UTM은 2009년 커다란 변화를 맞이한 것으로 평가된다. 확장형위협관리(XTM)으로의 진화가 바로 그것이다. XTM이 UTM과 차별화되는 부문은 바로 확장성이다. 확장형위협관리란 명칭에서도 알 수 있듯 XTM은 기존 UTM이 방화벽, IPS 등 정해진 기능 중에서만 선택하던 것과 달리 DLP, 애플리케이션 제어 등 다양한 보안 기능으로 확장할 수 있게 할 뿐 아니라 WAN 가속 등까지 제공할 수 있게 설계됐다.
UTM, XTM으로 진화
올해에는 다수의 글로벌 기업이 XTM 개념의 솔루션을 출시하면서 XTM 시장 경쟁이 점차 본격화되는 모습이다. UTM 시장 부동의 1위를 고수하고 있는 포티넷은 최근 ‘포티OS 4.0’으로 운영체제를 개선했는데, 중점 사항은 XTM 구현에 맞춰졌다고 볼 수 있다. 포티OS 4.0을 통해 포티넷의 통합보안 솔루션인 ‘포티게이트’는 애플리케이션 통제, DLP, SSL 트래픽 감시는 물론 WAN 최적화까지 지원할 수 있게 됐다.
워치가드와 체크포인트도 XTM 개념의 솔루션을 출시하고 있다. 워치가드 XTM 아키텍처를 발표한 워치가드는 ‘워치가드 XTM 1050’, ‘워치가드 XTM 8’ 등을 연이어 출시하면서 XTM 개념 전파에 적극적인 모습을 보이고 있다. 워치가드 XTM 또한 DLP, WAN 가속 등을 기능을 모듈형태로 쉽게 확장할 수 있으며, 워치가드는 향후 VoIP 등 특정 애플리케이션을 보호하는 모듈 추가를 약속하고 있다.
체크포인트의 경우에는 확장성을 극대화한 ‘체크포인트 소프트웨어 블레이드’를 선보였다. 체크포인트 소프트웨어 블레이드는 프로세서 코어마다 방화벽, IPS 등의 각 보안 기능을 할당할 수 있는 기술에 근간을 둔 것으로 체크포인트 또한 지속적으로 새로운 보안 기능의 소프트웨어 블레이드를 계속 선보여 XTM을 완성시킨다는 계획이다.
이러한 XTM으로의 진화는 성능이슈 해소에 기반을 둔 것이다. 그동안 다기능 구현 시 성능저하의 문제는 통합보안 솔루션 시장 성장의 걸림돌로 작용했다. 하나의 보안 장비에서 다양한 기능을 구현하다보니 성능 저하를 피할 수 없었던 것이다. 인력과 예산이 상대적으로 부족한 중소·중견기업급에서는 UTM이 선호됐지만, 하이엔드 시장에서는 포인트 솔루션의 벽을 뛰어넘지 못한 것도 다기능 적용에 따른 성능 저하이슈 때문이다.
UTM 보다 더 많은 보안 기능 탑재가 가능한 XTM으로의 진화는 성능이슈 해소에 기인하지 않을 수 없다. 하드웨어 기술진화, 통합 보안에 최적화된 아키텍처 최적화가 통합보안 벤더들이 밝히는 성능이슈 해소의 기반이다.
하드웨어의 경우, 멀티코어 프로세서 등 비약적인 진화가 이뤄졌으며, 보안 기능을 각 코어에 할당함으로써 성능진화가 가능하다고 설명된다. 또 주문형 반도체(ASIC)나 NPU(Network Processor Unit) 등의 기술진화도 하드웨어 성능의 비약적 발전을 가져왔다. 소프트웨어 측면에서는 모든 보안 기능에서 검사를 수행하는 것이 아니라 해당 트래픽의 유형에 따라 검사 모듈을 달리하는 아키텍처 최적화를 통해 중복 검사를 방지, 보안성을 유지하면서도 성능 저하를 최소화할 수 있다.
예를 들어 체크포인트 소프트웨어 블레이드에는 멀티코어 프로세서의 각 코어마다 방화벽, IPS 등의 각 보안 기능을 할당할 수 있는 기술이 적용돼 있다. 인텔과 공동개발한 이 기술은 멀티코어 프로세스의 각 코어를 하나의 프로세서로 가정해 보안 기능을 할당할 수 있을 뿐 아니라 유휴 코어를 활용하는 로드밸런싱으로 장비의 성능을 극대화시킬 수 있다.
하이엔드 방화벽, 필수기능 통합으로
XTM으로 진화하는 UTM 발전과는 별개로 하이엔드 방화벽의 다기능 통합도 활발히 이뤄지고 있다. 통합이긴 하지만 하이엔드급 방화벽에서 나타나는 통합은 IPS, VPN 등 일부 기능의 통합이란 점에서 UTM, XTM과는 차별화된다. 또 방화벽 중심이란 점에서도 구분된다.
전세계 방화벽 시장 1위 기업으로 평가되는 주니퍼가 대표적이다. 주니퍼는 주노스(JUNOS) 기반의 단일 운영체제와 고성능 보안 게이트웨이인 ‘SRX게이트웨이’를 발표했다.
주니퍼의 SRX게이트웨이는 방화벽 기능에 더해 IPS, 안티DDoS/DoS 등의 보안 기능, 나아가 네트워크 주소 변환(NAT), 다이내믹 라우팅, 서비스 품질(QoS) 등의 기능까지 제공해 보안과 서비스 게이트웨이 역할을 동시에 수행할 수 있는 다기능 솔루션이다. 또한 기존 스크린OS가 아닌 주니퍼의 라우터, 스위치와 동일한 단일 소스 네트워크 운영시스템인 주노스(JUNOS)를 기반으로 해 네트워크 기능의 안정성과 관리의 편의성을 극대화했다.
주니퍼는 전통적으로 UTM과 고성능 방화벽의 분리 정책을 펼쳐온 대표적인 기업이다. 성능을 중시하는 하이엔드 시장에서는 UTM의 입지가 크지 않다는 것이다. SRX게이트웨이 또한 이에 맞춰 방화벽 기능을 중심으로 고성능을 제공하며, 방화벽의 성능과 안정성을 해치지 않는 범위에서 기업에서 필요로 하는 일부의 기능을 통합했다는 설명이다.
국내 방화벽 시장의 강자 어울림정보기술도 하이엔드 시장에서는 UTM이 아닌 방화벽/VPN 솔루션으로 대응한다는 전략을 밝혔다. 3년여의 개발기간을 투입한 어울림정보기술의 야심작인 ‘시큐어웍스 5000/10000’은 이에 대응하는 것으로 고성능 방화벽 기능에 중점을 두고 있다.
시큐아이닷컴 또한 삼성네트웍스와 공동개발한 ‘엑쉴드’를 통해 하이엔드 시장을 적극 공략하고 있다. 엑쉴드는 방화벽, IPS 등 핵심보안기능만 탑재한 고성능 솔루션으로 네트워크 안정성을 강점으로 내세우며, 하이엔드 시장은 네트워킹 기능과 다기능 보안 기능을 제공하는 엑쉴드로, 미드레인지 이하 시장에서는 보다 폭넓은 통합보안 역량을 제공하는 UTM 솔루션인 ‘NXG’로 공략한다는 방침이다.
하이엔드 시장에서의 포인트 솔루션의 인기는 UTM을 전면에 내세우고 있는 기업에서도 공감하는 부문이다. 포티넷코리아 이상준 지사장의 경우에도 “하이엔드 시장에서는 성능, 안전성 등을 이유로 UTM 장비를 그리 선호하지 않는 것을 부인할 수는 없다”라고 말한다.
하지만 XTM으로 진화할 정도로 성능이 향상되고 있는 통합보안 솔루션이 단일 기능에서도 포인트 솔루션에 뒤지지 않는다는 것이 UTM 진영의 주장이다. 이상준 포티넷코리아 지사장은 “포티게이트5000의 경우, 대용량 방화벽으로도 손색없는 성능을 발휘한다”면서 “필요 시 다른 기능을 손쉽게 추가 구현할 수 있다는 장점이 있어 하이엔드 시장에서도 UTM이 시장을 주도하게 될 것”이라고 기대를 표시했다.
매니지드 서비스 시장 경쟁 ‘주목’
다른 한편으로 UTM 시장에서는 매니지드 서비스의 변화가 주목된다. 임대 서비스 사업으로 불리는 매니지드 서비스 사업에 넥스지, 안철수연구소 등이 참여해 변화의 조짐이 감지되고 있는 것. 넥스지가 SK브로드밴드와 안철수연구소가 KT와 손을 잡고, 올해부터 매니지드 서비스를 시작했다.
포티넷이 국내 UTM 시장에서 1위를 고수하고 있는 것은 임대 서비스 사업의 호조가 가장 큰 요인으로 꼽는 의견도 적지 않다. 임대 서비스의 매출은 크지 않지만, 계약 기간 동안 안정적이 매출을 지속적으로 가져갈 수 있을 뿐 아니라 인지도 향상도 꾀할 수 있기 때문이다. 이러한 매니지드 시장에 국내 기업의 적극적인 참여가 시작되면서 향후 파장이 주목되는 것이다.
그동안 국내 보안 기업이 UTM 부문에서 글로벌 기업에 이슈를 빼앗겼음은 부인하기 힘들다. 포티넷 등이 2000년대 초반부터 UTM을 부르짖었던 것과 달리 국내 기업이 이에 본격적으로 대응하기 시작한 것은 불과 2~3년 전이다. 잇단 신제품 출시와 매니지드 서비스 개시 등 적극적 대응이 주목되는 까닭이다.
다른 한편으로는 퓨쳐시스템의 움직임도 주목된다. 국내 VPN 시장 강자인 퓨쳐시스쳄은 나노엔텍과의 합병, 분리 등이 이어지면서 우려를 안겼지만, 올 상반기 완전분리가 마무리되면서 새삼 주목을 끌고 있다. 특히 기존 ‘퓨쳐UTM’의 성능을 한층 개선한 ‘위가디아XTM’으로 라인업을 일신하고, 본격적인 시장 경쟁에 가세했다.
<네트워크 통합보안 솔루션_전문가 기고>
확장형 차세대 방화벽으로 빠른 진화 진행
HTTPS 검사·애플리케이션 인지능력 필요 … 네트워크 유통 콘텐츠 보호
정종우 워치가드코리아 지사장
john.chung@watchguard.com
1996년 하드웨어 방식의 방화벽이 세상에 처음 선보인 이래 15년 가까운 세월이 흘렀다. 그동안 방화벽은 VPN 기능을 통합하고, 침입방지시스템(IPS), 안티 스팸, 안티 바이러스, URL 필터링 등의 기능을 포함하면서 통합위협관리(UTM) 플랫폼으로 발전해 왔다. 2009년에는 그동안 축적된 기술적 노하우를 바탕으로 더욱 다양한 보안 기능을 포괄하는 확장형 위협관리(XTM : eXtensible Threat Management)가 출시되면서 방화벽 부문에서 또 한 차례의 진화를 시작하고 있다.
현재 진행형인 변화들
오늘날 사용자 중심의 애플리케이션은 더욱 증가하고 있다. 인스턴트 메시징, P2P 파일 공유, 웹 메일, 다양한 소셜 네트워킹 사이트 등 인터넷 중심의 퍼스널 커뮤니케이션 매체가 확산되고 있으며, 이는 기업의 네트워크에도 영향을 주고 있다.
이러한 사용자 중심 애플리케이션은 점차 인기를 더해가고 있지만, 문제는 이들 애플리케이션이 기존 커뮤니케이션의 방식을 바꾸는 동시에 전통적인 보안 장치까지 회피한다는 점이다. 보편적으로 많이 구사되는 우회기법은 다음과 같다.
· 세션 진행중 포트/프로토콜이 랜덤으로 바뀌는 포트 호핑
· 비표준형 포트의 사용(예를 들어 야후 메신저는 TCP 포트 5050이 아니라 TCP 포트 80에서 구동된다)
· P2P 파일 공유 또는 IM 클라이언트 등의 보편적 서비스에 HTTP 터널링 활용
· SSL 암호화 트래픽으로 위장
정교한 액세스 컨트롤은 대기업용 방화벽에서 가장 중요시되는 기능 중 하나이다. 커뮤니케이션 트래픽의 흐름을 관리하면서 오랫동안 엔터프라이즈 보안의 한 축을 형성해 온 이 기능은 신뢰 수준이 상이한 두 가지 도메인 사이의 경계를 설정하려는 전략적인 지점에서 활용돼 왔다. 즉, 파트너 네트워크와 연결되는 인터넷 게이트웨이나 데이터 센터로 연결되는 논리적인 출입구 등에서 빈번하게 이용돼 온 것이다.
전통적 방식의 포트 블로킹 ‘비효율적’
문제는 대부분의 전통적 방화벽이 아직 원시(遠視) 상태를 벗어나지 못하고 있다는 점이다. 사물의 일반적인 모양은 구별하지만, 실제로 어떤 일이 일어나고 있는지 구체적인 사항은 파악하지 못하는 것이다. 이는 전통적인 방화벽이 트래픽 스트림을 포트 넘버에 근거해 분류해 애플리케이션 단의 서비스를 제공하는 방식으로 가동되기 때문이다. 예를 들면 TCP 포트 80을 통하는 트래픽은 무조건 HTTP라고 간주하는 것으로, 이는 해당 포트는 특정 서비스에 할당된다는 기계적인 방식에 의존하기 때문에 동일한 포트나 서비스를 이용하는 상이한 애플리케이션을 구분해 내지 못한다.
이 결과 전통적인 ‘포트 차단’ 방식의 방화벽은 기본적으로 새롭게 등장하는 애플리케이션을 인지하지 못한다. 포트 호핑, 포로토콜 터널링, 비표준형 포트의 사용 등 보편적으로 사용되는 우회 기법에 무방비 상태로 노출되게 마련이다.
보안 위협을 인지조차 못하는 보안 장비라면 보안 성능은 논의할 필요조차 없다. 이러한 보안 제품에 의존하는 기업의 경우, 사용자는 원하는 모든 애플리케이션을 마음껏 사용하면서 네트워크를 점점 더 오염시킨다.
전통적 방화벽에 딥 패킷 인스펙(DPI) 기술을 추가하더라도 상황은 다르지 않다. 이제 전통적인 방화벽은 단점을 해결하기 위해 채택되고 있는 딥 패킷 인스펙션(DPI) 기술은 일견 합리적인 방식으로 보이지만, 보안 효과 측면에서 보면 약간의 성능향상을 기대할 수 있을 뿐이다.
이는 기초 기술이 부실하기 때문이다. 포트 블록 방식의 방화벽은 근본적으로 애플리케이션에 대한 인지가 결여됐기 때문에 여기에 DPI를 덧붙인다 하더라도, 트래픽이 유입되면 이를 초기에 분류하는 기능은 여전히 ‘과거형’ 기술에 의존한다. 이러한 기술적 한계는 다음과 같은 보안 문제를 야기한다.
· 트래픽을 충분히 검사하지 못한다. 방화벽에서 애플리케이션 트래픽을 정교하게 분류하지 못하기 때문에 어떤 세션을 DPI로 보내 정밀 검사할 것인지 결정할 수 없다.
· 보안 정책이 뒤죽박죽으로 관리된다. DPI의 핵심 가치는 개별 애플리케이션을 어떻게 처리할 것인지 정의한 규칙을 충실히 수행하는데 있다. 이를 통해 수준 높은 액세스 컨트롤 정책을 구사할 수 있기 때문이다.
· 낮은 성능으로 인한 보안 성능의 저하를 감수해야 한다. 보안 시스템 자원을 엉뚱한 곳에 사용하고, CPU를 과도하게 사용하게 된다. 메모리 사용이 집중되는 애플리케이션 단의 기능으로 인해 플랫폼 전반의 성능이 저하된다. 이러한 상황을 해결하기 위해, 관리자가 첨단 필터링 기능 중 일부만을 선택적으로 가동하는 등 어쩔 수 없이 제한적인 조치를 취하게 된다.
애플리케이션 인지 능력 대두
차세대와 구세대 방화벽을 가르는 중요한 기준 중 하나는 ‘애플리케이션 인지 능력’이다. 특히 최근에는 봇넷 등 유해 악성코드를 주로 전파하는 인스턴트 메시징이나 P2P 애플리케이션 차단, VoIP 보안 등의 중요성이 점차 부각되고 있다.
차세대 방화벽에서 VoIP와 같은 애플리케이션 보안 기능이 추가되어야 하는 이유 중 하나는, VoIP 트래픽이 LAN에서 전통적인 데이터 패킷과 뒤섞여 사용되기 때문이다. 결국 VoIP가 갖는 보안 위협은 기업의 네트워크 데이터 전반에 확산될 수 있다. 하지만 VoIP는 공격자가 좋아할 만한 기술적인 취약점을 다양하게 갖추고 있다.
기본적으로 VoIP의 운영에는 수많은 코덱과 프로토콜, 전송 방법 등이 관여되며, 악의적인 공격자에게 이용당할 수 있는 다양한 경로가 존재한다. VoIP는 오디오, 비디오, 팩스, 텍스트를 포함하며, 각각의 기술별로 다양한 코덱 옵션을 제공한다. 일부 사용자는 스테레오 사운드와 더 좋은 오디오 품질을 원하며, 대용량 패킷의 코덱을 선호한다. 대역폭에 민감한 사용자의 경우 평균 비트레이트가 낮지만, 프로세싱이 많이 필요한 작은 패킷의 코덱을 선호한다. 이러한 이유로 VoIP 오디오만 살펴도 보편적으로 사용하는 코덱이 최소한 8개에 달하며, 이러한 다수의 코덱 이용은 더 많은 취약점의 위험을 내포하는 것이다.
더불어 차세대 방화벽에서 최근 주목받고 있는 기능 중 하나가 바로 HTTPS의 검사 가능 유무다. 기존 네트워크 관리자들은 대부분 HTTPS와 같은 암호화된 웹 트래픽이 페리미터 방어벽을 통과하도록 허용했으며, 암호화된 트래픽 스트림은 읽을 수 없는 텍스트로 뒤섞어 버려 있어 HTTPS 연결을 통해 바람직한 정보가 유입되는지 혹은 적대적인 코드가 들어오는지 전혀 파악하지 못했다.
이에 공격자는 암호화된 웹 트래픽을 악용해 스텔스 공격 코드를 주입하는 툴로 활용하는 경향이 점차 두드러지게 나타나고 있다. HTTPS의 사용은 점차 빠르게 증가하고 있지만, HTTPS 연결을 더 이상 신뢰할 수 없는 상태이기에 암호화된 트래픽이라 하더라도 패킷헤더와 본문까지도 검사하는 기능이 필수적으로 요구되는 것이다.
이처럼 보안 위협이 다양하고 복잡해지는 경향에 맞춰 보안 장비도 이에 적극적으로 대응해야 할 필요성이 존재한다. 즉 공격이 점차 정교해지는 만큼 보안 장비 또한 더 빠른 시간 내에 다양한 각도에서 보안 위협을 점검하고 신속하게 대응해야 하는 것이다. 얼마나 짧은 시간 내에 위협을 인지하고 분석하고 대응할 것인지가 오늘날 경쟁력의 핵심이며, 이는 XTM과 같이 통합된 보안 솔루션으로만 해결될 수 있다.
확장, 확장, 확장
이미 UTM 단계에서도 노출됐듯 단순히 보안 기능을 덧붙이기만 한 경우에는 성능 상의 문제가 야기될 수 있다. 다시 말해 처음부터 보안 기능, 보안 성능의 확장을 염두에 둬야 한다. 이를 위해서는 초기 설계 단계에서부터 확장형 아키텍처를 갖추고 있어야 한다. 특히 오늘날 복잡한 네트워크 보안의 문제를 해소할 수 있는 솔루션인 XTM으로 진화하기 위해서는 확장형 아키텍처 탑재가 반드시 선행돼야 한다.
확장형 아키텍처를 갖추고 있는 제품이라면, 차세대 방화벽은 기업보안의 최일선에서 다양한 기능을 구사하는 플랫폼으로 활용할 수 있다. 기업의 주요 정보유출을 방지하는 DLP, DB보안 등 네트워크를 통해 유통되는 콘텐츠 전반을 보호하는 장비로 쓰임새를 더해나갈 수 있는 것이다.
