시장 확산 조건 ‘충분’ … 과열 경쟁 ‘걸림돌’
웹 방화벽 도입 ‘필수’ … 업계 자정 노력 선행돼야
웹은 언제, 어디서나 인터넷 접속만 가능하다면, 누구나 연결해 관련 정보를 볼 수 있는 편리함을 가져다준다. IT의 발전으로 언제, 어디서나 인터넷에 접속할 수 있는 유비쿼터스 환경과 결합해 웹의 편리함은 더욱 더 강화되고 있다. 이에 웹의 활용은 더욱 증가하고 있는 상황이다. 기업들 또한 웹의 편리함을 적극 활용하기 위해 기업 애플리케이션의 웹 전환을 가속화하고 있으며, 이에 기업용 애플리케이션의 웹화(Webification)를 지칭하는 다양한 용어가 난무할 정도다.
웹 애플리케이션의 사용 증가로 인해 웹은 주요 공격 지점으로 떠오른 상황이다. 이에 주목받는 것이 바로 웹 애플리케이션 방화벽(이하 웹 방화벽)이다. 기존 네트워크 방화벽으로는 웹 애플리케이션의 통로인 80포트, 443포트의 차단이 어렵다는 점에 착안해 등장한 것이 바로 웹방화벽으로 이들 포트를 감시해 웹 공격을 차단하게 된다.
웹으로의 전환이 눈에 띄게 증가하고 있어 웹방화벽은 몇 년 전부터 차세대 보안 솔루션으로 주목받아 왔으며, 국내 시장에서도 전문기업을 표방하면서 모니터랩, 듀얼시큐어코리아, 트리니티소프트 등 다수의 기업이 등장해 시장 개척에 나선 상황이다. 여기에 더해 웹 보안이 주목받으면서 참여 기업은 계속 증가해 2007년에만도 윈스테크넷, 시큐아이닷컴 등 전통적 보안 기업들의 참여가 잇달았으며, 이에 웹 방화벽은 UTM 분야와 함께 가장 많은 기업이 치열한 경쟁을 펼치는 보안 분야가 됐다.
그러나 업계의 기대만큼 웹 보안은 성장하지 못하고 있다. 최근 몇 년간 시장의 기대주로 주목받았지만, 2007년에도 여전히 시장 성장이 답보상태를 벗어나지 못하고 있는 것. 2007년 웹방화벽 시장은 약 100억원대 초반을 형성했다는 것이 중론이며, 보다 긍정적으로 시장 상황을 평가해도 150억원을 넘지 않을 것이라는 의견이 대부분이다.
과열 경쟁 심화 ‘제 무덤 파기’
웹 공격이 주류로 부상해 시장의 관심이 증가했음에도 본격적인 성장궤도에 올라서지 못하는 이유로는 지나친 과열 경쟁이 우선 지적된다. 웹방화벽 경쟁에 참여하고 있는 기업은 언뜻 생각해도 10여개 이상이 떠오를 정도로 많다. 현재 약 20여개의 기업이 이 시장에서 치열한 경합을 벌이고 있는 상황이다.
100억원대에 불과한 시장에서 지나치게 많은 참여기업의 숫자로 시장 과열이 일어날 수밖에 없는 구조인 것이다. 더욱이 웹 방화벽은 웹 보안의 대두로 높은 잠재력을 지녔다고 평가되고 있어 각 기업들은 초기시장 선점을 위한 양보없는 경쟁을 벌이고 있어 과열을 넘어서 출혈경쟁까지 벌어지고 있다.
과열경쟁으로 인한 단가 하락은 웹 방화벽의 수요가 탄력을 받으면서 각 사의 레퍼런스가 증가하고 있음에도 불구하고 전체 시장을 키우지 못하는 악순환을 낳고 있다. 지나친 가격경쟁으로 인해 정상적인 가격으로는 억대의 공급이 이뤄져야할 사이트가 수천만원에 불과한 금액에 공급되고 있어 도입 사이트의 증가가 전체 시장 파이 확대로는 연결되지 않는 것이다.
시장 확대가 더딘 또 다른 이유는 웹 방화벽의 까다로움이다. 물과 기름의 관계처럼, 개방성이 특징인 웹과 반대로 차단을 목표로 하는 보안은 숙명적으로 어울릴 수 없는 관계라고 할 수 있다. 웹과 보안의 본질적인 이질감 때문일까, 웹 방화벽은 운영의 어려움을 가중시킨다고 알려져 있다.
