웹 위협에 대한 대응책 마련이 주요 보안 과제로 떠올라 웹 보안이 보안의 미래로 제시된 지도 상당한 시간이 흘렀다. 그러나 여전히 웹 보안은 답보상태를 벗어나지 못하고 있다. 물론 상황은 조금씩 나아지고 있는 것은 사실이다.

대표적인 웹 보안 솔루션인 웹 애플리케이션 방화벽(WAF) 업계는 전년대비 10% 내외의 성장을 예측하고 있다. 큰 폭의 성장은 없지만, 꾸준히 시장을 넓혀나가고 있는 것이다. 처음 WAF가 등장했을 당시만 하더라도 WAF의 성장은 시간문제로 여겨졌다. 웹을 겨냥한 공격 증가가 예상되면서 이를 방어할 수 있는 기본적 인프라인 WAF 또한 네트워크 방화벽처럼 보편적 인프라로 자리매김할 것이라는 전망 때문이다.

그렇지만, 이 예상은 절반만 정확했다. 예상처럼 웹 공격은 주류로 부상했지만, WAF가 기본적인 보안 인프라가 됐다고 말할 수는 없다. 공공기관과 대학을 중심으로 WAF가 상당수 도입됐지만, 민간 부문에서의 수요는 아직 미미한 실정이다.

운용 편리성 ‘과제’
WAF의 활성화가 늦어지는 이유로는 인증제품을 둘러싼 논란, 과열경쟁으로 인한 가격하락 등 여러 가지 이유를 들 수 있겠지만, 무엇보다 큰 이유로 꼽히는 것은 WAF가 갖는 운영의 어려움이 꼽힌다. 네트워크 방화벽과 달리 WAF는 지속적으로 정책을 관리해야 할 뿐 아니라 면밀한 검토없이 섣부르게 정책을 집행했을 경우에는 사용중인 웹 서비스를 중단시킬 수도 있다. 이러한 까다로움은 일선 담당자들에게 WAF 도입을 부담스럽게 만드는 요소가 되고 있다. 이와 관련 한 WAF 벤더는 흥미로운 조사결과를 전했다.

이 벤더의 WAF는 설치 및 운용이 그리 까다롭지 않은 것으로 알려진 기업이다 하지만, 이 벤더의 자체 조사 결과, 정책을 수립하고 WAF를 운용하는 곳은 70% 수준에 불과했다. 나머지 약 1/4의 기업들은 전혀 정책이 집행되지 않아 WAF는 단지 모양에 그치고 있을 뿐 실질적인 역할을 전혀 제공하지 못하고 있는 것. 또한 정책을 수립 운용하고 있는 고객이라고 할지라도 이 가운데 약 절반의 고객이 세밀한 정책을 수립, 운용하고 있었으며, 절반의 고객은 가장 기본적 정책만 집행해 사용하고 있었다. 그래도 이 벤더의 상황은 그나마 나은 편이다.

공공기관을 주로 상대하는 한 보안 컨설턴트는 “WAF를 제대로 활용하고 있는 공공기관은 그리 많지 않다”며 “정확히 집계한 것은 아니지만, WAF 도입 기관의 절반 정도는 어떤 정책도 운용하지 않아 WAF는 단순히 보안 시스템의 장식품으로 사용하고 있는 느낌”이라고 전하기도 했다.

WAF의 활용도가 떨어지는 것은 공공기관 인력풀의 한계 때문이다. WAF의 시장이 아직까지는 공공기관 위주임은 부인할 수 없는 사실. 대다수의 보안 제품과 마찬가지로 WAF역시 보안을 우선시하는 공공기관에서 먼저 선행 도입된 후 일반 시장으로 확산되는 과정에 있다. 하지만, 공공기관의 경우, 일부 상급기관을 제외하고는 전문적 보안 담당자가 있지 못하다. 네트워크와 보안을 함께 하는 경우가 많으며, 이 경우 대부분 보안 전문가라기 보다는 기관의 필요성에 의해 정보보호 기술을 익히면서 보안을 함께 담당하고 있는 경우가 대다수다.

