 공급, 시장 선점에 나서고 있다.
윈스테크넷의 경우에도 10Gbps 관련 기술을 확보, IPS 제품 출시의 시기를 조율하고 있는 상황. G마켓과 하나로텔레콤 등에 10Gbps IDS를 공급한 윈스테크넷은 10Gbps IPS의 핵심기술을 적용해 KT의 ‘10Gbps 네트워크 트래픽 수집장치 구축사업’에 공급한 상황이다. LG CNS 역시 보안사업 이전으로 미뤄진 10Gbps IPS 제품을 조기 출시하고 고성능 시장 선점에 나설 방침. ETRI와의 기술교류로 개발되는 LG엔시스의 10Gbps IPS는 멀티코어 프로세서와 네트워크프로세서(NPU)를 기반으로 강력한 성능 구현을 실현하는 것으로 알려진다.
지모컴은 통신사업자(ISP)의 보안관제 서비스를 가능하게 하는 초대형 IPS인 ‘웜브레이커3500’으로 고성능 시장에 대응하고 있다. 지모컴의 웜브레이커3500은 KT 코넷프리미엄 서비스의 핵심장비로 ‘웜브레이커3500’을 공급했다. 지모컴 측은 “초대형 IPS인 웜브레이커3500은 트래픽분석/관리, 보안, QoS 등의 부가적인 서비스도 가능케 해 통상적인 10Gbps IPS가 제공하는 이상의 성능을 구현, 통신사업자에 의한 저렴한 보안관제 서비스를 가능케 한다”고 강조했다. 이 외에 안철수연구소, 어울림정보통신 등의 국산 기업들은 물론, 맥아피, 티핑포인트, 라드웨어 등의 외산 기업들도 10Gbps 제품 출시를 준비중인 것으로 알려진다.

SMB 시장 전망 ‘맑음’
10Gbps가 아직은 시기상조라는 의견도 만만치는 않다. 기존 구축된 IPS 장비가 존재하고 있는 상황에서 기존 IPS를 연동하는 것이 현 시점에서는 보다 비용 효율적 방법이란 의견이 그것이다.
티핑포인트 박진성 이사는 “현재 출시된 10Gbps 제품 중 쓰루풋까지 10Gbps를 제공하는 진정한 10기가 제품은 없고, 대부분 10Gbps 인터페이스와 로드밸런싱을 활용하는 방식을 활용하고 있다”면서 “현재 로드밸런싱을 통한 연동이 비용효율성 측면에서 모든 IPS 업체들이 쉽사리 (쓰루풋) 10Gbps 제품을 출시하지 못하고 있고, 내년 하반기에나 진정한 10기가 시장이 열리게 될 것”이라고 전망했다.
다른 한편, IPS 기업들은 내년도 시장에 큰 기대를 걸고 있는 모습이다. 지난 10월, DDoS 공격으로 아이템거래사이트가 마비된 사례에서 볼 수 있듯 금전적 이득을 노린 해커들의 DDoS 공격이 사회적 이슈로 대두되고 있기 때문이다.
현재 DDoS 공격에 대한 기업 보안 방안으로는 IPS 구축이 최선의 방법으로 여겨지고 있다. 이에 IPS 도입이 내년도 다시 붐을 이룰 수 있다는 것이 업계의 기대다. 특히 해커의 DDoS 공격이 보안이 취약한 중소기업의 사이트들을 노린다는 점에서 SMB 시장에서의 IPS 도입을 촉발시킬 수 있는 계기가 될 것으로 전망된다.
<오현식 기자·hyun@datanet.co.kr>

전문가기고
ID&P 통한 안전한 데이터 센터 구축 ‘필수’
단일 공격 지점 데이터센터 보호 부상 … NAC·VPN 연동으로 효율적 방어

김현준 // 주니퍼코리아 과장·kevinkim@juniper.net

많은 기업들이 데이터 센터 서버를 중앙 집중화함으로써 상당한 개선 효과를 거두고 있다. 데이터센터는 총소유비용을 절감하고, 보다 효율적으로 리소스를 활용할 수 있으며, 새로운 애플리케이션을 신속하게 구축하는 것은 물론, 장애를 빠르게 해결할 수 있으며, 이러한 점에서 데이터센터는 분산 비즈니스 네트워킹을 위한 토대라고 할 수 있다.
데이터센터에서는 보안이 중요하다. 데이터센터의 구축은 기밀정보에 불법적으로 액세스하려는 의도를 가진 사람들에게 단일 공격 지점이 될 수 있으며, DoS 공격을 통해 네트워크 제어권을 탈취하는 수단이 될 수 있기 때문이다.
기업 데이터센터는 매일같이 발생하는 바이러스, 트로이 목마 및 기타 악성 코드 공격뿐만 아니라 침입 및 DoS 공격을 비롯한 네트워크 위협의 표적이 될 가능성이 높다. 나아가 오늘날의 악의적 해커들은 재정적인 이익을 도모하는 경향을 갖고 있어 더욱 위험하며, 데이터센터 보안은 보다 더 중요하게 다뤄져야 할 사항이다.
지난해에 발표된 대부분의 보고서들은 재정 정보와 개인 기밀 정보가 도용된 사례들을 보고하고 있으며, 특히 이러한 많은 위반 사건들이 주로 유명한 대기업에서 발생하고 있다. 미국의 시민단체 PRC(Privacy Rights Clearinghouse)는 “미국의 경우, 2005년 2월 이후 미국 국민 8천8백만 명 이상의 데이터 기록이 보안 위반으로 인해 노출됐다”는 조사결과를 전하기도 했다. 미국 이외에 전세계적로 시선을 돌리면, 그 수치는 더욱 높아지게 된다.
웹 기반 애플리케이션이 널리 확산되면서 웹 서버는 새로운 공격 채널이 되고 있다. 시큐리티포커스(Security Fo cus)는 2005년 보고된 보안 침해의 2/3 이상이 웹 관련 사건이었다는 통계를 발표하기도 했다. 시큐리티포커스는 개발자들이 취약점에 대한 패치를 작성하기 위해 제품의 프로그래밍 결함을 추적하는 커뮤니티다.
문제는 해커들이 이제 매우 빠르게 움직이고 있기 때문에 패치가 즉각 제공되지 않을 경우에는 많은 시스템들이 급격히 손상될 수 있다는 점이다. 예를 들어 ‘Zotob’ 바이러스는 마이크로소프트가 침해사고를 확인하고 발표한 다음 5일 내에 유포된 바 있다. ‘제로 데이 침해(zero-day exploit)’로 데이터센터를 장악하는 데 걸리는 시간은 훨씬 더 빨라진 상황이다.

