> 뉴스 > 기획특집 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
WAF 출혈경쟁 딛고 안정적 성장 ‘개시’
웹보안
2009년 01월 09일 00:00:00 오현식 기자 hyun@datanet.co.kr
웹 애플리케이션 보안은 오늘날 가장 중요한 이슈 중 하나다. 특히 2008년은 SQL 인젝션 공격이 증가하면서 웹 애플리케이션 방화벽(WAF)의 도입을 시급한 과제로 등장시켰다. SQL 인젝션 공격은 기존 방화벽으로는 막을 수 없기에 WAF 도입을 통한 대응방안 마련이 요청된 것이다. 이에 WAF 시장은 2008년 비상의 나래를 펼친 것으로 분석된다.

“출혈경쟁 줄었다”
기존 방화벽으로 불가능했던 웹 공격을 막는다는 점에서 WAF는 수년간 주목의 대상이 돼 왔지만, 시장 자체적으로는 많은 부침을 겪었다. 특히 2006년 대기업 4곳의 입사지원 시스템이 웹 해킹당한 사실이 알려지면서 웹 방화벽에 대한 시장의 관심이 크게 증가했지만, WAF 운용의 어려움과 더불어 시장의 과열 경쟁으로 인한 가격하락 등으로 기대만큼 시장형성이 되지 않았던 것이 사실이다.

업계에 따르면, 2007년 웹 방화벽 레퍼런스는 전년에 비해 2배 이상 증가해 WAF가 보안 시장의 주류로 부상하고 있음을 보여줬지만, 레퍼런스 확대에도 불구하고 지나친 출혈경쟁으로 인해 시장 규모는 레퍼런스 증가만큼 확대되지 못한 경험이 있다. 이러한 과열경쟁은 시장에 파열을 불러와 올해 초에는 선두권을 형성했던 듀얼시큐어가 지나친 가격 경쟁을 버텨내지 못하고 쓰러지면서 경각심을 불러일으켰다. 듀얼시큐어는 국가정보원 국가보안성검증을 가장 먼저 통과면서 주가를 올렸지만, 가격경쟁 심화에 따른 출혈경쟁과 재고 부담을 이겨내지 못하고 시장에서 사라졌다.

듀얼시큐어의 사례는 한 업체의 피해에 그치는 것이 아니라 유지보수의 문제로 WAF 솔루션을 공급받은 기업의 피해로 나타나게 된다. 또 이는 WAF에 대한 고객의 불신을 불러일으켜 업계 전체의 피해로 다가오게 됨은 물론이다.

이에 시장 참여 기업은 여전히 다수지만, WAF 업계와 고객 모두 출혈경쟁의 자성론이 일어나 상식이하의 공급은 크게 줄어든 상황으로 전해진다. 또한 최근 몇 년간 WAF 시장이 형성된 결과, 초기 기대만큼 급격한 성장을 기대하기 어렵다는 측면에서 각 벤더들은 출혈경쟁 보다는 적절한 가격선을 지키면서 조용히 시장 확대를 꾀하고 있는 것으로, 이에 WAF 시장은 급격한 성장보다는 점진적 확대를 이뤄나가고 있다. WAF 업계에 따르면 2008년 WAF 시장은 지난해보다 약 20% 가량 성장, 200억원을 다소 상회하는 규모를 형성할 것으로 예상하고 있다.

펜타·트리니티·파이오링크, 3강 형성
시장 경쟁의 측면에서 보면, WAF 시장은 올해 급변했다. 지난해 선두업체들이 저마다의 이유로 흔들림을 겪으면서 새로운 시장 판도가 수립되고 있는 것. 가장 눈에 띄는 성과를 올린 기업은 바로 펜타시큐리티다. 펜타시큐리티는 올해 하반기 최대 WAF 사업으로 꼽힌 경상북도 교육청의 WAF 사업을 구축한 것을 비롯해  아웃백스테이크, 소망교회, 태웅, 경북대학교 등에도 와플을 공급 및 구축함으로써 현재까지 300개 이상의 고객사를 확보했다. 이를 통해 펜타시큐리티는 WAF 시장의 최강자로 단숨에 떠오르게 됐다. 펜타시큐리티 측은 올 초 세웠던 목표 보다 약 150% 이상 성장한 초과 달성이 무난할 것으로 기대하고 있다.