그렇지만, 앞서 언급했듯 WAF는 숙련된 운용 능력이 필요한 솔루션이다. 웹에서 발생하는 다양한 상황을 풀어내지 못한다면 사용되는 웹 애플리케이션 중단을 초래할 수도 있기 때문이다. 더욱이 현재 사용되고 있는 많은 웹 애플리케이션들이 보안을 고려하지 않고 만들어졌을 뿐 아니라, 운영 프로세스에서도 보안 관리자는 배제돼 있다는 현실은 WAF의 운용을 더욱 까다롭게 만드는 부문이다.

애플리케이션과 별개로 구축/운용될 수 있었던 방화벽, ID&P 등 네트워크 보안 솔루션과 달리 WAF는 애플리케이션 부문을 고려해 정책이 집행돼야 한다. 이는 끊임없이 발전하는 웹 애플리케이션 진화에 발 맞춰 끊임없이 WAF의 정책이 변화해야 한다는 것을 의미한다.

따라서 운용 측면에서의 문제가 해결되지 않고서는 WAF의 확산은 물론, WAF를 통한 보안 수준 향상 또한 기대하기 어렵다. 따라서 각 WAF 벤더들은 파트너, 고객 대상의 교육 프로그램을 수행해 운용 수준을 높일 수 있도록 하는 한편, WAF의 운용 편리성 확보를 위해 노력하고 있다. 마법사 기능이 대표적으로 이를 통해 구축과 운용을 편리하게 만들기 위해 노력하고 있는 것이다.

다른 한편으로는 도입 고객들의 노력도 요구된다. 전문적인 보안 담당자의 영입과 더불어 보안 담당자가 애플리케이션 도입·운용에 참여할 수 있는 협업 프로세스가 마련되야 한다는 것이다. 이와 관련, 초기부터 WAF를 도입해 적극적으로 활용함으로써 웹에서의 위협에 효과적으로 대처하고 있는 KT의 조언은 참고할 만하다.

KT 측은 “보안 정책을 위반하고 있는 여러 웹 애플리케이션으로 인해 WAF 도입 초기에는 어려움이 많은 어려움을 겪었지만, 현재는 웹과 관련한 모든 부문에서 보안 담당자가 참여하는 협업 시스템을 구축, 이러한 문제를 해결했다”고 업무 프로세스 차원에서의 개선을 조언했다.

WAF 시장 성장 ‘지속’
웹 애플리케이션 보안은 그동안 소홀히 다뤄진 웹의 안정성을 담보하기 위한 솔루션으로 최근 가장 큰 주목을 받고 있는 분야 중 하나다. 인터넷만 연결돼 있다면, 언제나 손쉽게 접근할 수 있는 웹의 편리성을 이용하려는 시도가 증가함에 따라 이러한 웹을 노리는 공격이 늘어나고 있기 때문이다.

트렌드마이크로에 따르면, 웹 위협은 2005년 1분기에 비해 2007년 말 무려 15배 이상 증가했다고 지적하고 있다. 한국정보보호진흥원(KISA) 인터넷침해사고대응센터(KrCERT)의 조사에서도 웹 위협의 증가는 잘 드러난다. 홈페이지 변조사고의 경우, 2007년 1월부터 5월까지 286개의 시스템이 공격받아 732개의 홈페이지가 공격에 영향을 받았지만, 올해에는 피해시스템 326개, 피해 홈페이지는 835개로 증가했다.

이러한 사고는 WAF가 도입·운영됐다면, 충분히 예방가능한 것이다. WAF는 웹 애플리케이션의 통로인 80포트, 443포트로 유입되는 악성 웹 트래픽을 방어하는 전문 솔루션이다. 기존 방화벽은 포트 단위로 개방해야 하기에 HTTP, HTTPS를 위해 열어놓아야 하는 80포트, 443포트를 방어할 수 없던 것과 달리 WAF는 인터넷의 통로인 80포트, 443포트를 감시하고, 이에 대한 공격을 차단할 수 있어 웹의 대두와 함께 새로운 차세대 보안 솔루션으로 주목받아온 것이다.

특히 지난 2006년에는 대기업 4곳의 입사지원 시스템이 웹 해킹당한 사실이 알려지면서 웹 방화벽에 대한 시장의 관심이 급증했지만, WAF 운용의 어려움과 더불어 시장의 과열 경쟁으로 인한 가격하락 등으로 인해 기대만큼 시장형성이 되지 않았던 것이 사실이다. 업계에 따르면, 2007년 웹 방화벽 레퍼런스는 전년에 비해 2배 이상 증가해 WAF가 보안 시장의 주류로 부상하고 있음을 보여줬지만, 레퍼런스 확대에도 불구하고 지나친 출혈경쟁으로 인해 시장 규모는 레퍼런스 증가만큼 확대되지 못했던 것이 사실이다.

