지난해 ‘2007년 평가와 2008년 전망’(2007년 12월호 송년특집Ⅱ)에서 본지는 DDoS 공격이 침입방어시스템(IPS) 수요를 이끌 것으로 예측했다. 악의적인 분산서비스거부공격(DDoS)을 진행, 기업에 금품을 요구하는 협박 공격이 2007년 등장해 인터넷 비즈니스 기업들을 위협하고 있었기 때문이다. 이에 본지는 DDoS 공격이 시장 성숙기에 접어들고 있는 IPS 시장을 견인하는 새로운 동력이 될 것으로 예측했던 것이다.
이러한 예상은 2008년 정확히 맞아 떨어졌다. 비교적 보안이 취약하며, 동시에 잠시의 서비스 지연이 매출감소란 피해로 고스란히 이어지는 인터넷 비즈니스 기업을 대상으로 하던 협박성 DDoS 공격은 2008년 가장 높은 보안 수준을 자랑하던 금융권까지 대상으로 삼을 정도로 기승을 부리면서 IPS, 나아가 안티DDoS에 대한 새로운 시장까지 창출하기에 이르렀다.
넓게 보면 안티DDoS 솔루션은 IPS을 기초로 DDoS 관련 기능을 특화한 장비로 볼 수 있다. IPS에서도 일부 DDoS 공격을 방어가 가능하지만, DDoS 공격이 다양해지고, 고도화되면서 DDoS 공격만을 전문적으로 방어할 수 있는 전용 솔루션에 대한 요구가 급증하면서 안티DDoS이란 새로운 시장이 생성된 것이다.
안티DDoS 시장 경쟁 ‘점화’
안티DDoS는 2008년 정보보안 시장의 핫이슈라고 할 정도로 큰 주목을 받았다. 미래에셋 홈페이지가 DDoS 공격에 의해 다운되는 초유의 사태에 안티DDoS에 대한 관심이 급속도로 증가됐기 때문이다. 이는 기존 IPS를 활용한 방어가 아닌 안티DDoS 전용 장비 도입이란 적극적인 움직임으로 나타나 안티DDoS 크게 성장시킨 촉매가 됐다.
인천국제공항을 비롯 미래에셋, G마켓 등 대형 사이트를 비롯한 다수의 사이트에서 안티DDoS 전용 솔루션을 도입하는 등 2008년 안티DDoS 시장은 급속한 성장을 이뤄냈다. 최근에는 대한항공, 롯데정보통신, 네오위즈게임즈 등으로 지속적인 시장 확산이 이뤄지고 있는 상황이다.
시장 성장은 치열한 경쟁을 가져왔다. 2007년만 해도 2~3개 기업의 경쟁에 그쳤던 시장이 1년 사이에 10여개 이상의 기업이 경쟁하는 양상으로 변화한 것으로 가히 안티DDoS 시장의 춘추전국 시대라고 부를 만큼 다수의 기업이 저마다의 강점을 내세우면서 치열한 경쟁이 전개되고 있다.
가드&디텍터란 안티DDoS 솔루션을 출시한 시스코를 비롯해 라드웨어, 아버네트웍스 등이 안티DDoS를 전면에 내세우고 시장 공략에 박차를 가했으며, 인트루가드를 비롯해 리오레이, 인텔리가드, 기가핀네트웍스 등 안티DDoS 전문기업을 표방한 해외 전문벤더들의 국내 시장 러사도 이어졌다. 또 국내 IPS 시장을 이끌어가던 나우콤, LG CNS, 지모컴 등 국산 벤더들도 안티DDoS 전용 어플라이언스를 출시하면서 시장 경쟁에 뛰어들었다.
안티DDoS에 대한 관심은 2009년에도 이어질 것으로 전망된다. DDoS 공격이 줄어들고 있지 않고 있다는 것은 안티DDoS 성장세를 가늠하게 하는 가장 큰 배경. 지난 2007년 DDoS 공격으로 홍역을 치렀던 아이템거래사이트들은 2008년 12월에도 집중 공격을 받았다는 것은 DDoS 공격의 위험이 아직도 지속되고 있음을 보여준다.
안티DDoS 시장을 촉발시킨 DDoS 이슈는 IPS 시장 확대에도 일정한 영향을 끼쳤다. 일부 고객의 경우에는 안티DDoS가 아닌 IPS를 선택한 것. 이는 IPS에서도 일정부문 DDoS 공격에 대한 방어를 수행할 수 있기 때문. IPS 구축과 함께 인터넷서비스사업자(ISP)와 적절한 협업체제를 구축하면 DDoS에 대한 비용효율적인 방어 체제를 마련할 수 있다.
하이엔드 시장, 10Gbps 본격화
시장 성숙기에 접어든 IPS 시장이지만, 2008년에는 의미있는 변화도 나타났다. 바로 10Gbps의 대두가 그것이다. ‘소문난 잔치에 먹을 것 없다’란 속담을 증명하듯 그동안 새로운 수요처 창출로 주목되던 10Gbps는 ‘시장 도래가 다가왔다’란 기대를 번번이 배반했다. 하지만 2008년에는 10Gbps 레퍼런스가 확보되는 등 보다 뚜렷한 움직임을 나타내면서 10Gbps에 대한 기대를 부풀리고 있다.
10Gbps 시장에서는 티핑포인트가 주목된다. 티핑포인트는 현대기아차 등 2곳의 10Gbps 레퍼런스를 확보해 10Gbps 시장에 대한 리더십을 확보하고 있다. 티핑포인트는 별도의 10Gbps 단독장비가 아니라 기존 IPS 장비를 활용해 10Gbps 트래픽을 보장하는 ‘코어컨트롤러’를 통해 10Gbps 시장에 대응하고 있다.
박진성 티핑포인트 이사는 “코어컨트롤러를 통한 연계 방식은 기 구축된 IPS 장비를 활용할 수 있어 보다 비용효율적으로 10Gbps에 대응하게 한다”며 “국내 시장에서 2곳의 10Gbps 구축에 티핑포인트 코어컨트롤러가 활용된 것은 티핑포인트의 전략이 옳았음을 보여주는 동시에 IPS 시장에서 티핑포인트의 리더십을 보여주는 사례”라고 강조했다.
10Gbps에 있어 맥아피도 주목된다. 맥아피는 10Gbps를 지원하는 ‘인트루쉴드 M 시리즈’를 출시하면서 10Gbps 시장에 대한 공략을 강화하고 있다. 무엇보다 10Gbps 트래픽을 지원하는 단일 IPS라는 점이 가장 큰 특징인 동시에 장점이다. 맥아피는 은행, 증권 등 2곳의 인트루쉴드 M시리즈 레퍼런스를 확보해 안정성을 검증받은 상황이다. 이들에는 5Gbps의 M시리즈가 공급돼 있지만, M 시리즈의 성능과 안정성을 보여주는 사례로 평가된다.
라드웨어 또한 2008년 하반기 ODS3 플랫폼을 출시하면서 10Gbps에 대한 대응태세를 완료했으며, 주니퍼도 10Gbps 구현이 가능한 IDG 솔루션 출시를 준비하고 있다. IBM ISS의 경우에는 티핑포인트와 마찬가지로 IPS를 묶어 10Gbps의 성능을 제공하는 컨트롤러 개념의 솔루션을 출시하고 있다.
국내 기업 중에서는 IPS 시장을 양분하고 있다고 평가되는 나우콤과 LG CNS도 10Gbps 솔루션을 예고하고 있어 국내외 벤더간 10Gbps 시장 경쟁은 더욱 치열해질 것으로 평가되며, 이 경쟁의 시작은 2009년 본격화될 것으로 업계는 전망하고 있다.
한편 안티DDoS 시장에서도 10Gbps는 화두로 떠오르고 있다. 나우콤이 10Gbps 출시를 밝힌 데 이어 LG CNS, 지모컴, 인트루가드 등도 10Gbps 출시를 예고하고 있는 상황으로 10Gbps 시장 경쟁은 IPS를 넘어 안티DDoS 시장에서 치열하게 펼쳐질 것으로 전망되고 있다.
통합화, 기술진화로 ‘맞불’
IPS에 대해서는 전망이 엇갈리는 것이 사실이다. 공격 심화에 따라 IPS의 유용성이 더욱 높아지고 있으며, 기업의 필수 솔루션으로써 자리매김했다는 의견이 있는 반면, 단독장비로써의 IPS가 갖는 매력은 점차 약화되고 있다는 의견도 존재한다. 물론 IPS의 지속가능성을 바라보는 의견이 중론이지만, 통합보안에 대한 요구가 높아지는 현실에서 IPS가 독자적 장비가 아닌 통합보안 플랫폼의 일환으로 통합되는 현상도 무시할 수는 없다.
먼저 SMB 시장에서는 UTM의 강세로 인해 통합화 현상이 보다 뚜렷하게 나타나고 있다. 2~3년 전부터 지속된 이러한 현상으로 인해 현재 SMB 타깃으로 한 솔루션 중 UTM이 아닌 IPS 단독 제품을 찾기는 쉽지 않은 일이다. 성능이슈로 인해 UTM에 대한 의문도 존재하지만, 이는 IPS를 중심으로 하기보다 안티바이러스 기능 탑재에 의한 이슈가 더욱 큰 상황이다.
하이엔드 시장에서는 IPS에 대한 선호가 보다 뚜렷하지만, 최근 등장한 대형 게이트웨이 장비에서 방화벽, IPS를 동시 제공하는 현상이 발생하고 있다는 점도 주목의 대상이다. 예를 들어 120Gbps의 고성능을 제공하는 ‘주니퍼 SRX 다이내믹 서비스 게이트웨이’의 경우, 방화벽 기능을 기반으로 IPS, 안티DDoS 기능까지 포괄적으로 제공하고 있다.
통합의 이면에서 IPS는 특화된 공격을 방어하는 기술진화를 선보이면서 생존을 모색하고 있다. 고도화된 공격에 대응하는 기술적 진화를 통해 IPS의 영역을 확고히 하려는 것. 나우콤이 최근 출시한 VoIP 전용 IPS인 ‘스나이퍼IPS V’는 이를 보여주는 사례라고 할 수 있다. 또 라드웨어는 2007년 말 동영상 재생 프로그램인 ‘곰플레이어’의 시그니처를 개발해 동영상 애플리케이션을 이용한 공격에 대응하는 모습도 보였다.
공격이 고도화되는 오늘날 IPS의 역할도 증대되기 때문에 하이엔드 시장에서는 미드레인지급 시장에서 나타나는 통합으로 발전하지 않을 것이라는 의견이 보다 더 설득력을 지닌다. 복합 공격 등 고도화된 위협에 따라 패킷을 일일이 분석해야 하는 IPS의 부담은 더욱 가중되고 있다는 것이다.
한 전문가는 “IPS에 안티DDoS 기능을 추가가 가능하지만, 안티DDoS가 IPS에서 분화돼 별도의 시장을 형성한 것은 안티DDoS 추가시 IPS 장비가 갖는 부담이 지나치게 높아지기 때문”이라며 “공격이 더욱 지능화되는 오늘날 하이엔드 시장에서 IPS의 통합이 이뤄지기는 요원하다”는 견해를 피력했다.
IPS·안티DDoS 전문가 기고
“눈앞의 이슈 아닌 진정한 보안 강화 꾀해야”
박진성 // 티핑포인트 이사
jpark@tippingpoint.com
보안업계에 근무하다보니 매일아침 뉴스클리핑 서비스 메일을 읽으며 보안관련 이슈나 사건/사고 소식에 유심히 집중하게 된다. 어느 기관이 또다시 중국발 분산서비스거부(DDoS)공격을 받았다느니, 어느 기관에서 고객정보 유출사고가 일어나 피해자들이 집단소송을 준비하고 있다느니, 아니면 평소 즐겨찾던 어느 웹사이트가 콘텐츠 변조를 시도한 해킹 공격으로 인해 한동안 운영을 멈췄다는 소식들이 지면을 가득 메우고 있다.
불과 6년 전 일이지만 저녁상을 물리고 TV 앞에 앉은 소시민들의 귓전에 9시 뉴스에서 앵커와 기자들의 격앙된 목소리로 ‘인터넷 대란’이라는 헤드라인 뉴스가 전달된 일이 있다. ‘SQL 슬래머 웜’이 전세계적으로 퍼지면서 단 10분만에 7만5000여개의 호스트가 감염되고 10억달러 이상의 피해를 입혔던 사고로 은행의 현금인출기가 작동을 멈추고 긴급구조 요청 전화서비스가 불통이 되는가 하면 신용카드 서비스나 온라인 예매가 제 기능을 상실해 돌아오는 월요일 아침의 금융기관 파국이 거의 재앙수준으로 예고됐던 뉴스, 바로 그 유명한 2003년 ‘1·25 대란’이다.
사람들은 처음으로 9시 뉴스 시간에 바이러스, 해킹, 공격, 인터넷 불통 등의 단어를 들으면서 많은 혼란을 느꼈다. 그래서 뭘 어쩌란 말인가. 이게 우리 얘기인가 아니면 우리와는 전혀 동떨어진 다른 세상의 소식인가. 정치권의 격렬한 다툼이나 걸프지역의 전쟁소식에 익숙해있던 대다수 국민들에게는 다분히 생소했던 이 단어들이 지금 2009년 정월을 맞이한 우리가 느끼기엔 이젠 ‘일상’이 됐다.
더 다양한 공격기법, 다양한 방어 ‘필요’
초나라에 무기를 파는 상인이 있었다. 그 상인은 자신이 파는 창을 들어 보이며 그 어떤 방패도 뚫을 수 있는 창이라고 선전했고, 또한 방패를 들어 보이며 그 어떤 창도 막아낼 수 있는 방패라고 선전했다. 그러자 구경하던 사람 중 하나가 상인에게 “당신이 그 어떤 방패도 다 뚫을 수 있다고 선전하는 창으로 그 어떤 창도 막아낼 수 있다고 선전하는 방패를 찌르면 어떻게 됩니까?”하고 질문을 던지자 상인은 아무 대답도 하지 못했다.
사이버 세상의 창과 방패는 어떠한가. 서로를 철저히 제압하려는 진영들이 상대방의 허점(DB, 애플리케이션, 웹페이지의 취약점)과 부주의(개인정보 누수, 기업자산 방치)를 파고 들어가며, 일정하게 유지되는 공격의 패턴을 검출(시그니처 업데이트), 하드웨어적인 아키텍처나 ASIC상의 로직을 이용해 이를 막으려고 한다.
사실 조금만 상황을 틀어서 보면, 인터넷상의 이 창과 방패는 서로를 의지하고 있다. 모순처럼 들리는 이 모순의 관계는 공격술로부터 방어책을 연마하고, 방어책의 제약사항을 연구해 신종 공격을 개발하는 작금의 자가발전 상황을 들여다보면 쉽게 고개가 끄덕여진다.
지난 2008년은 이 모순의 관계가 한층 공고해진 시기였다. 먼저 증권사에 대한 웹페이지 변조공격이 알려지면서 평소에 보안설비 투자에 꽤나 인색했던 증권업계를 필두로 서둘러 긴급예산이 편성되고 제안요청과 BMT가 이어졌으며, 이에 발맞춰 DDoS 공격방어용 전용 장비의 출시가 봇물을 이뤘다. 그러나, 단지 DDoS 방어 전용장비 구매에 그 예산의 용도는 국한됐다.
웜바이러스, 트로이목마, P2P, SQL 인젝션, 피싱, 크로스 사이트 스크립트(XSS), OS 취약점, 애플리케이션 취약점, SCADA, DoS/DDoS 등 알려진 유형만 해도 수십 수백 가지인데 뉴스에 나왔다고 DDoS 공격만 방어하겠다는 것이다. 예산이 그리 나왔고, 다른 용도의 제품을 구매했다가 나중에 DoS 공격을 받은 사실이 알려지기라도 하면 구매한 부서가 다칠 수 있기 때문이다. 설령 DoS 이외 유형의 공격을 받아서 큰 피해를 보더라도 주어진 예산의 용도에 충실했기에 면피는 할 수 있겠지만, 진정한 보안이라고는 보기 어렵다.
보안 업계에서는 마음이 바빠졌다. 이 흐름을 타지 못하면 뒤처지니, 자사 제품의 포장을 벗기고 도색을 다시 하기도 하고, 사양표의 설명을 살짝 바꾼 곳도 있다. 원래 있는 기능을 별도로 분리해서 같은 하드웨어에 마치 새 제품인 것처럼 용도제한의 장비를 만들어 다시 포장을 하느라 분주했다. 기다렸다는 듯이 신제품이라고 발표해놓고 실은 오래전부터 개발해온 것이라고 강변하는, 쓴웃음 짓게 하는 해프닝도 있었다.
무(모)한 도전, 10G 인터페이스가 10G인가(?)
백본스위치와 대형라우터가 10Gbps 환경으로 바뀌면서 그 구간에 인라인으로 설치되는 보안제품들도 변신을 요구받았다. 1Gbps 인터페이스로 잘해야 1~2Gbps급 처리속도에 만족해야 했던 수요처와 공급자들은 보안제품도 10Gbps 환경에 맞게 더 커질 것을 요구했다. 그러나 쓰루풋 기술은 조립이 아니다. 백플레인과 시스템 아키텍처를 10Gbps급에 맞춰 전혀 새롭게 개발해야 하고, 보안장비이므로(당연하게도!) 보안처리능력 역시 10Gbps급 인스펙션 성능을 보장해야 한다.
다시 한 번 강조하지만, 보안장비의 쓰루풋은 조립해서는 절대 확보할 수 없는 기술이다. 값나가는 10Gbps XFP 인터페이스를 조립해 장착해놓은 것을 10Gbps급 보안장비라고 사용자를 현혹해 그보다 훨씬 값비싸게 구매를 강권하는 일은 없어야 한다.
지식경제부 기술표준원에 따르면, 중국 정부가 최근 각국에서 우려를 표시했던 13개 정보보안 제품 강제인증(CCC: China Compulsory Certification)의 시행을 유보하고 각국의 의견을 수렴하기로 했다고 한다.
2007년 8월 중국 정부는 2009년 5월부터 CCC 인증을 받지 않은 방화벽, 네트워크 보안격리카드·선로선택기, 보안격리·정보교환 보안라우터, IC카드 칩운영체제(COS), 데이터백업·복구, 보안DB시스템, 스팸차단, 침입탐지시스템 등 13개 정보보호 제품군은 중국 내에 수입하지 못하며, 수천 페이지에 이르는 문서 요구와 공장 심사내용까지 담은 시행방안을 세계무역기구에 제출한 바 있다.
지난 수년간 세계적인 보안솔루션 업체로 등극하길 꾀하는 많은 국내 유수의 회사들이 중국에 수출할 기회를 찾아왔고 그 일부는 적잖은 성과를 거두기도 하였다. 그런데 중국 정부가 자국의 기업들을 보호하려는 목적으로 외국의 제품들에게 소스코드 공개 등 사실상 기업기밀이 유출될 수도 있는 강제인증 제도를 시행한다는 소식이 전해지자 지식경제부, 행정안전부를 비롯해 국내 보안솔루션 기업체들의 협의체인 한국정보보호산업협회(KISIA)가 2008년 9월 대응 TF를 꾸렸다. 또 최근 킥오프 회의와 무역기술장벽(TBT) 워크샵을 통해 중국의 강제인증제도가 시행되더라도 기술유출이 되지 않도록 한국에서 인증을 하는 방식 등 다양한 공동대응 전략을 결정했다.
이 장면은 어디서 본 듯한 데자뷰다. 그 유명한 K4(E) 인증과 한국형 공통평가기준(Common Criteria), 그리고 사전 보안적합성 검증제도에 이르기까지 (지금은 제도적으로 많은 변경을 거쳤지만) 지난 수 년 동안 외국계 보안기업의 발목을 잡아왔던 우리 과거 모습이다.
중국 정부의 사용자 보호 및 안전성 검증이라는 표면적인 의도는 국가와 국민의 보안을 위한 조치로 제도를 시행해온 우리 당국의 그것과 너무도 똑같고, 강제인증제도 대응 TF의 목소리는 지난날 외산벤더들의 항변과 그 감성마저 닮아있다. TF팀의 행사 시작 들머리에 한국의 시장 진입장벽에 따른 고충을 삭히며 공공시장의 먼 산만을 바라봐온 외산솔루션 기업들과 그 협력사들에게 사과 한마디는 하고 시작했는지는 모를 일이다.
1박 2일, 야생 버라이어티 보안시장
2008년에도 공공기관과 대기업, 금융기관, 교육, 미디어, 인터넷/게임, 통신 등 산업 전부문에 걸쳐 침입방지시스템(IPS)을 비롯한 보안장비의 신규 수요 및 추가증설이 꾸준히 이어져왔다.
올해에도 작년 DDoS 전용장비나 웹방화벽(WAF)처럼 안티봇넷(Anti-BotNet), VoIP IPS 등 개별 기능을 강조한 또다른 ‘전용장비’들이 추가로 시장에 등장하겠지만 이를 구입해 리얼월드의 침해사고를 사전에 예방해야 하는 수요처들의 예산 항목은 매우 제한적일 수밖에 없다. 시장에 쏟아져 나오는 보안 솔루션들을 죄다 도입해서 이들을 일렬로 세워놓으면 얼마나 좋을까마는 미국의 조지 부시 대통령도 해결 못한 글로벌 금융위기 앞에 턱없는 소리에 불과하다.
문제는 복잡하지만 해답은 간단하다. 바로 정도를 걷는 것이다. 공격과 방어의 무한경쟁 모순을 극복하기 위해 자사의 제품을 보다 정교하게 개발하여 보안제품이 보안제품답게 움직여주는 것. 포장만 그럴 듯하게 꾸며 없던 시장을 창출하는 마케팅 기법이 아니라 시장이 요구하는 신기술을 기존의 제품에 통합하여 고객의 비용절감 노력에 부응하는 것. 그린 IT이든, IT 뉴빅딜이든 우리가 그것을 무어라 부르건 간에 지속가능한 경영을 추구하는 것이다.