트리니티소프트 역시 높은 성장을 기대하고 있다. 트리니티소프트의 웹스레이는 WAF 기업 중 가장 먼저 CC인증을 획득하고, 뒤이어 국정원 보안성검증필까지 획득하면서 큰 주목을 받았다. 이를 바탕으로 트리니티소프트는 2008년 초 정부통합전산센터 WAF 구축 프로젝트를 수주, 공급을 완료하는 성과를 거두기도 했다. 정부통합전산센터 프로젝트는 정부통합전산센터 내 48개 기관 200여대의 웹서버에 대한 WAF를 구축하는 것으로 2008년 최대 규모의 WAF 구축 프로젝트다. 이를 수주함으로써 트리니티소프트는 전년도 매출규모를 상회하는 성과를 올렸음은 물론, 펜타시큐리티와 함께 단숨에 시장 선두로 떠오르는 기염을 토했다.

파이오링크 또한 주목된다. 스위치 기반 웹 방화벽의 성능 우위를 앞세워 통신 등 대형 시장에서 선전하고 있는 파이오링크는 KT, SK텔레콤, SK브로드밴드 등 통신 3사에 모두 제품을 공급한 데 이어 지난해 공개 RFP(제안 요청서)를 발표한 60여개 대학 중 60%인 30여개 이상의 대학에 웹 방화벽 ‘웹 프론트’ 공급하는 성과를 이뤄낸 바 있다. 파이오링크는 올해에도 LG데이콤의 WAF 프로젝트를 수주해 통신시장 WAF 최강자로서의 위상을 더욱 드높였으며, 도시철도공사 등에 솔루션을 공급하는 등 공공시장에서도 성과를 높이고 있다.

펜타시큐리티와 트리니티소프트, 그리고 파이오링크가 WAF 시장의 새로운 3강 체제를 형성하고 있다는 것이 업계의 평가다. 잉카인터넷, 나우콤(구 윈스테크넷) 등도 CC인증을 획득하면서 점차 시장을 확대해나갔지만, 이들 3사가 보다 뚜렷한 성과를 거두면서 시장 3간으로 자리매김했다는 것이다.

하지만 이들 3강에 도전장은 내민 경쟁사들 역시 시장에서 적지 않은 성과를 거두면서 2009년 시장 확대를 자신하고 있다. 나우콤의 경우에는 2008년 약 10여곳에 레퍼런스를 확보해 2009년 시장 공략을 위한 교두보를 마련했다. 나우콤은 경쟁사에 비해 다소 늦은 시장 진입으로 WAF 확대에 다소 어려움을 겪었지만, 교두보를 확보한 만큼 기존 IPS 고객과 연계한 시장 공략 전략을 통해 2009년 시장 반전을 자신하고 있다.

닷큐어 역시 주목의 대상이다. 이스라엘의 보안기업 어플리큐어의 닷디펜더를 공급하고 있는 닷큐어는 기존 WAF 솔루션보다 크게 저렴한 가격에 공급하는 가격 정책을 펼쳐 시장의 높은 호응을 얻고 있다. 특히 특히 호스팅 업체들과 제휴를 체결, 호스팅 기업의 WAF 서비스에 닷큐어를 적극 활용하면서 시장을 넓혀가고 있는 상황으로 인터넷제국, 노아테크놀로지 등 유명 호스팅 기업과의 제휴를 체결해 서비스형 비즈니스로 WAF의 시장을 확장시켰다.

