네트워크 보안은 백신과 함께 가장 오래된 보안 솔루션으로, 기술과 시장 성숙도가 매우 높은 편이다. 기술적인 차별점은 대규모 환경 지원과 가격 정도이며, 벤더별로 새로운 제품을 출시할 때 마다 새로운 기술을 선보이면서 경쟁하는 상황은 아니다.
몇 년 전부터 애플리케이션 레이어의 보안위협을 탐지하는 ‘차세대 기술’이 부상하면서 제어할 수 있는 애플리케이션의 숫자와 규모로 치열한 경쟁을 벌였지만, 현재 국내에서 범용적으로 사용하는 애플리케이션은 거의 대부분 지원할 수 있는 수준에 이르렀으며, 10G 이상 대규모 환경을 지원하는 제품도 안정화된 상태로 실제 운영환경에서 안정적으로 운영되는지를 두고 다투고 있는 상황이다.
네트워크 보안, 외산기업에게 높은 장벽
방화벽·IPS와 같은 전통적인 네트워크 보안장비 시장은 기술과 시장 성숙도가 높은 만큼 토종 보안 기업들이 굳건한 점유율을 지키고 있다.
시큐아이의 차세대방화벽 ‘MF2’는 다계층에 대한 정밀한 분석을 제공하는 ‘DPI(Multi-stage Deep Packet Inspection)’와 멀티코어의 효율적인 부하분산 처리 기술을 제공하는 ‘FDE(Clustering-based Flow Distribution Engine)’를 경쟁사 대비 차별점으로 내세운다. 더불어 10G 방화벽과 차세대 방화벽을 국내 최초로 출시해 코스콤 등 여러 공공·금융기관에 공급했으며, 일본에서도 의미있는 성과를 보이고 있다고 강조한다.
안랩의 ‘트러스가드(TrusGuard)’는 높은 초당 처리 패킷 수(PPS)를 기록해 트래픽이 급증해도 안정적인 처리성능을 보장할 수 있다는 점을 강점으로 내세운다. 금융기관의 저지연/초저지연 네트워크 환경에서도 안정적인 성능을 제공할 수 있으며, 보안위협 모니터링과 분석대응 조직을 운영해 새로운 보안위협에 빠르게 대응할 수 있다.
엔큐리티는 차세대방화벽 제품 ‘엔큐리티 플러스’로 시장에 진입했다. 이 제품은 세션기반 공격을 지연시키는 ‘컨커런트 세션’ 기능 제공으로 네트워크 마비를 지연시키고, 지연시간동안 모니터링을 통한 원인분석과 신속한 대응이 가능하다.
글로벌 벤더 중에서는 시스코가 카탈리스트 6500 백본에 설치될 수 있는 모듈형 방화벽 ‘ASA’ 제품군을 국내 대형 기업과 통신사 등에 공급되는 성과를 거뒀다. 시스코는 미드레인지급 제품군으로 SMB 시장도 공략하는데, 이 제품은 SSD 카드만 탑재하면 애플리케이션 인식 기능을 가질 수 있어 기존 방화벽 어플라이언스 고객에게 유용한 솔루션이 될 수 있다.
주니퍼의 통합방화벽 ‘SRX 시리즈’도 글로벌 시장에서는 높은 성장을 보였다고 강조한다. 지난해 SRX 시리즈가 17%, EX 8%, MX 7% 매출성장을 이뤘으며, 올해는 무선통신시장이 LTE로 빠르게 이전하면서 더 많은 기회가 올 것으로 기대하고 있다.
델의 소닉월은 세계시장에서 순위권에 오르는 대표적인 차세대 방화벽이지만 국내에서는 토종 솔루션의 힘에 밀리고 있는 상황이다. 그러나 델은 업계 최저가격의 차세대 방화벽 NSA220부터 40G급 수퍼매시브(SuperMassive)까지 다양한 라인업을 갖춰 모든 산업군에 최적화된 제품을 제공할 수 있다고 강조한다.
IPS·UTM, 기술 발전 속도 매우 빨라
IPS 시장에서도 차세대 기술이 크게 주목을 받았지만, 아직까지 기술이 시장의 구도를 깨뜨리는 역할을 하지는 못하고 있다. IPS는 설정과 관리가 까다롭기 때문에 한 번 구축한 이후에는 자주 변경을 하지 않아 장비 교체시기가 다가오지 않으면 잘 교체하지 않는다는 특징이 있다.
IPS 시장에서는 윈스테크넷이 여전히 선두를 달리고 있다. 이 회사의 스나이퍼 IPS는 프로파일링 기법의 비정상 트래픽 분석으로 네트워크 추이를 분석하고, 알려지지 않은 공격을 탐지하며, 대규모 환경에서도 안정적으로 운영이 가능하다. 시큐아이 MFI 20000은 유선속도 최대 120G까지 지원하는 대용량 제품으로, 파이어아이, 트렌드마이크로, 시만텍 등 좀비PC탐지솔루션과 연동해 APT에도 대응할 수 있도록 한다.
HP 티핑포인트는 차세대IPS 선두주자로, 삼성·현대 기아차그룹, NHN, 건국대 등 국내 주요 고객을 고르게 확보하고 있으며, 평판기반 디지털 백신 서비스로 악성IP와 도메인을 제어하고, 위치기반 접근제어 등의 기능을 제공한다. 시스코는 IPS 전문기업 소스파이어를 인수하며 IPS 시장을 전략적으로 접근하고 있다.
통합보안위협관리(UTM) 솔루션은 중소·중견기업 솔루션에서 엔터프라이즈 시장으로 완전히 자리를 잡았으며, 초기에 시장확산의 걸림돌이었던 성능저하 문제는 거의 해결된 상황이다.
UTM 시장의 강자로 자리잡은 포티넷은 다양한 제품군과 성능, 안정성, 그리고 높은 가격 경쟁력을 무기로 토종 솔루션의 높은 장벽을 성공적으로 뛰어넘었다고 평가된다. UTM 솔루션인 포티게이트, 포티샌드박스, 클라우드 기반 악성코드 분석 센터인 포티가드 센터로 이어지는 다계층 보안 전략을 통해 APT 위협을 완화할 수 있다.
넥스지 ‘브이포스 UTM’은 처리속도와 안정성 측면세어 향상된 성능을 제공하며, 각각의 보안기능이 독립된 엔진에서 작동해 모든 기능을 동시에 사용해도 병목현상 없는 고성능을 실현할 수 있다.
국내 UTM 시장은 세계 시장 구도와 다른 양상을 보인다. 토종 네트워크 보안 솔루션의 점유율이 매우 높은데다가 포티넷의 공격적인 영업전략이 상당한 성과를 거두고 있어 전세계 UTM 시장의 선두주자들이 고전을 면치 못하고 있는 것이다.
워치가드가 그 대표적인 예로, 워치가드는 UTM의 가장 중요한 기능인 방화벽 성능과, UTM의 모든 기능을 다 사용했을 때 성능비교시 경쟁사 대비 가장 높은 성능을 기록한다. 그럼에도 불구하고 국내 시장 점유율이 미미했던 이유는 미드레인지 급에 초점을 맞췄던 전략때문이라고 진단하고, 하이엔드 제품군을 대대적으로 출시하며 시장 공략에 나섰다.
성동격서형 DDoS 등장하며 시장 성장 촉진
APT가 성행하면서 다시 주목을 받는 분야가 안티DDoS다. 최근 많이 발생하는 APT 공격 유형 중 하나가 대규모 DDoS 공격을 감행해 목표기관이 이를 방어하는데 힘을 쏟는 동안 전혀 다른 곳에서 조용히 목표했던 바를 이루는 방식이다. 예를 들어 DDoS를 진행하면서 핵심 정보를 몰래 유출해내거나, 정보유출 흔적을 지우는 것이다. 이른바 ‘성동격서(聲東擊西)’ 형으로, 동쪽에서 소리를 지르고 서쪽을 치는 방법을 사용한다.
DDoS와 병행하는 APT 공격은 DDoS를 일으키면서 동시에 정보를 빼내는 경우도 있고, 필요한 정보를 모두 유출한 다음 정보유출 흔적을 지우기 위해 DDoS 공격과 시스템 파괴공격을 동시에 진행하는 경우도 있다.
또 다른 DDoS 유형으로 작은 패킷을 지속적으로 보내 서비스를 지연시키는 슬로우로리스 공격도 유행하고 있다.
이러한 공격은 웹 서비스 속도가 생명인 클라우드 서비스 사업자, 모바일 서비스 사업자를 주 타깃으로 한다. 클라우드 서비스를 이용하는 기업들도 타깃이 될 수 있는데, 슬로우로리스 공격으로 경쟁사 트래픽을 대폭 늘리면 사용량 기반 과금하는 클라우드 서비스의 특성상 엄청난 사용요금을 지불해야 하는 경우가 생길 수 있다. 정액요금제를 이용하는 사용자가 많은 사업자에 이러한 공격이 단행되면 사업자에게 막대한 피해를 일으킬 수 있다.
이처럼 다양한 DDoS 공격이 등장하면서 이 시장이 2017년까지 연평균 18.2%라는 비교적 높은 수준의 성장률을 보일 것이라는 전망이 나온다. IDC는 지난해 전세계에서 DDoS와 관련된 빈도, 대역폭 용량, 애플리케이션 공격이 가파르게 증가했으며, 금전적인 목적이나 정치적인 목적을 위한 서비스 지연/거부 공격이 더욱 많이 채택될 것이라고 진단한 바 있다.
아버네트웍스는 전세계 DDoS 정보를 수집해 실시간으로 업데이트하며, 대규모 트래픽을 안정적으로 관리할 수 있어 국내 대형 공공·금융·통신시장에 다수의 고객을 확보하고 있다. 아버의 프라베일은 회선이 증가해도 기 구축된 프라베일 어플라이언스에서 DDoS를 방어할 수 있어 확장과 관리가 쉽고, 중소기업을 위한 프라베일 APS는 L7 단에서 DDoS를 탐지하는 제품으로, 보다 저렴한 비용으로 효과적인 DDoS 방어 대책을 제공한다.
주니퍼는 웹사이트와 웹 애플리케이션을 위한 자동화된 DDoS 보호 시스템 ‘주노스 DDoS 시큐어’를 소개한다. 시그니처나 임계치를 기준으로 방어하는 것이 아니라 인/아웃바운드 트래픽과 서버 부하까지 체크해 정상 트래픽 여부를 판별해 슬로우로리스와 같은 저대역폭 공격에 효과적으로 대응할 수 있다. 주노스 디도스 시큐어는 ‘주노스 스포트라이트 시큐어’에서 실시간 제공하는 사이버 공격 정보를 토대로 신속하고 정확하게 DDoS 공격을 방어한다.
디펜스프로는 라드웨어의 ‘복합공격차단시스템(AMS)’의 핵심 기능으로, AMS에는 앱월(AppWall), 앱솔루트 비전(APsolute Vision), 긴급대응팀(ERT)의 네가지 요소로 구성돼 지능화되는 공격위험에 대응할 수 있다.
모바일 기기 취약점 공격 늘며 WIPS 주목
최근 APT 공격의 가장 취약점으로 모바일 기기가 꼽힌다. BYOD가 확산되면서 직원이 개인적으로 사용하는 모바일 기기가 업무에 사용되고 있으며, 관리되지 않은 모바일 기기가 사내 시스템에 접속하게 돼 악성코드 전파에 쉽게 이용될 수 있기 때문이다.
모바일 기기 자체의 취약점은 물론 무선네트워크를 통한 보안 취약점도 매우 위험한 요인으로 등장하고 있다. 무선랜은 눈에 보이지 않는 네트워크 신호를 이용하기 때문에 공중에서 전송되는 데이터를 캡처해 정보를 훔쳐보거나 인가되지 않은 액세스 포인트(AP)를 통해 사내 시스템에 접속해 해커의 백도어를 만들 수도 있다.
특히 인가되지 않은 무선 액세스 포인트에 모바일 기기가 접속하는 것이 가장 심각한 문제가 되고 있으며, DDoS 공격 기능을 가진 봇에 감염된 모바일 기기가 일제히 DDoS 공격을 단행해 대형 피해를 입힐 가능성도 있다. 모바일 기기는 통신망을 이용할 수도 있으므로, 특정 지역의 통신사 기지국에 일제히 트래픽을 유발시켜 통신망을 마비시킨 후 다른 사이버 테러를 단행하는 공격도 가능한 시나리오 중 하나이다.
비인가 AP를 탐지해 차단하는 WIPS는 상당히 오래 전 국내에 소개됐지만, 무선랜을 이용해 중요한 업무를 수행하지 않는다는 인식 때문에 기업에 도입되는 사례는 그리 많지 않았다. 또한 AP 기업들이 기본적인 보안 기능을 탑재한 제품을 출시하고 있어 WIPS 도입시 소요되는 막대한 추가비용을 줄이기 위해 단순히 무선랜만 구축하는 경우가 대부분이다.
그러나 비인가 AP를 이용한 공격은 무선랜을 사용하지 않아도 언제든 당할 수 있는 공격이기 때문에 모든 기업/기관에 필수적인 보안 인프라이다. 정부가 지난해 금융기관의 전산센터 등 주요시설에 WIPS 설치를 의무화하면서 무선랜 보안에 대한 관심이 폭증했으며, 시장이 급속도로 성장하고 있다.
모토로라 에어디펜스는 280여개의 공격 패턴을 갖고 있으며, 포렌식 기술을 적용해 기업이 인지하지 못하는 공격까지 차단할 수 있다. 국내 대형 기업과 금융·공공기관 등 대규모 고객을 다수 확보하면서 WIPS 강자의 위치를 굳건히 지키고 있다.
아루바는 무선네트워크 전문 기업으로서의 강점을 앞세워 무선 보안에서도 경쟁우위에 있다고 강조한다. 아루바의 WIPS는 BYOD 보안 플랫폼 ‘클리어패스’와 연동돼 무선 네트워크에서 MDM, MAM, NAC까지 BYOD 환경의 엔드 투 엔드 보안 요건을 만족시킨다.
외산 솔루션 아성 무너뜨린 토종 기업
외산 일색이던 WIPS 시장에 지난해 코닉글로리, 퓨쳐시스템, 유넷시스템이 차례로 신제품을 출시하고, CC인증을 획득하면서 시장에 큰 폭의 변화가 나타나기 시작했다. 토종기업의 WIPS 솔루션은 국내 기업의 까다로운 커스터마이징 요구와 가격경쟁력을 앞세워 외산 솔루션의 높은 장벽을 허물고 있다.
코닉글로리의 ‘에어티엠에스(AIRTMS)’는 비인가 AP를 차단하고, MAC 주소 변조 등 공격을 수행하는 기기를 탐지할 수 있다. 자사의 위협관리 시스템(TMS)과 국내 총판을 맡고 있는 모바일아이언의 MDM/MAM을 연동시켜 모바일·무선을 포함한 전사 보안을 강화할 수 있다.
퓨쳐시스템의 ‘위가디아(WeGuardia) WIPS’는 기본적인 무선 취약점 방어 기능과 무선 단말의 물리적 위치 파악을 위한 정밀한 위치추적 기능, 설치된 여러 센서에 대한 일관된 정책 관리와 편리한 통합 관리, 유무선 통합 보안을 위한 XTM, SSLplus의 연동 기능을 제공한다. 프레임 분석으로 쉽게 탐지할 수 없는 MAC 스푸핑 공격까지도 대응할 수 있다.
유넷시스템의 ‘애니클릭에어(Anyclick AIR)’는 무선랜 인증 시스템 ‘애니클릭어스(Anyclick AUS)’와 연동해 토털 무선랜 보안체계를 제공한다. 애니클릭어스는 공공, 금융, 학교, 일반기업 등 전 산업군에 공급되며 국내 최다 고객을 확보하고 있다.
무선랜이 확산되면서 무선랜 보안에도 많은 관심이 쏟아지고 있는 가운데 무선랜 솔루션 자체에 보안기능을 탑재하는 경우도 늘어나고 있다. 아루바, 메루, 시스코 등 무선랜 솔루션을 공급하는 기업은 물론 포티넷, 워치가드 등 UTM 벤더들도 자사의 AP에 보안기능을 탑재해 WIPS 기능을 이용할 수 있도록 한다.
UTM 벤더들이 제공하는 WIPS는 통합보안관리가 가능하다는 것이 가장 큰 장점이다. AP에 WIPS의 기본기능을 통합하고, UTM에 무선랜 컨트롤러를 장착해 UTM에서 무선랜 보안 위험 요소를 탐지·차단하는 방식이다. UTM과 AP만 구입하면 유무선 통합 보안이 가능하다는 것이 이들의 주장이며, 비용과 관리 복잡성을 줄일 수 있는 방법으로 제안된다.
지니네트웍스의 WNAC도 WIPS 제공하는 솔루션으로 주목받는다. 무선센서 에어센트리로 비인가 AP를 탐지하면 지니안NAC가 해당 AP를 통해 접속하는 단말기를 차단하는 방식으로, 비용을 줄이면서 효과적으로 무선보안 환경을 제공할 수 있다.
