UTM 시장 속의 전용 보안 장비

최근 들어 보안 시장은 크게 두 가지의 이슈로 나누어 볼 수 있다. 그 하나는 UTM(Unified Threat Management)을 목표로 내세운 다기능, 고성능의 통합 보안 장비가 본격적인 제품 출시 및 시장 형성이 며 두 번째로는 사용자 중심의 특화된 응용 보안 시장의 형성이 그것이다.

최근 몇 년간 UTM은 개발 업체 및 보안 장비를 사용 하는 사용자 사이의 가장 이상적인 목표로 대두되었고 업체들도 대부분 UTM을 표방하며 개발을 서둘러 왔다. UTM의 가장 큰 장점은 하나의 장비에 여러 보안 기능이 함께 동작하므로 여러 장비를 사용하지 않아도 되어 관리적인 측면과 경제적인 측면에서 보안 시장을 주도할 것으로 모두 확신한 솔루션이었다. 물론 UTM 이 이러한 사용자의 요구사항을 충분히 만족한다면 더 이상 이상적인 장비는 없을 것이다.

UTM의 한계성과 응용보안 제품

그러나 UTM에는 많은 제약과 한계가 존재한다는 것이 문제이다. UTM은 여러 기능을 한꺼번에 처리해야 하므로 우선은 복잡한 설정이 첫 번째 문제이다. 즉, 사용자는 특정한 보안 정책에 여러 기능의 보안 기능을 함께 설정해야 하므로 설정을 어떻게 하느냐에 따라 결과가 달라질 수 있다는 문제가 있다.

또한 UTM은 하나의 H/W에 적게는 6가지, 많게는 10가지의 기능이 복합적으로 수행되므로 각 개별 기능에 있어 기능적인 한계를 가진다. 이러한 UTM은 보는 시 각에 따라 다를 수도 있겠으나 센터용 장비로 적합할지 아니면 지점급장비로 적합할지에 대한 논란을 가져올 수밖에 없다.

우선적으로 센터용 장비의 경우 대용량을 처리하여야 하는 부담을 UTM에서 어떻게 해결할 것인가의 문제 이다. 또 어느 특정한 기능의 장애로 인해 모든 기능 이 비정상적으로 동작할 때 장애원인을 어떻게 손쉽게 발견해 내는가가 가장 큰 문제이다. 아울러 지점급장비의 경우 비교적 저렴한 가격으로 많은 기능을 갖는 UTM을 도입하여 보안의 단점을 극복할 수도 있으나 불필요한 기능을 함께 탑재한 경우 필요 이상의 서비스의 제한을 받을 수도 있다는 것이다.

이러한 이유로 UTM은 아직 시장에서 활성화 되지 못하고 있는 것이 실정이다. 사용자의 요구사항은 날로 고급화되고 다양해지는 반면 기술은 그에 미치지 못하는 것이 현재 보안 업체의 가장 큰 딜레마라고 봐도 과언은 아닐 것이다.

그림 1은 이러한 UTM이 제공해야 하는 보안 기능의 영역과 서비스 영역을 함께 도식화 하고 있다. 그림 1에 서 표현되는 것처럼 차후의 보안 장비의 목표는 전용장비 보다는 통합된 형태의 장비를 선호하며 침입방지 시스템의 특화된 기능, 또한 보안 서비스의 주기적인 업데이트 등이 필요하다.

그러나 이쯤에서 고려해야 할 것은 과연 다양하고 복잡한 보안 환경을 통합된 UTM 장비로만 모두 감당할 수 있을 것인가에 대한 의문이다. 네트워크 장비도 그 환경에 따라 L2부터 L7까지의 계층별 스위치 장비를 통해서 추구하고자하는 그 목표를 충족하는데 보안 장비 영역은 기능적 통합 및 관리적인 통합으로 감당이 어렵다는 것이 최근의 개발사에서 제기되고 있다.

즉, 특화된 영역은 통합이 아닌 전용장비로 가는 것이 보다 합리적으로 문제를 파악하는데 보다 접근성이 용이하다는 것이다. 이러한 견지에서 출발한 보안 제품이 바로 응용보안 제품이다.

응용보안 제품의 화두는 WAF

응용보안 제품에는 많은 제품들이 나와 있지만 대표적인 제품을 예로 들자면 Anti-Virus 제품, Anti-Spam 제품, SSL VPN 제품, NAC(Network Access Control) 제품, WAF(Web Application Firewall) 제품, Database 보안제품 등이 있다.

이 중 최근의 가장 큰 화두는 WAF라고 할 수 있다. WAF는 웹 서버를 대상으로 외부 침입에 대해 웹 서버를 보호하고 또한 웹 서버에 접근하는 사용자를 보호하기 위한 장비로 많은 제품들이 나와 있다. 그림 2는 이러한 WAF의 시장 예측 그래프다. 그래프에서 알 수 있듯이 매년 지속적인 성장을 나타낼 것으로 예측하고 있다. 이러한 응용보안 제품의 특징으로는 사용자의 특정 서비스를 보다 전문적으로 보 호하고 보안을 극대화하는데 있다. 즉 기존의 인프라 보안 장비는 패킷 기반의 보 안을 처리했다면 이러한 응용 보안 제품들은 실제 서비스 즉, 사용자 세션 기반의 보안을 책임진다는 것이다. 예를 들어 사용자의 웹 서비스 접근을 통해 유입되는 파일에 대한 필터링 검사를 통해 유해할 경우 업로드나 다운로드를 강제로 차단하는 등의 보안 서비스를 들 수 있다.

이러한 응용보안 기능들은 각 기능별로 유기적으로 연 계되어야 하는 기능이 있을 수 있는데, 특히 가장 많은 서비스를 제공하는 웹 서비스의 경우 몇 가지 기능을 조합할 경우 매우 유용한 형태의 보안 서비스를 제공할 수 있다.

이 기능은 우선 사용자와 웹 서버간의 인증이 필요하고 데이터를 상호 암호화할 경우 보다 견고한 보안을 유지할 수 있다. 여기에 더불어 웹 프로토콜 또는 웹 서버가 가지고 있는 원천적인 취약성에 대한 보안이 함께 이루어진다면 사용자는 기존의 보안 제품에서 제공받지 못한 세부적인 서비스를 받을 수 있을 것이다.

이러한 기능적인 결합을 통해서 최근 응용보안 제품이 만들어 지고 있고 최근 CC인증을 취득한 업체도 있다. 구체적으로 이러한 제품의 기능을 살펴보면 다음과 같은 주요 기능들로 나누어 불 수 있다.

표 1의 기능 리스트에서 보는 바와 같이 웹 방화벽 기능에 SSL VPN 기능을 추가하여 사용자 인증 및 암호화를 함께 진행하여 보다 완벽한 형태의 응용 보안을 제공할 수 있다. 그림3은 위의 기능들을 단계별로 수행하기 위한 내부적인 구조를 도식화하고 있다．

응용보안 시장이 새로운 보안 시장 주도

이상에서 살펴 본 것처럼 기존의 인프라 보안장비는 UTM을 중심으로 통합화되고 있는 추세이나 사용자 중심의 응용 보안 시장은 응용 기능의 단독적인 성격으로 발전하면서 유기적으로 결합 가능한 기능들의 부분 통합이 이루어지고 있는 추세이다.

차후 웹 서비스가 보다 강화되고 새로운 프로토콜이 등장할 경우 이러한 응용보안 시장은 더욱 치열하고 견고해 질 것으로 예상된다．

예전의 보안장비는 단순하게 외부의 공격을 정해진 규칙에 의해 데이터의 내용과는 무관하게 처리하여 많은 탐이 발생하여 서비스에 지장을 초래하였다면 현재는 많은 오탐처리 기법들을 통해 보다 정확한 처리를 하기 위한 노력을 기하고 있다.

이는 사용자의 데이터를 내용 기반까지 파악할 수 있는 기법들이 도입되고 또한 이를 실시간으로 처리할 수 있는 하드웨어적인 성능까지 뒷받침되면서 비약적인 발전 을 가져오고 있다．

인터넷은 현재를 살아가는 우리에게 대중교통처럼 생활 속 깊이 자리 잡았고 이러한 인터넷을 통해 온라인으로 변환되는 서비스는 우리 생활 전반에 걸쳐 있다. 따라서 더욱 더 많은 서비스의 종류가 개발될 것이며 더 많은 위협이 초래될 것도 분명하다．

이제 보안장비의 핵심은 이러한 서비스의 다각화에 따라 사용자의 데이터를 얼마나 안전하게 유지할　수 있느냐에 있으며 위협에 대한 오탐을 얼마나 최소화할 수 있느냐에 따라 시장 지배력을 가질 것이다．

이는 관리적인 측면에서도 기존의 낡은 틀에서 벗어나 보다 사용자 관점에서의 근거를 제시할 수 있는 관리기법이 절실하다. 즉 실시간으로 모니터링할 대상의 선정이나 전반적인 보안의 통계를 통해 능동적인 보안을 유도해야 할 것으로 보인다．

차후 응용보안 시장은 새로운 보안 시장을 주도해 나가는 견인차 역할을 할 것이며 이러한 시장을 제대로 파악하는 안목이 보안업계들에게는 추가로 요구될 것이다.

<글 : 박재경 어울림정보기술 개발실장 (jaky@oullim.co.kr)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>