초기의 WAF는 아파치, IIS 같은 웹 서버의 플러그인으로 설치되는 소프트웨어 형식이었으나 웹 서버의 부하 증가, 장애 발생 시의 대응 문제, 다수의 웹 서버 운영 시 관리의 불편함 등으로 인해 하드웨어 일체형 어플라이언스 방식의 WAF 솔루션이 등장했다. 현재 가장 널리 퍼진 상용 WAF 솔루션 모델은 어플라이언스 방식으로, 전용 하드웨어에 웹 방화벽 소프트웨어가 탑재돼 운영되며, 플러그인 형식의 소프트웨어 웹 방화벽은 프리웨어로 배포되거나 관제 용도로 일부가 사용되는 형태다.
평판 기반 기술 접목, 보안성 강화
최근 WAF 시장에서 떠오르고 있는 이슈는 평판(reputation) 기반 기술과 클라우드 컴퓨팅이다. 우선 평판 기반의 탐지 및 차단 기술은 다수의 WAF로부터 수집된 데이터를 바탕으로 공격의 위험도, 출발지 정보 등을 분석하고, 이를 기반으로 웹 공격을 차단하는 방식이다. 최근의 웹 공격은 다형성을 갖고 있어 하나의 탐지 방식으로는 탐지가 힘든 경우가 있다.
예를 들어 매스 SQL 인젝션(Mass SQL Injection) 공격 같은 경우, 기본적으로 SQL 인젝션 공격이지만 최종적으로 사용자에게 피해를 주는 것은 XSS(Cross Site Scripting) 공격이며, 이 공격은 자동화된 웜으로 수행된다. 게다가 보안시스템으로부터의 차단을 우회하고자 공격을 쿠키에 담아 전송하는 등 다양한 변형이 이뤄지고 있어 복합적인 분석 및 대응이 요구된다.
이러한 공격을 차단하기 위해서는 SQL 인젝션이나 XSS를 막기도 해야 하지만, 웜에 감염된 출발지 IP를 식별, 접근을 근본적으로 막아 추가적인 공격을 원천 봉쇄해야 할 필요가 있다. 왜냐하면 웜에 감염된 PC는 상대적으로 보안이 취약하다는 의미이기에, 하나의 웜만 아니라 다른 악성코드에 감염돼 스팸 메일을 발송하거나 좀비PC가 돼 분산서비스거부공격을 수행할 수도 있기 때문이다.
지난 7·7 대란의 경우, 국내뿐 아니라 해외에 있는 수 만대의 좀비 PC로부터 주요 기관의 웹 서버에 대한 웹 접속이 집중되어 발생했다. 이러한 국가 규모 또는 이를 넘어서는 공격의 발생 시 초기에 그 징후를 파악하고 대처할 때 평판 기반의 탐지 및 차단 기술이 그 진가를 발휘할 수 있을 것이다.
한편 클라우드 컴퓨팅의 확산은 WAF에게 새로운 보안 모델을 요구하고 있다. 클라우드 컴퓨팅 환경 내의 하나의 가상화된 서버에서 운영되는 다양한 애플리케이션들은 동적 자원 할당, 정보의 공유 등 보안과 관련돼 수많은 문제를 야기할 수 있다.
WAF 또한 하이퍼바이저(hypervisor) 커널 모듈 수준의 구현을 통해 이러한 문제점을 해결할 수 있는 능력을 요구 받을 것으로 예상된다. 클라우드 API를 이용한 데이터 수집과 동적 보안정책 수행과 같은 새로운 기능을 수행하여야 하며, 직접 구축 보다는 SaaS(Software as a Service) 방식의 서비스로 제공될 것으로 예상되므로 지금과는 다른 모습의 새로운 WAF 등장을 예고하고 있다.
이외에도 10Gbps 급의 대용량 웹 트래픽 처리나 보다 심화되는 웹 위협에 대처할 수 있는 탐지엔진의 개발, 그리고 웹 2.0이나 HTML5와 같은 급변하는 웹 환경에 대응할 수 있는 새로운 웹 방화벽 기술도 등장할 것으로 예측된다.
연평균 24% 초고속 성장 기대
앞으로 WAF의 중요성은 더욱 부각될 전망이다. 웹 트래픽은 연평균 30%씩 늘어나 2009년부터 2014년까지 웹 트래픽은 3.7배 증가할 것으로 예측되고 있고, 스마트폰의 보급과 더불어 더욱 다양한 웹 서비스들이 등장하고, 이에 따라 이를 겨냥한 웹 공격도 증가할 것으로 예상되기 때문이다.
테크나비오(Technavio)의 WAF 시장 보고서에 따르면, 웹 방화벽 시장은 2008년 1억8180만달러에서 2013년 4억3760만달러에 도달, 연평균 성장률(CAGR) 24.6%로 급격한 성장을 기록할 것으로 예측되고 있다. 2010년 전 세계 웹 방화벽 시장 규모는 2억3400만달러에 달하고, 특히 북미나 유럽의 연평균 성장률이 24%인 반면, 아시아 태평양 지역은 27%로 보다 빠르게 성장할 것으로 전망된다.
또한 포레스터리서치에서는 2009년 WAF 시장은 2억달러 규모로 2010년에는 2009년 대비 20% 성장할 것으로 예측했으며, 프로스트&설리반은 아시아태평양(APAC) 지역의 WAF 시장에 대한 별도의 보고서에서 2009년 3880만달러인 아태지역 WAF 시장은 2012년까지 연평균 성장률 47.5%로 다른 기관의 예상보다도 훨씬 가파른 성장세를 보일 것으로 예측했다.
특히 중국과 인도의 인터넷 성장이 큰 기여를 할 것이며 웹 2.0을 채택한 기업에서 그 수요가 클 것으로 내다봤다. 시장별로는 금융, 전자상거래, 정부기관이 18%대로 비슷한 규모의 시장을 형성하고 서비스, 교육, 제조 분야가 8~12%를 차지하는 것으로 분석하고 있다. KISA의 보고서에 따르면, 국내 시장의 경우 2010년 웹 방화벽 시장은 290억원 규모로 2014년까지 6%의 연평균 성장률을 보이며 침입차단시스템 제품군의 성장을 견인할 것으로 전망된다.
국내 시장의 경쟁상황을 살피면, 외산 솔루션보다는 국산 제품이 강세를 보이고 있으며, 이 가운데서도 누적 판매 1000대를 돌파한 펜타시큐리티시스템를 비롯한 4개 제조사가 전체 시장의 90% 이상을 장악하고 있다. 점유율 격차가 크기에 향후 국내 시장은 이들을 중심으로 재편될 것으로 예상된다.
웹의 확산은 스마트폰, 클라우드 컴퓨팅 등으로 인해 더욱 가속화되고 있다. 당연히 이를 노린 공격들이 새로 등장하고 있으며, 공격으로 인한 피해도 급증하고 있다. WAF는 이에 대한 해결책으로 계속 발전하고 있어 향후에도 중요한 보안시스템으로 위치를 굳힐 것으로 전망된다.