시장에 새롭게 진입한 시큐브도 관심을 끈다. 시큐브는 한정보통신과 공동으로 10Gbps를 구현하는 WAF를 출시해 관심을 모았다. 전문 어플라이언스 기업과의 협업을 통해 개발한 고성능 제품을 통해 WAF에서의 성능 이슈를 잠재우고, 시장에 새로운 바람을 몰고 온다는 것이 시큐브의 전략이다.

관제·ADN 경쟁 새국면
다른 한편으로 WAF 시장은 새로운 국면에 접어들고 있다고 평가된다. 그 중 하나가 바로 보안관제다. WAF 도입의 걸림돌로는 운영의 까다로움이 꼽힌다. 웹 서비스와 긴밀하게 연동돼야 해 WAF는 지속적으로 정책이 변화해야 한다. 이에 초기 포지티브 방식에 기초하던 WAF는 네거티브 방식과의 혼용으로 점차 변화했지만, 여전히 운영이 까다롭다는 점이 단점으로 지적된다.

한 WAF 기업의 조사에 따르면, 정책을 수립하고 WAF를 운용하는 곳은 70% 수준에 불과했다. 나머지 약 1/4의 기업들은 전혀 정책이 집행되지 않아 WAF는 단지 모양에 그치고 있을 뿐 실질적인 역할을 전혀 제공하지 못하고 있다.

따라서 관심을 끌고 있는 것이 바로 WAF 관제 서비스다. 닷큐어는 지난 6월에는 5대 이하의 웹서버를 가진 중소기업 및 기관을 대상으로 부담없는 가격의 SaaS 라이선스와 더불어 운영 및 보안인력이 부족한 업체들에게 웹서버 보안 진단 및 웹서버 보안리포트를 제공하는 관제서비스 개시를 발표해 시장의 주목을 받았다. 호스팅 기업과의 제휴를 통한 서비스형 모델, 보안 관제서비스 등 닷큐어의 비즈니스 모델은 WAF 운영의 어려움을 호소하는 중소규모의 기업들에게 효과적인 방식으로 주목받고 있다.

파이오링크 또한 SK인포섹과 WAF 관제서비스 계약을 체결, WAF 관제서비스로 영역을 넓혔다. WAF의 운영이 까다로운 만큼 관제서비스 영역이 WAF 시장의 새로운 영역이 될 것이라는 것이 파이오링크 측의 판단이다.

파이오링크 이장노 팀장은 “SQL 인젝션 공격이 광범위하게 진행되고 있는 반면, 중소기업들은 보안 관리 인력이 부족해 WAF 도입은 물론 운용에 어려움을 겪고 있다”면서 “관제서비스는 WAF 시장의 새로운 활력소가 될 것”이라고 예측했다.

또한 애플리케이션 딜리버리 네트워크(ADN) 시장에서도 WAF는 화두가 되고 있다. ADN이 웹을 이용한 효과적인 애플리케이션 활용을 전제로 한 만큼 웹 공격에 대한 철저한 방어는 필수조건이라고 할 수 있다. 이와 관련해 F5, 시트릭스 등 ADN 시장을 노리는 글로벌 기업들은 자사 솔루션에 WAF 기능을 강화해 시장 경쟁력을 확보할 태세를 갖추고 있다.

F5코리아는 WAF 단품으로는 시장 가격이 지나치게 낮게 형성돼 있어 애플리케이션 스위치 제품인 빅IP의 옵션으로 제안하는 등 본격적인 경쟁에서는 한 발 물러선 상황. 하지만, 기존 제품보다 9배 이상의 성능향상을 이뤄내 6만건의 초당 트랜잭션 처리 능력을 자랑하는 WAF 모듈을 지난해 11월 개발·출시해 빅IP에 탑재시키는 등 ADN과 WAF를 연계한 시장 공략을 활발히 전개하고 있다.