방화벽 이은 제2방어선
점차 다양화되고, 수적으로도 증가하는 위협을 차단하기 위해서 데이터센터 관리자들은 딥 패킷 인스펙션(deep packet inspection)과 같은 고급 보안 기능을 갖춘 방화벽 솔루션을 통해 제1방어선을 구축하고 있다. 하지만 최근 공격 양상이 더욱 교묘해짐에 따라 보다 강력하고 정교한 대응 기술이 요구되고 있으며, 이에 부상하는 방어 수단이 바로 ID&P(IDS & IPS)다. ID&P는 인증 받지 않은 트래픽을 차단하는 방화벽의 기능을 강화함으로써 기업의 데이터센터를 완벽하게 보호하게 된다. ID&P 솔루션은 공격이 방화벽 경계선을 침입하면, 네트워크 내부의 이상을 검사·식별함으로써 침입을 차단할 수 있다.
ID&P에서 기본적으로 요구되는 사항은 손상을 입기 전에 네트워크 및 애플리케이션 레벨 공격을 차단할 수 있어야 한다는 점이다. 또한 최근 문제가 되고 있는 제로데이 공격에 의한 피해를 최소화하기 위해 웜, 트로이 목마, 스파이웨어 키로거(keylogger) 및 기타 멀웨어(malware)가 네트워크에 침투하고 이미 감염된 사용자에 의해 다른 사용자에게 확산되는 것을 차단하는 제로데이 보호를 제공하는 능력도 요구된다. 나아가 포괄적이고 사용하기 쉬운 인라인 보안 기능을 제공함으로써 침입과 관련된 시간과 비용을 최소화할 수 있는 능력도 요구된다.
침입의 효과적인 차단을 위해서는 네트워크에 대한 공격을 차단할 뿐 아니라 임의로 네트워크에 연결돼 유해 트래픽을 발생할 수 있는 서버 및 애플리케이션에 대한 정보도 제공돼야 한다. 피어 투 피어 또는 인스턴트 메시징과 같은 권한 없는 애플리케이션이 네트워크에 추가됐다는 사실을 확인하게 되면, 관리자는 더욱 손쉽게 보안 정책을 적용, 기업의 애플리케이션 사용 정책을 준수할 수 있기 때문이다. ID&P의 운용에 중앙 집중식 역할 기반 관리 방식을 접목시킴으로써 시스템의 동작을 세부적으로 제어하게 돼 보다 효과적으로 공격에 대응할 수 있게 된다.
광범위한 로깅 및 완벽하게 사용자 정의된 리포팅 기능도 중요한 부문이다. 이를 통해 관리자는 네트워크에 존재하는 특정 애플리케이션과 자산에 대한 가시성을 제공받을 수 있게 되는 것은 물론, 언제, 어떻게, 누구에 의해서 사용되는지에 대해서도 쉽게 파악할 수 있게 된다.

NAC 연동, 내부 감염 차단
최근 ID&P에서 나타나는 기술적 진화는 방화벽, VPN 등 다른 보안 기술과의 연동부문이다. 침입 차단 기능을 방화벽이나 VPN 기술과 통합함으로써 인증을 통해 어디에서나 핵심 데이터 및 미션 크리티컬한 리소스에 안전하게 연결하는 가시적 효과를 얻을 수 있게 된다. 주니퍼의 경우에는 확장 가능한 네트워크, 애플리케이션 수준의 보안성을 주니퍼IDP 솔루션과 ISG 방화벽을 결합해 제공하고 있다. 이를 통해 기업은 네트워크의 유연성을 한층 높일 수 있게 된다.
보안 시장의 최대 이슈라고 할 수 있는 NAC와의 연동도 최근 시도되고 있는 ID&P의 진화 중 하나다. NAC와의 연동을 통해 외부로부터의 침입 뿐 아니라 데이터센터 내 서버, 혹은 네트워크 작업자들의 PC 감염에 의해 발생될 수 있는 내부 감염 요소를 차단할 수 있게 돼 보다 철저한 정보보호가 가능하게 된다.
주니퍼의 네트워크 접근제어 솔루션인 UAC와 주니퍼 IDP를 연동한 예를 통해 ID&P와 NAC의 연동 과정을 설명하면, 데이터센터 관리자 또는 데이터 센터 작업자들의 PC가 감염되었을 경우, IDP가 이를 탐지해 접근제어 장비(Infranet Controller)로 신호를 보내게 된다. 접근제어 장비는 PC 에이전트 또는 IEEE 802.1x를 이용해 유해트래픽 발생 관리자 또는 작업자를 네트워크 상에서 실시간으로 격리 또는 차단시킴으로써 내부 감염 요소를 효율적으로 차단하게 된다.

ID&P는 보안 위협의 규모와 다양성, 빈도가 증가하는 상황에서도 안전하게 데이터센터를 중앙 집중화할 수 있는 이점을 제공한다. 나아가 VPN, NAC 등과의 연동을 통해 고품질 방화벽, 원격 액세스 방법 등이 포함된 포괄적인 보안 계획이 균형을 유지하도록 함으로써 보다 효율적인 리소스 활용에 따른 개선 효과를 거둘 수 있게 함은 물론, 새로운 형태의 위협들에 대비하는 강력한 보호 체계를 유지할 수 있는 방향으로 진화하고 있다.

데이터넷