애플리케이션과 별개로 구축/운용될 수 있었던 방화벽, ID&P 등 전통적인 네트워크 보안 솔루션과 달리 웹 방화벽은 가용성 유지를 위해 애플리케이션을 항상 염두에 두고 보안 정책을 실행해야 한다. 애플리케이션의 변화에 맞춰 지속적인 룰 수정이 요구되는 것으로 효율적인 운영을 위해서는 보안에 대한 이해뿐 아니라 애플리케이션, 네트워크에 대한 이해가 필요하다.
이에 기업 담당자들은 한층 증가된 관리요소에 어려움을 토로하고 있다. 나아가 입으면 따뜻하지만, 불편한 겨울옷과 같이 웹 방화벽 도입은 필연적으로 웹 애플리케이션 성능 저하를 불러일으킨다는 점도 도입의 걸림돌로 존재한다.
웹 방화벽은 ‘필수’
웹 방화벽 확산이 더디지만, 웹 방화벽 도입은 피할 수 없는 과제다. 가트너에 따르면, 오늘날의 공격 중 70% 이상이 웹 애플리케이션을 겨냥하고 있다. 이는 웹 방화벽 도입이 선택이 아닌 필수임을 보여준다.
웹 애플리케이션 공격에 대한 대안은 웹 방화벽이 거의 유일하다. 애플리케이션의 초기 소스코드 디자인에서부터 애플리케이션의 보안 취약점을 제거하기 위한 노력을 진행함과 동시에 ‘디자인→코딩→구축→감사’의 보안 사이클을 준수한다면 보안 위협은 상당부문 완화될 수 있겠지만, 이것만으로는 완벽하다고 자신할 수는 없다. 물론 웹 방화벽 역시 완벽할 수는 없다. 보다 완벽한 보안을 위해서는 소스코드 보안과 웹 방화벽, 이들을 함께 운영해야 하는 것이다. 하지만, 현실적으로 소스코드 보안은 더 어려운 문제다.
애플리케이션 개발자의 경우, 보안에 대한 이해가 부족할 뿐 아니라 짧은 시간 내에 본연의 임무에 충실한 결과물을 생성하기 보안코딩에는 신경을 쓸 여력도 없다. 웹 방화벽이 반드시 요구되는 이유다.
더불어 웹 방화벽의 기술 발전으로 인해 성능저하, 운영의 어려움 등 시장확산의 걸림돌들이 점차 해소되고 있다는 점도 웹 방화벽에 대한 장밋빛 전망을 가능케 하는 요인이다. 널리 쓰이는 애플리케이션의 경우에는 일종의 체크박스를 통해 클릭 한번으로 각종 설정을 수행할 수 있는 기능이 탑재돼 운영의 어려움을 감소시키고 있다.
또 포지티브 방식의 일색이었던 초기에 비해 최근에는 포지티브 모델에서의 성능저하 문제를 보완하기 위해 네거티브 모델을 혼용한 하이브리드형이 웹 방화벽의 주류로 부상하는 등 개선이 이미 이뤄진 상황이다.
이러한 기술적 요인과 함께 시장 여건의 개선도 웹 방화벽의 성장을 기대하게 하는 요인이다. 시장 왜곡의 해소가 바로 그것이다. 2006년 말부터 2007년 초까지 웹 방화벽 시장은 인증에 의한 시장 왜곡 논란으로 떠들썩했다.
CCRA 가입으로 인증제도가 변화하면서 단 한 종의 제품이 공공시장을 상당기간 장악할 수 있는 구조가 웹 방화벽 부문에서는 형성됐다는 점이 시장 왜곡 논란을 불러일으킨 배경이다. 이러한 논란은 업체간 불신을 불러일으켜 딴지걸기식 소송이 난무하고, 출혈경쟁을 부채질하는 요인으로 작용했다고 평가된다.
하지만, 1년이란 시간이 흐르면서 변화된 인증제도가 정착되고, 시장왜곡 방지를 위한 다양한 보완제도가 출현함에 따라 업체 간 불필요한 경쟁, 감정싸움을 더 이상 진행하지 않아도 되는 조건이 마련됐다. 동일한 조건에서 공정하게 경쟁할 수 있는 시장 상황이 마련된 것이다.
ADN, 웹 방화벽 성장 견인
지난 몇 년간 기대 이하의 성장을 보였지만, 웹 방화벽 시대는 시나브로 다가오고 있다. 정부 통합센터, 교육부의 각 시도 교육청 웹 방화벽 도입 등이 이뤄지고 있으며, 각 자치단체별로 웹 보안을 위한 웹 방화벽 도입이 조금씩 증가하고 있다는 점은 이를 반증하는 사례라고 할 수 있다. 또 행정자치부는 웹 보안과 관련해 전자정부서비스를 제공하는 모든 행정기관에게 22개 보안 취약점을 개선하도록 권고하는 등 확산의 분위기는 무르익어 가고 있다.
더불어 ADN(Application Delivery Network)의 대두는 웹 방화벽 시장 성장을 견인할 수 있을 것으로 기대된다. ADN을 이뤄내기 위해서는 안전한 전송을 구현하는 웹 보안이 반드시 선행돼 신뢰를 확보해야 하기 때문이다. ADN 시장의 패권을 노리는 F5, 시트릭스 등이 모두 웹 방화벽을 기본으로 가져가고 있다는 점은 이를 보여준다. ADN의 확산은 웹 방화벽에게는 분명 기회로 작용할 것이다.
물론 여기에는 그동안 이전투구를 펼치며 쌓인 업체 간 앙금을 털어내는 일이 선행돼야 할 것이다. 웹 방화벽의 도입 필요성에 대한 인식이 확산되고, 상당수의 레퍼런스가 확보되는 등 시장 조건이 성숙된 만큼 쌓인 감정의 응어리를 털어내고 지나친 과열·출혈경쟁에 대해 업계 스스로 자정을 이룰 수 있을 때 웹 방화벽 시장은 파이를 키울 수 있을 것이다.
<오현식 기자·hyun@datanet.co.kr>
웹보안 / 기고
대기업·금융권 도입 ‘속속’ … 고성능·안정성 요구 ‘증가’
2008년 레퍼런스 확대 지속 … 저가 경쟁 해소 없이는 시장 확대 ‘불가능’
이장노 // 파이오링크 기획실 실장·james@piolink.com
웹애플리케이션이 갖는 개방성으로 인해 다양한 취약점이 존재한다는 것이 알려지면서 수많은 웹 보안 솔루션이 등장했다. 웹 보안 솔루션은 웹 애플리케이션의 프로그래밍 단계에서 적용되는 소스(Source) 감사 시스템, 운영중인 웹 애플리케이션에 대한 스캐닝을 통한 취약점을 알려 주는 웹 취약점 스캐너, 그리고 웹 애플리케이션이 가지는 취약점에 대한 공격을 막아주는 웹방화벽 등으로 크게 구분될 수 있다. 이 가운데 실제 고객의 입장에서 비용 대비 효과가 가장 크고, 가장 적은 노력으로 쉽게 구축할 수 있는 웹 방화벽이 웹 보안의 대세를 이루게 됐다.
국내에는 2005년에 국산 웹방화벽이 소개되기 시작했으나 학습을 통해 보안정책을 생성하는 포지티브(Positive) 보안 모델이 적용됨으로써 인해 대용량 사이트에서 실제 사용이 가능한 수준의 성능을 확보할 수 없는 문제를 야기했다. 이를 해결하는 방안으로 등장한 것이 단순 시그니처에 기반한 네거티브(Negative) 보안 모델을 주요 기능으로 하는 제품들이다. 이들 네거티브 기반 모델들은 초기에는 웹 방화벽이라고 말하기 보다는 좀 더 발달된 IPS라고 보는 것이 적절한 수준의 제품이라고 평가된다.
고성능 웹 방화벽 출현
웹 방화벽 제품들의 진화를 단계별로 살펴보면, 초기 웹 방화벽은 주로 사용하는 아파치나 IIS 등 웹서버 자체에 탑재되는 에이전트 또는 모듈 형태의 소프트웨어와 별도 관리 서버의 형태로 존재했다. 하지만, 이와 같은 형태의 1세대 웹 방화벽은 서버의 부하 증가에 막대한 영향을 미치거나, 에이전트 장애로 인해 실제 웹서비스가 제대로 되지 않는 등의 문제를 야기해 현재는 거의 사용되지 않고 있다.
이후 2세대 웹 방화벽으로 불리는 형태가 기존에 웹서버에 위치하던 에이전트 또는 모듈을 PC 서버에 탑재해 네트워크의 중간에 위치시키는 어플라이언스 방식이다. 2세대 웹 방화벽은 웹서버 자체의 부하나 장애를 해결하는 데 있어서 매우 유리한 구조를 가지는 반면, 다수의 웹 서버가 뒷단에 존재하는 경우에는 심각한 성능 저하를 가져오는 점이 단점으로 지적된다. 더불어 PC 서버 이용으로 인한 낮은 안정성으로 인해 24×365 서비스가 이뤄져야 하는 크리티컬한 웹 서비스에서는 도입을 꺼려하는 현상을 발생시키기도 했다.
앞서 언급한 1세대, 2세대 웹 방화벽의 단점을 해결하고 뛰어난 성능과 안정성을 확보하기 위해서 등장한 것이 보안 전용 L7 스위치 플랫폼과 웹 방화벽을 결합한 방식이다. 웹 보안 스위치 또는 스위치 기반 웹 방화벽이라고 말할 수 있는 이 3세대 방화벽 방식은 기본적으로 네트워크 스위칭 플랫폼을 이용해 고성능을 기본적으로 확보하면서도, 뛰어난 안정성과 장기간의 운영시에도 웹 서비스에 영향을 미치지 않는 다는 장점을 제공한다.
현재 SK텔레콤, KT, 하나로텔레콤 등의 국내 대형 통신 사업자들을 비롯해 국내 대기업의 표준화 작업에 주로 이용되는 것이 이들 스위치 기반 웹 방화벽이다. 또 국내 제1금융권 최초의 웹 방화벽 도입 프로젝트라 할 수 있는 농협의 보안 시스템 구축 사업에서도 스위치 기반의 3세대 웹 방화벽이 선정됐다. 스위치 기반 웹 방화벽은 성능과 안정성의 강점을 바탕으로 2008년에도 지속적으로 시장을 확대할 것으로 예상된다.
개인정보보호·편의성 향상 ‘대두’
현재 웹 방화벽 부문에서는 크게 세 가지 측면에서 요구사항이 증가하면서 웹 방화벽 기업들에게 풀어야 할 숙제를 던져주고 있다.
먼저 지적될 수 있는 것은 개인정보보호를 위한 요구사항이 부쩍 증가했다는 점이다. 2006년 말과 2007년 초 대부분의 웹 방화벽이 주로 웹 공격에 대해서는 네거티브 보안모델과 포지티브 보안 모델을 혼합 사용하는 하이브리드(Hybrid) 보안모델을 채택, 보안과 성능의 이슈에 적절히 대응할 수 있는 모델로 전환됐지만, 사용자가 웹 페이지에서 파일 업로드, 다운로드를 수행할 때 첨부된 파일에 개인 정보가 포함돼 있는지의 여부를 파악하지 못하는 것이 주요 이슈로 대두되고 있다.
국내 보안 기업들의 가장 큰 고객인 공공기관들은 웹에서의 개인정보보호 문제를 웹 방화벽을 통해 해결하기 위해 웹 방화벽 개발 기업들에게 지속적인 요구를 전달했으며, 이 결과 2007년 말 현재 대부분의 웹방화벽은 hwp, doc, xls, pdf, zip 등의 다양한 첨부파일에 대한 검사 기능을 제공하고 있다. 그렇지만 다수의 사용자가 이용하는 고속의 웹서비스 환경에서 첨부파일에 대한 검사 기능을 제공하는 것은 오히려 서비스의 속도를 저하시키는 결과를 초래하는 결과가 생성될 수 있다. 이에 성능저하의 문제없이 개인정보보호를 수행할 수 있는 능력보유가 웹 방화벽 시장 주도권의 향배를 가늠할 가늠자가 될 것이다.
두 번째는 보안성 향상을 목표로 했던 과거와 달리 지난해 하반기 이후로는 실제 관리자들의 활용도가 넓어짐에 따라 웹 방화벽 도입 사업 추진에 있어 관리 편의성 부문이 보다 강력하게 요구되고 있다는 점이다. 특히 고객들은 웹 방화벽이 기존의 네트워크 방화벽, IPS와 다르게 인식되고, 관리돼야 한다는 것에 대해 어려움을 토로하고 있다.
이러한 요구사항을 해결하기 위해서는 사용 편의성(Ease-Use)에 중점을 둔 보안 관리 방안과 편리한 보안 정책 적용 방안을 찾아서 적용해야 할 것이 요청된다. 또한 고성능 SSL 기능과 효과적인 웹가속 솔루션도 제공돼야 할 것으로 전망된다.
물론 현재에도 많은 웹 방화벽 개발업체들은 이러한 고객의 요구사항을 반영하기 위해 다양한 노력을 쏟아 붓고 있으며, 이런 노력들이 서서히 시장에서의 긍정적인 반응으로 돌아오는 결실을 맺고 있다고 판단된다. 실제로 2006년에 이어 2007년에도 대기업, 통신사업자 등에서 지속적으로 웹 방화벽을 도입하기 위한 표준화 선정 작업을 시작했으며, 제1금융권 최초로 농협에서 파이오링크의 웹 방화벽을 도입하는 등 웹 방화벽의 시장 확산이 가시화되고 있다.
세 번째 요구사항은 개인정보보호법의 영향으로 대형 사이트를 중심으로 SSL을 이용한 암호화·가속화에 대한 필요성이 점차 증가하고 있다는 점이다. 이들은 사용자 정보보호를 위해 웹 서비스 자체에서도 웹 가속과 SSL 기능을 제공할 것을 주문하고 있다. 이에 따라 일부 업체의 웹 방화벽은 웹가속 기능, SSL 가속 기능을 제공하는 형태로 발전하고 있으며, 다른 방화벽 업체들도 점차 이들 기능을 탑재하는 방향으로 뒤따를 전망이다.
저가 경쟁 ‘위험수준’
국내 기술로 만들어진 국산 제품의 완성도가 높아지는 시점은 2006년과 2007년에 주를 이뤘지만, 국내에 웹 보안 솔루션이 소개된 것은 이제 꽤나 오래 전 일이다. 이에 따라 단순한 웹 방화벽이 아니라 세분화된 고객 요구가 나타나고 있다. 웹 방화벽이 초기 단계를 지났다고 평가받는 만큼 자사 환경에 최적화된 제품에 대한 요구가 등장하고 있는 것.
예를 들어 공공·교육 시장에서는 점차 통합화된 웹 보안 장비가 요구되는 반면 대기업, 금융, 통신사업자 등에서는 전문화된 웹 방화벽 제품에 대한 수요가 높은 편이다. 이에 각 웹 방화벽 제품들은 타깃 마켓에 따라 서로 다른 특성을 지닌 방향으로 진화하고 있다.
웹 보안 통합장비는 웹 방화벽 기능, 웜 차단 기능, 개인정보 보호 기능 등의 요소의 결합돼야 해 각각의 기능에서는 상대적으로 낮은 성능을 보인다. 국내 웹 방화벽 업체들이 선보이는 대부분의 웹 방화벽 제품은 이러한 통합형 제품에 해당된다. 이와 달리 성능을 중시하는 대기업, 통신사업자, 금융기관 등에서는 고성능·고안정성에 대한 요구와 함께 웹 해킹을 사전에 차단하는 것을 위주로 하는 전문화된 웹 방화벽 제품을 선호하는 것으로 방향으로 나아가고 있다.
2007년을 거치면서 웹 방화벽의 수요는 눈에 띄게 증가했다. 전국 각 대학교와 시도 교육청, 국가 주요기관과 지방자치단체 등 공공기관에서의 웹 방화벽 도입이 크게 늘어났으며, 기업, 금융기관, 통신 등에서도 시범망 적용 등 웹 방화벽 도입을 위한 사전 작업이 시작되는 등 실제적인 수요가 확대된 것. 그렇지만, 이러한 증가가 업계의 실적으로 연결되지는 않았다. 저가 출혈 경쟁 때문이다. 레퍼런스와 판매대수는 크게 증가했지만, 제조사 기준으로 아직도 100억원대에 머물고 있어 저가 경쟁의 위험 수준을 나타내고 있다.
다른 한편으로는 2008년에도 웹방화벽 시장은 여전히 공공, 교육부문이 주류를 이룰 것으로 전망된다. 더불어 대기업 그룹사의 표준화 작업의 가속과 실제 적용 사이트의 증가, 금융감독원 등의 웹 방화벽 도입으로 인한 제1금융권의 본격적인 웹 방화벽 도입 등이 예상되고 있다.
이 외에도 KT, SKT, 하나로 등의 기간 서비스에의 적용 등이 점차 늘어날 것으로 기대하면서 조심스럽게나마 지금까지 보다 높은 성장을 유지할 것이라는 낙관적인 시장 전망을 가져본다.