시트릭스 역시 최근 웹방화벽 기능을 통합 제공하는 10Gbps급 웹 애플리케이션 딜리버리 솔루션인 ‘시트릭스 넷스케일러 MPX’를 선보이는 등 ADN을 핵심키로 삼아 WAF 시장공략을 준비하고 있다.



웹 보안 전문가 기고
2009년 WAF 시장 빠른 성장세 ‘예감’
이장노 // 파이오링크 기획실장·james@piolink.com

2008년은 대표적인 SQL 인젝션 공격 방법인 Mass SQL을 포함한 D-SQL 인젝션 공격 등의 중국발 웹 해킹이 전년도에 비해 대폭적으로 증가해 국내 보안 담당자들을 곤혹스럽게 만들었다. 다양한 웹 해킹 방법 및 툴들이 인터넷을 통해 확산 되면서, 상대적으로 많은 지식을 동원하지 않아도 언제 어디서나 해킹이 가능하게 됐다.

이러한 현실에서 보안 관리자는 여러 가지 해킹 시도에서 안전하게 정보 자산의 보호 및 각종 개인 정보의 유출을 방지하기 위해 네트워크 방화벽과 IPS를 설치하고, 최근에는 웹방화벽을 설치해 운영하고 있는 것을 당연시 여긴다.

하지만 한국정보보호진흥원(KISA)의 정보보호 동향에 따르면, 2007년 이후 계속해 월 평균 1300여건 이상의 인터넷침해사고가 매월 발생하고 있는 것으로 나타나고 있다. 이는 다양한 방법의 웹 해킹 시도나 서비스 거부 공격(DDoS), 개인정보 유출 등의 사고에 대해 ‘우리 사이트는 아니겠지’ 하는 안일한 태도, 더불어 체계적인 보안 관리를 위한 투자 미비 때문이다.

보안 관리자, 보안검증 수행해야
대부분의 보안관리의 방안으로 지금까지는 해당 보안 솔루션을 도입하고, 제조사의 담당 엔지니어가 설치 및 사용자의 컴퓨팅 환경에 적절하게 구성해 놓으면, 그 이후에 지속적으로 사용하면 되는 것으로 알고 있는 경우가 비일비재하다. 그렇지만 실제적인 사용자의 컴퓨팅 및 네트워크 환경은 계속적으로 변하고 있어 설치 초기에 구성했던 각종 보안정책이나 대응 방안이 지속적으로 효과를 발휘하기는 사실상 불가능에 가깝다.

특히 네트워크 방화벽과 IPS 등은 IT 인프라에 대한 보안 관리 솔루션으로 도입 후 대부분 사소한 설정만을 변경하는 수준에서 초기 설정을 지속적으로 사용하는 것이 가능하지만, 웹방화벽(WAF)이나 DB보안 솔루션 등은 그렇지 않다. 이들은 애플리케이션에 대한 보안 정책이므로 사용자의 업무 변화에 따라 수시로 새로운 업무용 애플리케이션이 생겨나거나, 없어지는 등 변화의 폭이 매우 크다. 그리고 이런 업무의 변화가 곧바로 보안 정책 및 대응방안에 반영돼야만 보다 안전하고 신뢰할 수 있는 보안 솔루션을 역할을 수행할 수 있다.

하지만 현실적으로 보안관리자가 애플리케이션의 변화나, 데이터의 증가, 사용하지 않는 애플리케이션의 삭제 등을 능동적으로 찾아서 보안 정책에 적용한다는 것은 현실적으로 매우 어려운 일이다. 따라서 각종 업무용 애플리케이션 개발자, 서버 관리자, 네트워크 관리자의 주기적인 변경사항이나 요구사항에 대해, 항상 보안성 검증에 관련된 일련의 프로세스를 적용해 변경내용에 대한 보안 검증을 수행하는 것이 앞으로의 보안 관리자의 역할이 될 것이다. 더불어 보안 관리자는 애플리케이션 보안의 신뢰성을 높이기 위해서 현재 운영하고 있는 각종 시스템 및 애플리케이션에 대해 다음의 3가지 보안 관리 방안으로 주기적으로 시행해야 한다.