그러나 이러한 과열 경쟁은 현재는 많이 수그러든 모습이다. 시장 참여 기업은 여전히 다수이지만, WAF 시장 선두권을 형성했던 듀얼시큐어가 지나친 가격 경쟁을 버텨내지 못하고 쓰러지면서 과열 경쟁의 심각성을 알렸으며, 이에 업계에서도 출혈경쟁의 자성론이 일어나 상식이하의 공급은 크게 줄어든 상황이다.

듀얼시큐어는 국가정보원 국가보안성검증을 통과한 유일한 기업으로 주가를 올리면서 공공기관을 중심으로 큰 성장을 일궈냈지만, 가격경쟁 심화에 따른 출혈경쟁과 재고 부담을 이겨내지 못하고 시장에서 사라졌다.

또한 최근 몇 년간 WAF 시장이 형성된 결과, 초기 기대만큼 급격한 성장을 기대하기 어렵다는 측면에서 각 벤더들은 출혈경쟁 보다는 적절한 가격선을 지키면서 조용히 시장 확대를 꾀하고 있는 것. 이에 WAF 시장은 급격한 성장보다는 점진적 확대가 전망되고 있다.

시장 판도 급변, 시장 선두 다툼
시장 경쟁의 측면에서 보면, WAF의 시장은 최근 급변했다. 선두업체들이 저마다의 이유로 흔들림을 겪으면서 새로운 시장 판도가 짜여지고 있는 것이다. 지난해 이맘때까지만 하더라도 WAF 시장은 듀얼시큐어, 모니터랩의 양강체제로 평가받았다. 그렇지만, 선두를 형성했던 듀얼시큐어가 시장에서 사라지고, 모니터랩이 엑스큐어넷의 분쟁에 휘말리면서 선두경쟁은 새로운 양상에 접어들고 있는 것이다.

모니터랩은 솔루션 성능 측면에서 높은 평가를 받으면서 시장 최강자의 위치를 차지했었지만, 분쟁으로 인해 인증이 지체되면서 최대 시장이라고 할 수 있는 공공시장에 대한 참여가 제한되면서 성장이 정체된 상황이다. 이들 양사의 빈자리를 채우면서 시장 강자로 새롭게 떠오른 기업이 바로 트리니티소프트다. 트리니티소프트의 ‘웹스레이’는 WAF 기업 중 가장 먼저 CC인증을 획득하고, 뒤이어 국정원 보안성검증필까지 획득하면서 시장 선두 기업으로 떠오른 상황이다.

트리니티소프트는 이를 바탕으로 올해 초 정부통합전산센터 WAF 구축 프로젝트를 수주, 공급을 완료하면서 시장 선두자리를 굳혔다. 정부통합전산센터 WAF 구축은 정부통합전산센터 내 48개 기관 200여대의 웹서버에 대한 WAF를 도입하는 것으로 최대 규모의 WAF 구축 프로젝트로 주목받아온 프로젝트다. 이를 수주함으로써 트리니티소프트는 단숨에 시장 선두로 떠올랐다.

트리니티소프트 김진수 사장은 “어플라이언스 제품의 성능을 지속적으로 향상시켜 고객 만족도를 높이는 동시에 높은 가격으로 구매를 선뜻 결정하지 못하는 중소기업에게 중소기업용 맞춤 임대 서비스도 계획하고 있다”며 “이를 통해 올해 선두기업의 입지를 더욱 확고히 할 것”이라고 자신감을 표시했다. 또한 김진수 사장은 “관리 용이성 향상을 위해 설치된 웹 방화벽을 통합관리 할 수 있는 솔루션도 준비하고 있다”며 “WAF의 운영난제를 해결하는데 있어서도 트리니티가 앞장설 것”이라고 덧붙였다.

트리니티소프트의 뒤를 좇는 기업은 파이오링크다. 스위치 기반 웹 방화벽의 성능 우위를 앞세워 통신 등 대형 시장에서 선전하고 있는 파이오링크는 KT, SK텔레콤, 하나로통신 등 통신 3사에 모두 제품을 공급한 데 이어 지난해 공개 RFP(제안 요청서)를 발표한 60여개 대학 중 60%인 30여개 이상의 대학에 웹 방화벽 ‘웹 프론트’ 공급하는 성과를 이뤘내면서 시장 선두 기업으로서의 입지를 굳혀가고 있다. 올해에도 LG데이콤의 WAF 프로젝트를 수주해 통신시장 WAF 최강자로서의 위상을 더욱 드높였으며, 도시철도공사 등에 솔루션을 공급해 점차 공공시장으로의 진입을 가속화하고 있는 상황이다.

특히 파이오링크의 약진은 WAF를 KT, SK텔레콤 등 대용량 트래픽을 갖고 있는 통신산업군까지 확대해 WAF의 성능 논란을 해소함과 동시에 공공기관을 넘어서 일반 기업 시장에서도 WAF의 도입 가능성을 알리고 있는 사례로 주목된다. 이 외에 펜타시큐리티, 잉카인터넷, 나우콤(구 윈스테크넷) 등도 CC인증을 획득하면서 점차 시장을 확대해나가고 있다. 이들 중 눈에 띄는 것은 바로 펜타시큐리티다.

펜타시큐리티의 ‘와플’은 한국전력공사, 에너지경제연구원, 모빌리언스, 원캐싱 , 헌법재판소, 파주시청, 별정우체국연합회, 한국전기연구원, 안산시청, 용인시청, 연천군청 등 상반기 100여개 이상의 레퍼런스를 확보하면서 시장의 다크호스로 떠올랐다.

펜타시큐리티는 “20분 이내에 WAF 구축이 가능한 설정마법사 기능으로 어느 벤더의 솔루션보다도 편리한 구축과 운용 편리성을 확보하고 있다”며 “이를 바탕으로 시장 선두로 나설 것”이라고 밝혔다. 펜타시큐리티는 “특히 최근 진출한 일본시장에서도 레퍼런스 사이트를 확보할 정도로 높은 평가를 받고 있다”며 “보수적인 일본시장에서 레퍼런스를 확보한 것은 와플의 높은 성능을 증명한 것”이라고 덧붙였다.

모니터랩, 인증 작업 재개
인증 이슈로 인해 다소 부진했지만, 모니터랩은 여전히 주목대상이다. 모니터랩의 WAF 시스템인 ‘웹인사이트’의 안정성과 성능은 업계 최고 수준으로 평가받기 때문이다. 이러한 평가는 기존 시장에서 모니터랩을 시장 선두로 나서게 하는 원동력이 됐으며, 모니터랩은 한경와우, TGI프라이데이, 국방부 동원예비군 시스템, 서울의료원 등 다수의 레퍼런스를 자랑했다. 모니터랩은 최근 분쟁의 불씨가 됐던 트래픽 관리 모듈을 교체하는 결단을 내렸다. 분쟁으로 인한 인증지체, 이로 인한 공공시장 봉쇄를 풀기 위함이다.

모니터랩은 올해의 최우선 목표로 인증획득을 내세우고 있을 정도다. 모니터랩의 모듈 교체는 인증 지연을 해소하는 긍정적 요소가 돼 최근 민간평가기관인 한국시스템보증(KOSYAS)에서 평가인증이 재개된 상황이다. 모니터랩 웹인사이트의 인증은 EAL4 수준으로 재개됐으며, 기존 평가에서 모듈 교체부문과 평가 중단 이후의 부문 평가만 진행되면 될 것으로 보여 모니터랩의 CC인증은 보다 신속하게 진행될 것으로 예상된다.

모니터랩 측은 “자동학습기능을 이용한 보안정책 설정 기능은 물론, 탐지, 차단로그에 OWASP TOP 10 공격에 대한 상세설명을 첨가, 해당 로그에 대한 공격 유형을 쉽게 알아볼 수 있는 기능을 적용하는 등 WAF 운용이 기존은 네트워크 방화벽이나 IPS보다 어렵다는 시장의 지적을 해소하고 있다”며 “지속적인 개선 노력을 통해 WAF 리더십을 강화할 것”이라고 밝히고 있다.

나우콤과 시큐아이닷컴 등 전통적인 보안 강자들의 움직임도 주목된다. 나우콤은 민간평가기관인 한국산업기술시험원(KTL)의 제1호 평가인증제품으로 지난 5월 CC인증을 획득해 하반기 보다 공격적인 시장 접근을 예고하고 있다. 올해 공공기관에 대한 집중적인 공략을 통해 WAF 시장 진입의 교두보를 확보한다는 것이 나우콤 측의 전략이다.

나우콤 이인행 상무는 “올해 공공기관들의 예산 축소에 따라 당초 기대만큼 시장 진입이 쉽지 않은 것은 사실이지만, 고성능 WAF 솔루션으로 IPS·TMS 등과 긴밀한 연계를 통해 실질적으로 보안수준을 높일 수 있다는 ‘스나이퍼WAF’의 장점을 적극 활용해 시장 교두보를 확보할 것”이라고 밝혔다.

WAF 시장 진출을 꾀하고 있는 시큐아이닷컴 역시 하반기 대대적인 공세를 예고하고 있다. 지난해 ‘시큐아이NXG W’를 출시한 시큐아이닷컴은 올해 3대 주력 제품 중 하나로 웹방화벽을 선정한 상황으로 현재 KOSYAS에서 평가인증이 진행중이다. 시큐아이닷컴 측은 인증을 획득하는 대로 시장 공략을 적극적으로 추진할 방침이다.

외산 기업 ‘권토중래’ 자신
업체별로 보면 국산업체의 약진이 두드러지지만, 외산 기업들의 반격도 만만치는 않다. 초기 웹 방화벽 시장을 주도했던 외산 솔루션의 경우, 지나친 가격 경쟁으로 인해 적극적인 대응을 하고 있지는 않은 상황이지만, 앞선 성능과 기술로 ‘권토중래(捲土重來)’를 자신하고 있다. ADN(Application Delivery Network)의 대두는 외산 기업들이 WAF 시장의 권토중래를 자신하는 핵심키다.

웹이 주목받는 이유는 어디서나 접근 가능한 편리성 때문으로 ADN은 이러한 편리성을 더욱 강화하는 요소로 주목받고 있다. 최근 관심을 모으는 ADN을 이뤄내기 위해서는 안전한 전송을 구현하는 웹 보안이 반드시 선행돼 신뢰를 확보해야 한다. 이에 ADN 시장의 패권을 노리는 F5, 시트릭스 등은 ADN의 구성요소 중 하나로 WAF를 제안하면서 양 시장을 동시에 겨냥하고 있는 것이다.

F5코리아의 경우가 대표적이다. 웹 방화벽 단품으로는 시장 가격이 지나치게 낮게 형성돼 있어 애플리케이션 스위치 제품인 빅IP의 옵션으로 제안하는 등 본격적인 경쟁에서는 한 발 물러선 상황. 하지만, 기존 제품보다 9배 이상의 성능향상을 이뤄내 6만건의 초당 트랜잭션 처리 능력을 자랑하는 WAF 모듈을 지난해 11월 개발·출시해 빅IP에 탑재시키는 등 ADN과 WAF를 연계한 시장 공략을 활발히 전개하고 있다. 역시 최근 웹방화벽 기능을 통합 제공하는 10Gbps급 웹 애플리케이션 딜리버리 솔루션인 ‘시트릭스 넷스케일러 MPX’를 선보이는 등 ADN을 핵심키로 삼아 WAF 시장공략을 준비하고 있다.

ADN 기술과 웹 보안을 아우르는 이러한 전략은 ADN에서 경쟁우위를 가져감과 동시에 가격 하락으로 매력이 감소한 WAF 시장의 단점을 보완할 수 있다. 도입 기업의 입장에서는 하나의 솔루션으로 웹 전송의 효율성과 보안을 만족할 수 있게 될 뿐 아니라 관리포인트의 증가로 인한 어려움도 해소하게 된다. 안철수연구소가 공급하는 ‘넷컨티넘’의 경우, 종합보안 벤더로서 안철수연구소가 갖는 이점을 적극 활용한다는 방침이다.

안철수연구소는 NTMS(Netcontinuum Threat Management System)이라는 ESM솔루션을 자체 개발해 넷컨티넘과 함께 공급함으로써 경쟁우위를 확보하고 있다. NTMS는 실시간 공격 차트 모니터링과 더불어 이메일, SMS, 경고창등으로 블랙리스트 유형들에 대해 즉각적으로 관리자에게 통보하는 관리 솔루션으로 다양한 웹 보안 이벤트을 종합적으로 판단할 수 있도록 한다. 이는 WAF의 최대 단점 중 하나인 운용의 어려움을 해소함과 동시에 다른 보안 솔루션과의 연동을 통해 보다 효과적인 보안 수준 향상이 가능하도록 하고 있다.

