비즈니스의 IT 의존도가 높아지면서 웹을 통한 업무수행이 늘어나고 있으며, 웹 애플리케이션 취약성 공격도 함께 증가하고 있다. 클라우드, BYOD 등 새로운 IT 트렌드가 확산되면서 웹 중심 업무로의 변화가 빠르게 진행되고 있으며, 이에 따른 보안 위협도 함께 늘어나고 있다.
시큐어 웹 게이트웨이(SWG)는 PC 앞에 게이트웨이를 두고 웹으로 드나드는 트래픽을 감지해 악성코드와 유해사이트를 차단하는 솔루션으로, 블루코트가 시장을 이끌고 있으며 시만텍, 시스코, 주니퍼 등이 추격하고 있다. 우리나라에서 URL필터링 솔루션이 SWG 기능을 일부 수행하고 있어 SWG가 크게 활성화되지는 않았지만, 정교한 웹 취약성 공격이 늘어나면서 점차 SWG 시장이 열리고 있다.
APT·DLP, SWG로 해결
블루코트의 SWG ‘프록시SG 어플라이언스’는 프록시 기술을 기반으로 암호화된 트래픽도 제어할 수 있으며, 제로데이 방어를 뛰어넘는 ‘네거티브데이 방어’ 기술을 제공한다. 이는 향후 발생할 위협을 미리 예측해 선제방어 기술을 제공한다는 뜻이다. 클라우드 커뮤니티 ‘웹펄스’를 통해 전세계 악성코드 샘플을 수집·분석해 낮은 오탐률을 기록하는 선제방어가 가능하다고 강조한다.
블루코트는 클라우드 기술을 기반으로 한 서비스형 소프트웨어(SaaS)로 SWG를 제공해 BYOD의 모바일 웹과 모바일 앱 취약성 공격을 방어할 수 있도록 한다. 사용자의 모바일 디바이스로 오가는 트래픽을 모두 클라우드로 보내 실시간 분석을 한 후 업무를 수행할 수 있도록 하는 방식으로, 사용량 기반 과금이기 때문에 설치와 운영 비용을 줄일 수 있다. 이 기술은 클라우드 센터의 위치에 따라 응답속도가 달라질 수 있어 블루코트코리아는 올해 초 국내에 클라우드 센터를 설립하고 시장을 적극 공략할 계획이다.
김기태 블루코트코리아 지사장은 “SWG는 APT 공격방어, 내부정보 유출방지(DLP), 좀비PC 방지 솔루션으로도 활용가능하다. 해커가 악성코드에 감염된 사용자 단말을 이용해 시스템 내부로 침투하거나 내부정보를 빼내려고 해도 단말기로 드나드는 모든 트래픽은 SWG를 거치게 돼 있으므로 이상행위를 차단할 수 있다”며 “올해 SWG 솔루션을 집중 드라이브해 높은 매출 성장을 달성하겠다”고 말했다.
시만텍의 ‘웹게이트웨이 5.0’은 선제방어를 위해 평판기술 ‘인사이트’를 접목해 위험도가 높은 사이트에 접근하지 못하도록 한다. 악성코드 샘플을 수집·분석하는 시만텍 글로벌 인텔리전스 네트워크의 지원으로 전세계 1억7500만대 이상 시스템이 제공하는 정보를 바탕으로 새로운 보안위협을 탐지하고 있으며, 데이터 마이닝 기술을 기반으로 매주 3100만개의 신규파일에 보안등급을 부여한다. 이 제품은 DLP와 통합해 정보유출을 방지할 수 있으며, 가상어플라이언스, 물리적인 하드웨어를 지원해 운영환경의 제약이 없다.
윤광택 시만텍코리아 이사는 “IPS와 달리 SWG는 네트워크로 들어오고 나가는 트래픽을 모두 모니터링 할 수 있기 때문에 보다 정확하고 정교한 웹 보안이 가능하다”며 “시만텍 DLP, SEP 등 IT 전반의 보안 솔루션과 SWG를 연계해 IT 보안을 보다 완벽하게 구성할 수 있다”고 말했다.
트래픽 분석으로 이상행위 탐지·차단
SWG는 아니지만 파이어아이, 트렌드마이크로 등의 솔루션도 PC/네트워크를 오가는 트래픽을 분석해 이상행위 혹은 정상행위 중에서도 해커의 공격이 일어날 가능성이 있는 트래픽을 감시할 수 있다.
트렌드마이크로는 APT 탐지 솔루션 ‘딥디스커버리(DD)’와 치료서버인 ‘TMTM’을 통합한 ‘TMS’로 네트워크 위협을 막는다. 파이어아이는 샌드박스 기법을 이용한 가상실행엔진 기술로 네트워크 위협을 탐지한다.
양경윤 파이어아이코리아 이사는 “악성코드가 유입되는 모든 상황을 근본적으로 차단할 수 없기 때문에 공격이 이뤄지는 부분을 감시해 방어할 수 있도록 하는 것이 가상실행엔진이다. 해커가 좀비PC를 이용해 시스템을 공격하고자 한다면, 좀비PC는 해커와 통신을 시도할 것이고, 이를 위해서는 일상적인 업무 수행에서 벗어나는 이상행동을 하게 돼 있다. 파이어아이의 가상실행엔진은 사전에 분석된 악성코드의 패턴 없이도 이상행위를 찾아내 차단하도록 경고할 수 있다”고 설명했다.
토종 기업들은 URL 필터링, 안티피싱 등의 솔루션으로 웹 보안 요구에 대응한다. 멜리타는 좀비PC 탐지 솔루션 ‘프리가드(Pre-Guard)’로 IP 자원과 네트워크를 보호한다. 이 제품은 행위기반 분석기술을 적용해 신·변종 공격에 대응하는 엔진구조와 대응 프로세스로 알려지지 않은 DDoS 공격과 웜 바이러스 확산, 변조된 IP를 통한 유해 트래픽을 차단한다. 엔드포인트에서 공격을 탐지·차단해 전체 네트워크와 서비스를 안전하게 보호하고, 중앙집중 통합관제로 내부자의 이상행위를 통제할 수 있다.
멜리타는 게이트웨이 방식, 보안스위치 방식 기술과 자사 기술을 비교하며 경쟁사 대비 탁월한 장점을 갖는다고 강조한다. 게이트웨이 방식은 신·변종 악성코드 발생시 패턴 업데이트가 이뤄진 이후에 대응할 수 있으며, 보안스위치는 하드웨어 장애시 좀비PC 및 악성프로그램에 대응할 수 없다.
프리가드는 단말에 설치된 에이전트로 제어하는 방식으로 하드웨어 장애에서 자유롭고, 사용자가 에이전트를 강제로 삭제하면 네트워크 접근이 통제돼 업무를 할 수 없게 한다. 비시그니처 방식으로 행위기반 분석 기술을 적용했기 때문에 제로데이 공격에서 자유롭다.
멜리타는 이와함께 웹사이트 위변조 방지 솔루션 ‘웹디펜더(Web-Defender)’를 소개한다. 웹디펜더는 ‘펌웨어 기반의 데이터 삭제 방지 시스템’을 이용해 소스파일이 저장된 디스크 영역을 물리적으로 삽입·수정·삭제가 불가능하게 만들어 웹사이트 취약점 공격을 막는다.
더 낮은 레벨에서 근본적인 보안 강화 대책 마련
지능형 공격이 극성을 부리면서 L4, L7이 아니라 더 낮은 레벨인 L2에서부터 보안을 강화하는 트렌드가 다시 나타나고 있다. 특히 L2·L3에서는 스위치에 보안기능을 추가한 보안스위치를 통해 스위치와 보안장비를 별도로 구입하는 것 보다 비용이 저렴하고 관리 편리성을 크게 높일 수 있도록 하고 있다.
국내 L2 보안스위치 시장은 파이오링크와 한드림넷이 대표적이며, 글로벌 L2 스위치 제공 벤더들이 보안 기능을 추가한 제품을 출시하고 있다.
파이오링크는 성능 저하 없는 L2~L3 보안스위치 ‘티프론트(TiFRONT)’를 제공하고 있으며, 써드파티 보안 솔루션과 연계해 보안을 강화할 수 있다. 보안 솔루션에 대한 IP 관리가 통합돼 있어 관리 용이성도 높다.
이장노 파이오링크 실장은 “우리나라는 전 세계적으로도 대용량 네트워크 트래픽이 매우 많이 발생하는 국가 중 하나다. 또한 국내 사용자들은 네트워크 속도에 민감하고, 유해트래픽을 차단하고자 하는 보안 의식도 높은 편”이라며 “L2~L3 영역에서 보안기능을 추가해 L4~L7 레이어의 보안 솔루션 부하를 낮춰주는 것이 시스템 부하를 줄이는 방법”이라고 설명했다.
한드림넷의 ‘SG보안스위치’는 가상 IP 관리(VIPM)와 연동해 IP와 MAC 관리·인증·모니터링을 제공할 수 있다. IPv6 네트워크 지원이 가능하며, 텔넷, 핑, SNMP, SNTP 등 IPv6 관리 기능을 제공하고, MLD 스누핑이나 IPv6 QoS, IPv6 ACL 기능도 제공한다. IP텔레포니, IP CCTV 등과도 연동돼 효율적인 보안 환경을 제공한다.
또한 ‘SG8000 보안백본 스위치’로 백본 스위치의 보안도 강화할 수 있다. 방화벽 모듈과 IPS 모듈을 제공해 네트워크 구성을 간편하게 만들고, 인터페이스 슬롯을 효율적으로 사용할 수 있다.