우선 기존 운영되고 있는 레가시 시스템에 대한 사전 보안컨설팅을 수행해 취약점 분석 내용을 확인하고 이를 지속적으로 개선해 나가는 작업을 수행해야 하며, 다음으로 현재 운영되고 있는 애플리케이션들에 대한 변화(신규 취약점의 발생, 신규 애플리케이션 추가, 미사용 애플리케이션 삭제 등)에 대해 보안정책을 새로 적용하고, 모니터링하는 작업을 수행해야 한다. 마지막으로는 침해사고 발생시 대응체계에 대한 준비 및 각종 감사(Audit)에 대한 자료 분석을 수행함으로써 만에 하나라도 있을지 모르는 보안침해사고 및 개인정보 유출 등의 사고에 대비해야 한다.

WAF 관제 서비스 ‘부상’
WAF 도입으로 모든 웹 보안 사고에 대해 해결할 수 있다고 생각하는 보안 관리자는 드물다고 생각한다. 그렇지만 기대하는 바는 여전하다. 여전히 많은 사람들이 WAF 도입으로 해당 사이트에서는 자동으로 보안이 적용돼 모든 웹사이트에 대한 안전을 책임져 주기를 바라는 것이 인지상정이다.

많은 WAF가 웹보안 전체를 책임지는 듯이 말하고 있지만 실제로 대부분의 웹방화벽은 제한된 기능과 성능을 갖고 있다. 물론 이러한 웹 방화벽을 보안 관리자가 얼마나 적절하게 운영하느냐에 따라 해당 사이트의 보안성 향상을 이룰 수 있으며, 각종 침해 사고에 대비할 수도 있다.

공급 초기에는 WAF 공급사의 엔지니어가 고객 사이트의 웹 보안 정책을 적절하게 만들기 위해서 초기 학습이나 각종 웹 애플리케이션의 분석을 통해 초기 보안 정책을 수립하는 것이 일반적이다. 이런 부분을 고객 사이트의 보안 관리자가 이해하기 위해서는 웹 해킹에 대한 많은 지식을 갖춰야 하며, 또 다양한 웹 애플리케이션에 대해서도 충분한 사전 지식을 갖고 있어야 한다.

웹 보안 시장, 급성장 ‘예감’
그렇지만 대부분 경우, 적은 인원으로 모든 보안 업무를 수행하는 보안 관리자가 다수의 보안 장비를 관리하는 환경에서 이는 쉽지 않은 일이다. 또 다수의 업무용 애플리케이션이 혼재된 환경에서 소수의 보안 관리자가 모든 보안 정책을 모니터링하거나 분석하는 것은 거의 불가능에 가깝다.

이런 보안 관리의 필요 사항을 한꺼번에 해결해 주는 솔루션으로 떠오르는 것이 보안 관제 서비스다. 특히 웹 애플리케이션을 대상으로 하는 WAF의 경우는 기존의 방화벽이나 IPS에 비해 훨씬 많은 보안 사고가 발생하고 있으며, 모니터링이나 분석에 있어서도 매우 다양한 접근 방법이 필요하다. 이런 사항을 만족시키기 위해서는 전문적인 관제 서비스를 활용하는 것이 비용대비 효과면에서 가장 합리적인 선택이라고 생각한다.

보안 관제 전문 회사에서 제공하는 웹 보안 관제 서비스는 대부분 사전 컨설팅 및 침해 사고에 대한 내용을 포함하고 있으며, 24시간 365일 모니터링 및 보안 상황에 대한 분석 서비스를 제공하고 있다. 따라서 보안 관리자는 주기적인 보고서의 내용만을 검토해도 해당 사이트의 보안 사항에 대해 한눈에 파악할 수 있고, 이로 인해 좀 더 효과적인 보안 정책 개발에 대한 투자를 할 수 있다. 또 빠른 침해 대응 및 분석을 통한 조치를 통해 보안 사고로부터 웹서비스의 연속성을 보장할 수 있다.