닷큐어 역시 주목의 대상이다. 이스라엘의 보안기업 어플리큐어의 ‘닷디펜더’를 공급하고 있는 닷큐어는 가격 거품을 뺀 저렴한 공급으로 시장에 돌풍을 일으키고 있다. 닷큐어는 닷디펜더를 기존 WAF 솔루션보다 크게 저렴한 가격에 공급하는 가격 정책을 펼치고 있다. 이러한 강점을 살려 닷큐어는 특히 호스팅 업체들과 제휴를 체결, 호스팅 기업의 WAF 서비스에 닷큐어를 적극 활용하면서 시장을 넓혀가고 있는 상황으로 인터넷제국, 노아테크놀로지 등 유명 호스팅 기업과의 제휴를 체결해 서비스형 비즈니스로 WAF의 시장을 확장시켰다. 또한 최근 6월에는 5대 이하의 웹서버를 가진 중소기업 및 기관을 대상으로 부담없는 가격의 SaaS 라이선스와 더불어 운영 및 보안인력이 부족한 업체들에게 웹서버 보안 진단 및 웹서버 보안리포트를 제공하는 관제서비스 개시를 발표해 WAF 시장의 새로운 돌풍을 예고하고 있다.

닷큐어는 서비스 모델을 통해 120여개의 기업에 WAF를 공급하는 성과를 올렸다. 호스팅 기업과의 제휴를 통한 서비스형 모델, 보안 관제서비스 등 닷큐어의 모델은 WAF 운영의 어려움을 호소하는 중소규모의 기업들에게 효과적인 방식으로 새로운 돌풍을 몰고 올 수 있을 것으로 기대된다.

정부통합센터 등 대형 프로젝트 ‘기대’
지난 몇 년간 기대에 미치지 못하는 성장을 했지만, 여전히 웹 방화벽의 미래는 밝다. 80포트나 433포트에 대한 공격방어는 WAF가 아니면 수행하기 힘든 부문이기 때문이다. 과열 경쟁으로 인해 벤더의 어려움이 높아진 것은 사실이지만, 정부통합전산센터 등 대형 프로젝트가 대기중에 있어 업계는 시장 확대에 대한 기대감을 품고 있다.

올 초 통합전산센터 내 48개 정부 기관에 웹 방화벽을 구축하는 프로젝트가 실시된 데 이어 하반기에는 2차 프로젝트가 실시될 예정으로 업계는 이에 대한 준비작업에 한창이다. 트리티니소프트는 1차 프로젝트 수주를 통한 경쟁우위를 지켜나간다는 입장이며, 펜타시큐리티, 잉카인터넷, 나우콤 등도 인증 미비로 경쟁에 참여하지 못했던 1차 프로젝트와 달리 2차 프로젝트에서는 공정한 경쟁으로 최대 프로젝트의 수혜를 누리겠다는 각오다. 또 파이오링크, 모니터랩, 시큐아이닷컴 등 아직 CC인증을 받지 못한 기업들은 2차 프로젝트까지는 인증작업이 마무리될 수 있도록 평가작업에 적극적으로 협조하고 있다.

WAF 기업들은 정부 통합센터에 이어 교육부의 각 시도 교육청 웹 방화벽 도입 등에 기대를 걸고 있다. 당초 행정자치부에서 검토됐던 시군구 웹 방화벽 구축사업은 예산 등의 이유로 무산됐지만, 각 자치단체별로 웹 보안을 위한 웹 방화벽 도입이 조금씩 증가하고 있는 것.

행안부가 최근 급증하고 있는 전자정부 웹 사이트에 대한 사이버 공격을 차단하기 위해 ‘전자정부 웹 서비스 보안 취약점 대응지침’을 수립, 전자정부서비스를 제공하는 모든 행정기관에서 22개 보안 취약점을 개선하도록 권고했으며, 사이버공격에 범정부적으로 대응하기 위해 차관급의 ‘전자정부서비스 보안위원회’를 구성해 지난해 9월부터 본격 가동하고 있다. 이러한 보안 강화의 흐름이 WAF 시장 성장의 견인차가 될 것으로 업계는 기대하고 있다.

다른 한편으로 민간수요 확대도 기대된다. SK텔레콤, KT, 데이콤 등 국내 통신 기업들이 모두 WAF를 도입하는 등 기기존 공공·대학 등에 국한됐던 시장이 일반 기업으로 확대되는 것으로 평가되고 있다. 더불어 ADN의 확대도 WAF의 기업시장 확대를 부르는 요인으로 평가된다.

기업시장으로 확대되면서 나타나는 현상 중 하나는 고성능화다. 스위치 기반 솔루션이란 장점을 활용해 통신시장을 석권한 파이오링크에서 알 수 있듯 기업 시장 공략을 위해 고성능화는 필수적이라고 할 수 있다. 또 F5, 시트릭스 등 외산 기업들은 ADN과 연계하면서 10Gbps, 6만TPS 성능을 자랑하는 고성능 제품을 쏟아내고 있다.

다른 기업들 역시 기업시장으로의 확대를 위해 고성능 제품 출시를 서두르고 있는 상황이다. WAF 시장에 새롭게 진출하는 시큐아이닷컴은 후발주자로써의 약점 극복을 위해 업계 평균 웹 페이지 속도인 3만TPS보다 두 배 이상 빠른 6만TPS급 처리속도를 구현하도록 솔루션을 설계 출시한 것은 이러한 고성능화를 반증하는 사례다. 펜타시큐리티 또한 쿼드코어 듀얼CPU에 8GB 메모리로 기존 제품보다 하드웨어 스펙을 두 배 향상시킨 솔루션을 출시해 시장 공략에 나서는 등 업그레이드를 진행했다.

소스코드 보안 ‘주목’
다른 한편, 개발단계의 보안 사이클을 위한 소스(Source) 감사 시스템, 웹 취약점 스캐너 등의 시장 성장도 기대되고 있다. 보안이 강화되면서 개발 소스코드 단계에서의 취약점 해소 또한 필수요소로 여겨지고 있기 때문이다. 기업의 인식이 변화하면서 개발자와 보안 담당자간의 협업 문제도 점차 필수로 여겨지고 있다.

웹 보안 솔루션은 크게 웹 애플리케이션의 프로그래밍 단계에서 적용되는 소스(Source) 감사 시스템, 운영중인 웹 애플리케이션에 대한 스캐닝을 통한 취약점을 알려 주는 웹 취약점 스캐너, 그리고 웹 애플리케이션이 가지는 취약점에 대한 공격을 막아주는 WAF 등으로 구분될 수 있다.

애플리케이션의 초기 소스코드 디자인에서부터 애플리케이션의 보안 취약점을 제거하기 위해 ‘디자인→코딩→구축→감사’의 보안 사이클을 준수한다면, 보안 위협은 상당부문 완화될 수 있다. 앞서 두 가지 솔루션, 소스코드 감사 시스템과 웹 취약점 스캐너 등은 바로 이러한 보안 사이클 구축 과정에서 요구되는 것들이며, 웹 방화벽은 이러한 보안 사이클의 취약점을 보완하기 위한 솔루션이다.

소스코드 보안으로는 인터비젠이 공급하는 ‘포티파이SCA’가 주목된다. 소스코드 보안으로 전세계적으로 명성을 얻고 있는 포티파이SCA는 애플리케이션 개발 단계에서 보안 취약성을 제거하도록 해 사전에 위협을 예방하는 솔루션이다. 인터비젠은 증권, 보험 등 제2금융권을 주 타깃으로 시장 개척에 나설 계획이다. 기존 포티파이의 솔루션이 제1금융권에 다수 공급됐기에 이를 바탕으로 제2금융권 공략이 나서 성과를 올리겠다는 전략인 것이다.

인터비젠 문성준 이사는 “포티파이SCA는 국내 대부분의 은행을 비롯해 제조, SI, 공공 등에서 총 20여곳의 레퍼런스를 확보했다”며 “금융권에서 입증된 보안 향상 효과를 기반으로 소스코드 보안의 개념이 더 많은 시장으로 확대되도록 하겠다”고 밝혔다. 이어 문 이사는 “은행, 증권사등의 차세대시스템, 공공시장의 신규 SI 프로젝트들에 적용되고 있으나 전체 프로젝트에서 소스코드 보안이 차지하는 비율은 10%가 채 안 된다”며 “보안 강화를 위해서는 소스코드단에서부터 보안을 적용해 위협 가능성을 원천 제거하는 것이 필요하다는 인식전환이 필요하다”고 요구했다.

보안 강화, WAF ‘필수’
보안에 있어 100% 방어는 누구도 자신할 수 없다. 항상 새로운 취약점이 발견되고, 새로운 공격이 발생할 수 있기 때문이다. 특히 누구나 접속할 수 있는 활용성을 특징으로 하는 웹은 보안이 가장 중요한 요소다. 웹의 편리성을 극대화한 웹 서비스, 웹 2.0 시대가 부작용 없이 제대로 실현되기 위해서는 철자한 웹 보안이 선행조건이라고 할 수 있다.

웹 보안을 위해서는 앞서 살핀 것처럼 소스코드 보안과 WAF 등을 운영해야 한다. 물론 구축만으로 모든 것이 해결되지는 않는다. 증가하는 웹 위협에 대응하기 위해서는 보안 사이클 준수와 WAF를 적극적으로 운영돼야 하는 것이다. 현재와 같이 WAF가 도입되고, 사용되지 않는다면, 웹을 통한 혁신은 요원한 일이다.

이를 위해서는 웹 보안에 대한 고객들의 인식전환이 필수적이다. 다소의 불편을 감수하면서라도 먼저 웹 보안의 프로세스를 마련해야 하는 것. WAF 도입은 웹 애플리케이션의 가용성을 저하시킬 수도 있지만, 이는 WAF의 문제라기 보다는 적절하지 못한 애플리케이션의 문제다. 애플리케이션 연동에 WAF를 끼워맞추는 것이 아니라 WAF에 적합한 애플리케이션으로 변화되는 것이 필요하다. 효율성 향상이 먼저가 아닌, 보안이 제1의 조건이 돼야 하는 것이다.

소스코드 보안 역시 마찬가지다. 소스코드 보안을 적용하면, 프로세스의 증가로 개발 기간은 더욱 길어질 수 있다. 애플리케이션의 효용성 뿐 아니라 보안까지도 고려해야 하기에 개발 기간 증가는 필연적이다. 하지만, 이는 보다 안전한 서비스 구현을 위해 ‘반드시 필요한 것’이란 인식을 가져야 하는 것이다.

다른 한편으로는 보안 인력의 강화가 요청된다. 이제 보안은 기업의 운용에 있어 필수적인 요소다. 그리고 이제 보안은 별도로 존재하는 것이 아니라 다양한 서비스, 애플리케이션과 연계를 맺고 있다. 기존 네트워크 방화벽, IPS 등과 달리 애플리케이션과의 연계를 고려해야 하는 WAF는 이러한 현상을 보여주는 대표적인 솔루션으로 보안과 애플리케이션, 네트워크를 총괄할 수 있는 인력을 양성하고, 사내 프로세스 역시 통합된 방향으로 전환해야 한다.

예를 들어 WAF가 쏟아내는 탐지 및 차단로그를 보고, 어떠한 공격 시도가 발생했는지가 우선 파악돼야 정확한 대응이 가능한데, 이는 애플리케이션만 알거나, 혹은 보안만 알아서는 해결할 수 없는 부문이다. 변화된 환경에 맞춤화된 프로세스와 인력 양성이 필요한 것이다.

이와 관련, 인터비젠 문성준 이사는 “웹 애플리케이션은 특성상 운영 혹은 보안 관점에서만 접근할 수 없고, 개발·보안·QA 등이 어우러져야만 완성될 수 있다”며 “보안팀에 의한 개발 보안 정책수립·변화관리와 더불어 개발자에 의한 취약점 조치 등 유기적인 업무 분장을 통해서만 웹 보안은 구현될 수 있다”고 지적했다. 또한 업계 관계자들은 “오늘날과 같이 보안 위협이 상존하고, 정보보호의 중요성이 높아지는 상황에서 정보보안은 비즈니스 안전성 확보를 위한 안전장치”라며 “웹 보안 프로세스를 확립 등 사전 예방적인 보호 장치 마련으로 ‘호미로 막을 것을 가래’로 막는 우를 범하지 말아야 한다”고 입을 모았다.