국내 WAF 벤더들의 대부분은 보안 관제 서비스 전문업체와 협력해 고객들에게 웹 보안 관제 서비스를 제공하거나 WAF 임대 서비스를 겸한 보안 관제 서비스 상품을 판매하고 있다. 이와 같은 시장의 요구사항은 앞으로 더욱 커질것으로 예상하고 있다.

최근 KISA의 웹 해킹 통계를 보면 주로 홈페이지 변조 사고와 같은 과시성 해킹은 발생 빈도가 감소하고 있는 반면 개인정보 또는 금전적인 이익을 위한 정보 탈취를 목적으로 하는 공격은 증가하고 있다. GS칼텍스, 하나로텔레콤, 다음, 옥션 등의 정보 유출 사건을 열거하지 않더라도 개인정보의 관리는 기업에 있어서 매우 중요한 일이고, 어떤 경우에도 보호돼야 할 자산이다.

이런 개인정보보호를 위해 여러 가지 솔루션이 출시돼 있으나 가장 많이 사용되는 것이 첨부파일 검사를 통해 개인정보의 유출을 방지하는 WAF와 게시판 도배 방지 및 욕설 등록금지, 첨부 파일 검사를 통한 보호기능을 제공하는 전용 개인정보보호 솔루션이다. 실제로 활용면에서 본다면, 전용 개인정보보호 솔루션을 사용하는 것이 효과적이기는 하지만, 웹 해킹 방지 등의 보안 기능이 취약하기 때문이 많은 기업들이 WAF에 기초한 개인정보보호 방법을 선호하고 있다. 향후 개인정보 보호 솔루션은 각종 DB보안 웹보안과 같이 연동하는 형태로 발전할 것으로 예상된다.

2008년까지 WAF 시장은 CC 인증이나 보안 적합성의 문제 등을 이유로 제품 개발에 따른 경쟁력 향상보다는 대외적인 제도에 의해 좌지우지 되는 경향이 강했고, 실제적으로도 새로운 기능의 개발이나 보안 사항에 대한 이슈보다는 인증 획득이 최우선 되는 목표가 돼 왔다. 하지만 이러한 외적 요소가 대부분 해소됨에 따라 이제부터는 제품 경쟁력에 의한 경쟁과 시장성장을 이뤄낼 것으로 보연다.

국내 약 10여개의 웹방화벽 업체들의 판매 동향을 살펴볼 때 2008년 전체 WAF 시장은 성장세에 접어든 모습이 완연하다. 전년에 비해 많은 성장률을 가질 수 있었던 계기는 2008년 초에 CC인증을 받은 업체들이 대폭 늘어나면서, 공공기관의 도입이 활성화 됐고, 각종 개인정보 유출 및 대형 포털 등에서 발생한 웹 해킹 사고로 인해 기업들의 도입이 본격적으로 시작됐기 때문이다. 이런 현상은 2009년에도 같을 것으로 예상하고 있어 지속적인 성장세는 유지할 것으로 보인다.

향후 보안 솔루션 구축시 네트워크 방화벽, IPS, 웹방화벽은 기본으로 설치되는 항목으로 자리잡을 것으로 예상하고 있으며, 또한 보안 관제 서비스 등과의 연계에 따른 서비스 모델이 활성화될 것으로 보인다. 웹방화벽 시장이 지속적인 성장을 이뤄 나가기 위해서는 지금까지의 인증을 기반으로 하는 공공 시장에서 벗어나 충실한 기능과 성능 및 보안 관리 등을 강화해 기업 및 금융시장으로 요구에 맞게 상당부분을 개선해 나가야 할 것이다.
오현식 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr